Как настроить Firewall

Что такое Firewall?

Межсетевой экран (Firewall) — программный или программно-аппаратный элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами. С помощью межсетевого экрана прямо из панели управления можно управлять доступом к публичной сети серверов, входящими и исходящими пакетами данных. Данная опция отдельно не тарифицируется и входит в стоимость сети.

Как настроить Firewall?

Для избежания конфликта правил межсетевого экрана и его правильной настройки необходимо понимать порядок действия существующих брандмауэров. Во-первых, вы можете настроить брандмауэр для частной сети. Во-вторых, для сервера через панель управления. В-третьих, вы можете настроить внутренний брандмауэр, например, для Linux через iptables, для Windows — встроенный.

Для входящих пакетов первым будет применяться брандмауэр на уровне сети (при наличии). Если пакет прошел, дальше будет применяться firewall на уровне сервера, в последнюю очередь будет использоваться внутренний программный механизм. Для исходящих пакетов будет применена обратная последовательность действий.

Конфигурация брандмауэра доступна для сетей и находится в настройках сети в разделе Firewall.

Важно:

— порядок правил имеет значение, чем меньше порядковый номер правила (чем выше он в списке), тем выше его приоритет. Изменять последовательность правил можно с помощью Drag and Drop, перетащив правило левой кнопкой мыши на нужную позицию;

— в состоянии выключен — все пакеты данных, как входящие, так и исходящие проходят через маршрутизатор;

Пакеты не попадающие ни под одно правило можно разрешить или запретить, по умолчанию они разрешены.

Для настройки правил межсетевого экрана выполните следующие шаги:

1. Для создания правила в панели управления в разделе «Firewall» нажмите кнопку «Добавить».
2. Перед вами откроется окно добавления правила. Необходимо заполнить следующие поля:

• Name — понятное для пользователя название (не более 50 символов), как правило кратко описывает назначение правила;
• Action — действие, которое необходимо применить, принимает одно из двух значений: Allow или Deny. Allow — разрешение пересылки пакетов данных, Deny — запрет пересылки;
• Source/Destination — нужно указать IP-адрес сервера или одно из значений: IP-адрес, CIDR, диапазон IP-адресов, any, internal и external;
• SourcePort/DestinationPort — при выборе протокола TCP, UDP или TCP and UDP возможно либо указать порт или диапазон портов, либо any;
• Protocol — тип протокола, доступно ANY, TCP, UDP, TCP and UDP и ICMP.

Для создания правила нажмите «Сохранить».

3. Чтобы созданное правило вступило в силу необходимо сохранить изменения с помощью кнопки «Сохранить». Вы можете создать несколько правил и затем сохранить все разом:

Чем меньше порядковый номер правила (чем выше оно в списке), тем выше его приоритет. Например, после того как было создано запрещающее правило для входящих Tcp пакетов на определенный диапазон адресов, создадим правило разрешающее получать входящие пакеты по 443 порту протокола Tcp с исходящего 443 порта. После сохранения изменений при такой конфигурации данный порт все также будет недоступен, в связи с тем, что запрещающее правило имеет более высокий приоритет.

Для изменения приоритета правил перетащите с помощью левой кнопки мыши разрешающее правило на первое место и сохраните изменения.

Как настроить правила NAT

Что это такое?

NAT (от англ. Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. Чаще всего NAT используется, чтобы заменить IP-адрес внутренней сети во внешний IP-адрес. Когда другие компьютеры в Интернете пытаются получить доступ к компьютерам в локальной сети, они видят только адрес маршрутизатора. Это дополнительный уровень безопасности, поскольку маршрутизатор можно настроить как брандмауэр, который позволяет только авторизованным системам получать доступ к компьютерам в локальной сети.

Для настройки правила NAT выполните следующие действия:

1. Создайте маршрутизируемую (routed) сеть в панели управления и подключите к ней виртуальные серверы. В одну сеть можно объединить только серверы из одного центра обработки данных.
2. Откройте вкладку NAT и нажмите кнопку ДобавитьПримечание: пользователь может создавать два типа правил — SNAT или DNAT.

SNAT

SNAT (Source) изменяет исходный IP-адрес сетевого пакета с данными на другой IP-адрес. Сценарий использования: маскировка и сокрытие локальных (частных) IP-адресов устройств для повышения конфиденциальности и безопасности.

При создании правила типа в выпадающем списке NAT Type необходимо выбрать SNAT и заполнить следующие поля:

Description — удобное для пользователя название;

OriginalIp — локальный (частный) адрес сервера, будет преобразован;

TranslatedIp — внешний адрес маршрутизатора в сети, это значение вводится автоматически и не может быть изменено.

С помощью флага Enable можно включать или отключать правило.

DNAT

DNAT (Destination) используется для преобразования целевого IP-адреса сетевого пакета в другой IP-адрес. Сценарий использования: маскировка внутренних IP-адресов и их дальнейшая замена другими IP-адресами.

