Портал технической поддержки Cloud24.kz

Правила межсетевого экрана 5nine Cloud Security Virtual Firewall можно добавить в списки виртуальных машин, групп безопасности или шаблонов. Выберите требуемый объект на портале администратора или клиента Azure Pack и воспользуйтесь соответствующей кнопкой на нижней панели:

- Для добавления правила ARP/L2: 

Укажите параметры нового правила ARP/L2:

NAME – используйте любое подходящее имя для идентификации правила в списке.

DESCRIPTION (опционально) – при необходимости введите подробное описание.

ACTION (ДЕЙСТВИЕ) – выберите действие, которое будет применяться к соответствующему сетевому трафику. Для правила ARP/L2 применимы только действия allow (пропускать) и block (блокировать). Обратите внимание, что после включения межсетевого экрана на виртуальной машине, 5nine Cloud Security по умолчанию блокирует весь трафик. Возможны случаи, когда вам потребуется создать дополнительное блокирующее правило для обеспечения желаемого результата фильтрации. Также имейте в виду, что блокирующее правило имеет больший приоритет по отношению к разрешающему правилу в случае, если они пересекаются, независимо от его позиции в списке, а также от того, добавлено оно в группу безопасности, куда включена выбранная ВМ, или напрямую в

список правил ВМ. Подробнее см. «Краткое руководство пользователя 5nine Cloud Security».

TYPE (ТИП) – установите направление трафика в отношении выбранной(выбранных) ВМ:

any – для применения правила в двух направлениях;

inbound (входящий) – для применения правила только ко входящему трафику;

outbound (исходящий) – для применения правила только к исходящему трафику.

- Нажмите кнопку со стрелкой вправо, чтобы перейти к следующему шагу.

FRAME TYPE (HEX) (ТИП КАДРОВ (HEX)) – укажите тип кадров для определения протокола, действующего на втором уровне (L2). По умолчанию в списке доступны два значения: ARP (0806) и RARP (0835).

Введите необходимый номер для протокола L2. Протокол ARP позволяет дополнительно указывать удаленные IP адреса, чтобы ограничить действие правила на них.

Нажмите кнопку со стрелкой вправо, чтобы перейти к следующему шагу.

ADDRESS TYPE (ТИП АДРЕСА) – выберите тип адреса из списка значений:

Any (любой)

Broadcast (широковещательный)

Unicast (одноадресный)

Multicast (многоадресный)

VLAN ID (ИДЕНТИФИКАТОР VLAN) – укажите номер VLAN для добавления в правило параметра VLAN-маркировки. Правило будет применяться только к кадрам с заданным VLAN ID. Нажмите галочку для сохранения изменений.

- Для добавления IP-правила: 

- Укажите параметры нового IP-правила: 

NAME – используйте любое подходящее имя для идентификации правила в списке.

DESCRIPTION (опционально) – при необходимости введите подробное описание.

ACTION – выберите действие, которое будет применяться к соответствующему сетевому трафику. Для IP-правила доступны следующие варианты:

allow – пропускать все пакеты, включая SPI;

allow (no SPI) – пропускать только прямые пакеты, SPI-пакеты будут фильтроваться;

block – блокировать все пакеты.

Обратите внимание, что после включения межсетевого экрана на виртуальной машине, 5nine Cloud Security ПО УМОЛЧАНИЮ блокирует весь трафик. Возможны случаи, когда вам потребуется создать дополнительное блокирующее правило для обеспечения желаемого результата фильтрации. Также обратите внимание на то, что блокирующее правило имеет больший приоритет по отношению к разрешающему правилу в случае, если они пересекаются, независимо от его позиции в списке, а также от того, добавлено оно в группу безопасности, куда включена выбранная ВМ, или напрямую в список правил ВМ. Подробнее см. «Краткое руководство пользователя по 5nine Cloud Security для Hyper-V».TYPE – установите направление трафика в отношении выбранной(выбранных) ВМ:

any – для применения правила в двух направлениях;

inbound – для применения правила только для входящего траффика

(если выбрано действие allow, то SPI-пакеты будут исключаться);

outbound – для применения правила только для исходящего траффика (если выбрано действие allow, то SPI-пакеты будут исключаться).

В обычных условиях виртуальный межсетевой экран 5nine Cloud Security пропускает SPI-пакеты, когда межсетевой экран настроен на прохождение определенного трафика. Например, если в правиле, разрешающем входящее RDP-подключение через TCP-порт 3389, установлено действие allow, то межсетевой экран пропустит соответствующие исходящие SPI-пакеты от указанного TCP-порта

3389 на TCP-порт на удаленном хосте, который инициирует сеанс RDP. TCP-соединение будет считаться установленным и отобразится в таблице соединения для выбранной ВМ. В определенных случаях такие соединения будут разорваны по тайм-ауту, что приведет к потере текущего сеанса. Во избежание подобных проблем вы можете установить два отдельных правила для входящего и исходящего трафика, используя действие allow (no SPI).

