Этот материал описывает, как активировать брандмауэр.
Введение
Онлайн-брандмауэр без состояния – это бесплатное решение безопасности для вашего выделенного корневого сервера. В клиентском разделе вы можете использовать функцию брандмауэра для определения собственных параметров фильтрации входящего и исходящего трафика.
С нашим брандмауэром без состояния, или статическим брандмауэром, пакеты данных не распаковываются; вместо этого анализируется заголовок каждого отдельного пакета, и в зависимости от предварительно определенных настроек брандмауэр решает, разрешить или отклонить эти пакеты. Таким образом, брандмауэр предотвращает несанкционированный доступ к вашему серверу.
Однако важно помнить, что брандмауэры фактически не распознают сами по себе попытки атак. Они просто применяют набор предопределенных правил для сетевого взаимодействия.
Брандмауэр для клиентов Robot (которые используют выделенные корневые серверы) настраивается на порт коммутатора. По умолчанию брандмауэр фильтрует только трафик IPv4, дополнительный фильтр IPv6 можно включить через опцию Фильтрация пакетов IPv6
.
Как активировать брандмауэр?
Вы можете активировать брандмауэр, перейдя в Основные функции
-> Серверы
. Затем выберите сервер, который вы хотите, перейдите в Брандмауэр
и активируйте его. Если вы активируете брандмауэр до ввода каких-либо правил брандмауэра, вы заблокируете весь входящий трафик.
Брандмауэр немедленно станет активным и будет настроен на коммутаторе. Конфигурация занимает примерно 20-30 секунд.
Правила брандмауэра
Вы можете использовать максимум 10 правил на каждое направление.
Параметр
- Имя: Вы можете выбрать любое имя. Допускаются только специальные символы.
- Версия IP: IPv4 или IPv6 или не указано (
*
) - Протокол: Выбор протокола (например, TCP или UDP).
- IP-адрес назначения и источника: Вы можете вводить IP-адреса как отдельные IP, так и подсети в нотации CIDR (например,
<192.168.0.1>
или<192.168.0.0/30>
). Поскольку брандмауэр настроен на порту коммутатора, правило без указанного IP-адреса назначения будет применяться ко всем IP-адресам сервера. - Порт назначения и источника: Вы можете вводить порты как отдельные порты, так и диапазоны портов (например, 80 или 32768-65535).
- Флаги TCP: Вы можете вводить флаги TCP (syn, fin, rst, psh, urg) индивидуально или в логическом сочетании (
|
для логическогоИЛИ
= хотя бы один из флагов должен быть установлен;&
для логическогоИ
= все флаги должны быть установлены). - Действие: Действие определяет, что должно произойти с пакетами, когда применяется правило, то есть определяет, следует ли отклонить пакеты (
discard
) или передать их дальше (accept
).
Приоритизация
Правила применяются в том же порядке, в котором они определены в клиентском разделе. Они выполняются сверху вниз. Вы можете изменить порядок правил после их ввода, используя зеленые стрелки в конце каждого правила.
Если правило №1 не применяется, то будет проверено правило №2. Если правило №2 также не применяется, то будет проверено правило №3 и так далее, пока не будет применено одно правило, и пакет будет отклонен или принят в соответствии с оп
ределенным действием. Если, например, применяется второе правило, то все правила после него не будут проверены. Если ни одно из правил не применяется, то пакет будет отклонен.
Фильтр IPv6
Фильтр IPv6 можно активировать с помощью флажка “Фильтр IPv6”.
Обратите внимание, что при активации фильтра IPv6 весь трафик IPv6 блокируется, если не созданы правила для пакетов IPv6.
Если вы не указываете версию IP для правила, то правило применяется как к IPv4, так и к IPv6.
Ограничения IPv6
- Невозможно фильтровать протокол ICMPv6. Трафик ICMPv6 к и от сервера всегда разрешен. Необходимо разрешить ICMPv6 по умолчанию, потому что ICMPv6 является важным вспомогательным протоколом и обязателен для работы IPv6.
- Для правил с версией IP IPv6 или без указания версии IP невозможно фильтровать по IP-адресу назначения и источника.
- Без указания версии IP невозможно фильтровать по конкретному протоколу.
Примечания к конфигурации брандмауэра без состояния
Брандмауэр без состояния только принимает решения о пакетах, инспектируя их по отдельности. Поэтому брандмауэр не “отслеживает”, принадлежит ли входящий пакет установленному соединению или нет. По этой причине, если вы не вводите дополнительное правило, все исходящие соединения с сервера и, если вы фильтруете исходящие пакеты, все входящие соединения к серверу не будут работать, потому что соответствующие ответные пакеты в противоположном направлении больше не смогут пройти фильтр.
Направление входящего трафика
Без дополнительного правила все ответные пакеты, поступающие на сервер, не могут пройти через брандмауэр.