В приведенном примере набор параметров правил будет выглядеть следующим образом:

• allow (no SPI), inbound, локальный порт TCP 3389, удаленные порты не указаны (любой);

• allow (no SPI), outbound, локальный порт TCP 3389, удаленные порты не указаны (любой).

Такие сеансы виртуальный межсетевой экран 5nine Cloud Security не считает за установленные TCP-соединения, и они не будут отображаться в таблице соединений для выбранной виртуальной машины. При этом сами сеансы будут разрешены и не будут разорваны по тайм-ауту в отличие от TCP-соединений на базе SPI.

Нажмите кнопку со стрелкой вправо, чтобы перейти к следующему шагу.

PROTOCOL (ПРОТОКОЛ) – укажите протокол, используемый для отправки трафика определенного типа. В списке доступны следующие значения:

Any – любой IP-протокол.

ICMP or ICMPv6 – протокол ICMP (ICMPv6). Для этого протокола доступны дополнительные параметры:

MESSAGE TYPES (ТИПЫ СООБЩЕНИЙ): Echo Reply (Эхо-ответ) – 0, Destination Unreachable (Адресат недоступен) – 3, Source Quench (Сдерживание источника) – 4, Redirect (change route) (Перенаправление) – 5, Echo Request (Эхо-запрос) – 8, Time Exceeded (Время истекло) – 11, Parameter Problem (Неверный параметр) – 12, Timestamp Reply (Ответ с отметкой времени) – 14, Information Request (Информационный запрос) – 15, Information Reply (Информационный ответ) – 16, Address Mask Request (Запрос адресной маски) – 17, Address Mask Reply (Отклик на запрос адресной маски) – 18.

Введите необходимые коды, разделяя их запятыми (пробелы будут добавлены автоматически). Чтобы разрешить все типы ICMP- сообщений оставьте поле незаполненным.

TCP – протокол TCP.

UDP – протокол UDP.

GRE – протокол GRE.

LOCAL PORTS (ЛОКАЛЬНЫЕ ПОРТЫ) (если применимо) – введите локальные порты, через которые проходит трафик. Пустое поле подразумевает любой порт.

REMOTE PORTS (УДАЛЕННЫЕ ПОРТЫ) (если применимо) – введите удаленные порты, через которые проходит трафик. Пустое поле подразумевает любой порт.

REMOTE IPS (УДАЛЕННЫЕ IP) – введите удаленные IP-адреса, на которые отправляется/с которых приходит трафик. Пустое поле подразумевает любые IP-адреса. Нажмите кнопку со стрелкой вправо, чтобы перейти к следующему шагу.

REMOTE VMS (УДАЛЕННЫЕ ВМ) – выберите удаленные виртуальные машины, на которые отправляется/от которых приходит трафик. Пустое поле подразумевает любые ВМ. Используйте клавиши CTRL/SHIFT и левую кнопку мыши для выбора нескольких машин.

REMOTE MACS (УДАЛЕННЫЕ MAC АДРЕСА) – введите удаленные MAC- адреса, на которые отправляется/от которых приходит трафик. Пустое поле подразумевает любой адрес.

 Нажмите кнопку со стрелкой вправо, чтобы перейти к следующему шагу.

ADDRESS TYPE – выберите тип адреса, на который отправляется трафик:

Any – все типы адресов будут учтены в правиле.

Broadcast – правилом будет учитываться только широковещательный трафик. Например, отправленный на IPv4-адреса вида x.x.x.255 для маски подсети типа 255.255.255.0 (широковещательные адреса VLSM также учитываются, каждый раз они зависят от длины маски

подсети).

Unicast – будет учитываться только трафик, отправленный одному получателю. Например, отправленный на один IPv4-адрес хоста вида

192.168.1.10 с маской подсети 255.255.255.0.

Multicast – будет учитываться только трафик с несколькими получателями. Например, IPv4-адреса получателей должны находиться в диапазоне 224.x.x.x – 239.x.x.x.

Примечание. Определенные типы трафика являются одноадресными, многоадресными или широковещательными. Например, RDP- соединение на 3389 порту является одноадресным. Link Local Multicast Name Resolution на 5355 порту является многоадресным. Это необходимо учитывать при настройке параметра ADDRESS TYPE, чтобы правило применялось корректно, если вы не решите установить значение в “Any” (любой).

VLAN ID – укажите номер VLAN для добавления в правило параметра VLAN-маркировка. Правило будет применяться только к фреймам с заданным VLAN ID. Введите «0», чтобы убрать отслеживание по VLAN-маркировке (правило не будет применяться к пакетам, имеющим VLAN- маркировку) и «4095» для установки произвольной VLAN (правило будет применяться ко всем пакетам, независимо от VLAN).

Нажмите галочку для сохранения изменений.