Вы можете использовать следующее правило, чтобы в общем разрешить все ответы на TCP-соединения:
Source IP: No entry
Destination IP: No entry
Source port: No entry
Destination port: 32768-65535 (Ephemeral Port Range)
Protocol: tcp
TCP flags: ack
Action: accept
Вводя IP-адреса и порты TCP, вы, конечно, можете сделать это правило более ограниченным.
Пример
В брандмауэре определены следующие правила:
Incoming: Только разрешены пакеты HTTP
Исходный IP: Нет записи
IP назначения: Нет записи
Исходный порт: Нет записи
Порт назначения: 80
Протокол: tcp
Флаги TCP: Нет записи
Действие: принять
Outgoing: Без ограничений
Исходный IP: Нет записи
IP назначения: Нет записи
Исходный порт: Нет записи
Порт назначения: Нет записи
Протокол: *
Флаги TCP: Нет записи
Действие: принять
Сервер <1.2.3.4>
устанавливает соединение с внешним веб-сервером и отправляет следующий TCP-пакет:
Исходный IP: 1.2.3.4
IP назначения: 4.3.2.1
Исходный порт: 44563 (случайный порт из диапазона эфемерных портов)
Порт назначения: 80
Протокол: tcp
Флаги TCP: syn
В этом примере исходящий пакет не блокируется брандмауэром, так как фильтрация применяется только к входящим соединениям.
Веб-сервер <4.3.2.1>
отвечает следующим пакетом:
Исходный IP: 4.3.2.1
IP назначения: 1.2.3.4
Исходный порт: 80
Порт назначения: 44563
Протокол: tcp
Флаги TCP: syn & ack
Этот пакет блокируется без дополнительного правила. Таким образом, соединение не может быть установлено.
Исходящее направление
Подобно входящему направлению, ответные пакеты не автоматически разрешаются для противоположного направления.
Если разрешены только определенные исходящие пакеты, то без дополнительных правил ответные пакеты от сервера к запросам на серверские службы также не смогут пройти через брандмауэр.
Вы можете добавить общее правило для исходящего направления, чтобы разрешить все ответные пакеты:
Исходный IP: Нет записи
IP назначения: Нет записи
Quell-Port: Нет записи
Ziel-Port: 32768-65535 (Диапазон эфемерных портов)
Протокол: tcp
Флаги TCP: ack
Действие: принять
Обратите внимание, что диапазон эфемерных портов всех клиентов должен быть учтен, он может отличаться от диапазона портов сервера.
Как дополнительное важное правило также рекомендуется разрешить пакеты к службе DNS.
Исходный IP: Нет записи
IP назначения: Нет записи
Исходный порт: Нет записи
Порт назначения: 53
Протокол: udp
Флаги TCP: Нет записи
Действие: принять
Пример
В брандмауэре определены следующие правила:
Входящее: Без ограничений
Исходный IP: Нет записи
IP назначения: Нет записи
Исходный порт: Нет записи
Порт назначения: Нет записи
Протокол: *
Флаги TCP: Нет записи
Действие: принять
Исходящее:
Разрешены только трафик HTTP и DNS.
Исходный IP: Нет записи
IP назначения: Нет записи
Исходный порт: Нет записи
Порт назначения: 80
Протокол: tcp
Флаги TCP: Нет записи
Действие: принять
Исходный IP: Нет записи
IP назначения: Нет записи
Исходный порт: Нет записи
Порт назначения: 53
Протокол: udp
Флаги TCP: Нет записи
Действие: принять
Клиент 4.3.2.1
устанавливает соединение с вашим HTTP-сервером 1.2.3.4
.
Исходный IP: 4.3.2.1
IP назначения: 1.2.3.4
Исходный порт: 44563 (случайный порт из диапазона эфемерных портов)
Порт назначения: 80
Протокол: tcp
Флаги TCP: syn
Этот пакет может пройти через брандмауэр, так как входящий трафик разрешен.
Сервер хочет ответить на запрос соединения с пакетом SYN & ACK:
Исходный IP: 1.2.3.4
IP назначения: 4.3.2.1
Исходный порт: 80
Порт назначения: 44563
Протокол: tcp
Флаги TCP: syn & ack
Этот пакет не может пройти через брандмауэр в исходящем направлении, потому что исходящий трафик TCP разрешен только на порт 80.
Лечение может быть представлено либо общим правилом, как описано выше, либо специальным правилом, чтобы разрешить только ответы от веб-сервера:
Исходный IP: Нет записи
IP назначения: Нет записи
Исходный порт: 80
Порт назначения: 32768-65535 (Диапазон эфемерных портов)
Протокол: tcp
Флаги TCP: ack
Действие: принять
Шаблоны брандмауэра
Если вы нажмете на кнопку Firewall templates
в обзоре сервера (Main functions
-> Servers
), вы можете создать свои наборы правил. Затем вы можете вставить эти правила через выпадающее меню конфигурации брандмауэра серверов и настроить их.