При создании правила типа в выпадающем списке NAT Type необходимо выбрать DNAT и заполнить следующие поля:

Description — удобное для пользователя название;

OriginalIp — внешний адрес маршрутизатора в сети, это значение вводится автоматически и не может быть изменено;

TranslatedIp — локальный (частный) адрес сервера, для которого нужно выполнить преобразование;

Protocol — из доступного списка протоколов выберете необходимый;

OriginalPort — порт маршрутизатора, на который поступают пакеты данных;

TranslatedPort — порт локального сервера, к которому нужно выполнить изменение.

С помощью флага Enable можно включать или отключать правило.

Редактирование NAT правил

Ранее созданные правила NAT можно отредактировать. Для этого кликните левой кнопкой мыши на поле NAT type. После внесения изменения их необходимо сохранить.

Примечание: с помощью флага Enable можно включать или отключать правило.

Удаление NAT правил

3. Выполните удаление можно с помощью Крестика. Действие по удалению правила необходимо подтвердить во всплывающем окне и нажать кнопку Подтвердить.

Как создать снапшот (snapshots)

Что это такое?

Снапшот — моментальный снимок, копия всей файловой системы сервера. В отличии от резервного копирования снапшот создается оперативно и только по непосредственной команде пользователя.

Для создания снапшота выполните следующие действия:

1. Выберете в горизонтальном меню нужный сервер для создания снимка сервера.
2. Перейдите на вкладку Снимки → Сделать снимок.
3. Введите имя снимка в пустое поле.
4. Нажмите Сделать снимок.

Примечание: вы можете хранить только один снапшот для каждого сервера. Длительность хранения снимка — 7 дней, по истечению этого периода снимок автоматически удаляется.

Как восстановить сервер из снимка

1. Перейдите в меню Снимки → Восстановить из снимка. На снимке будет указано его название и временной штамп.
2. Нажмите на кнопку Восстановить.
3. Удалить созданный снапшот можно с помощью кнопки Удалить.

Как подключить резервное копирование

Что это такое?

Резервное копирование  — процесс создания копии данных на носителе (жёстком диске), предназначенном для восстановления данных в оригинальном или новом месте их расположения в случае их повреждения или разрушения.

Для подключения услуги резервное копирование выполните следующие действия:

Для уже созданного сервера можно подключить услугу в меню сервера Backup, так же указав глубину хранения копий. Не забудьте сохранить изменения и нажмите кнопку Изменить.

Примечание: резервное копирование выполняется 1 раз в сутки на географически удаленный дисковый массив. Параметр Глубина хранения определяет сколько будут храниться резервные копии (1, 2, 3 или 4 недели). Копии старше выбранного срока автоматически удаляются.

Как восстановить сервер из резервной копии

1. Выберете вкладку Backup → Восстановить из копии
2. Выберете способ восстановления сервера: Рядом или Поверх

Примечание:

При выборе Рядом будет создан дубликат сервера.

При выборе Поверх на основном сервере будет восстановлена выбранная копия.

3. Выберете дату создания резервной копии, которую необходимо восстановить.
4. При восстановлении Поверх отметьте галочкой дополнительное поле. Нажмите кнопку Восстановить.

Как отключить услугу резервное копирование

1. Выберете вкладку Backup → Расписание и нажмите кнопку Выключено.
2. Подтвердите свои действия с помощью кнопки Изменить.

Как создать публичную сеть

Вы можете объединить только серверы, расположенные в одном ЦОДе.

Для создания публичной сети выполните следующие действия:

1. Выберете раздел Сети в вертикальном меню слева и нажмите кнопку Добавить сеть.
2. Выберете центр обработки данных, в котором будет создана сеть.
3. Выберете тип сети Публичная сеть
4. Выберете емкость сети и укажите ширину канала, нажмите кнопку Создать сеть.
5. Вашей сети будет выдан публичный шлюз и маска, и указана емкость сети. Для подключения сервера к сети переведите тумблер Подключить в активное состояние и нажмите Сохранить.

Примечание:

При подключении к сети на ваш виртуальный сервер будет добавлен еще один сетевой адаптер, который необходимо настроить на уровне операционной системы. Публичные адреса будут доступны в панели управления.

Рекомендуем также настроить: Firewall, VPN.

Как настроить маршрутизируемую Routed-сеть

Что это такое?

Маршрутизируемая (Routed) сеть — это частная сеть, к которой уже подключен маршрутизатор с публичным интерфейсом. Все виртуальные серверы в такой сети могут выходить в Интернет через маршрутизатор и принимать входящие подключения, используя NAT.

Для создания сети выполните следующие действия:

1. Выберите раздел Сети в вертикальном меню слева и нажмите кнопку Добавить сеть.
2. Выберите Маршрутизируемая.
3. Выберите центр обработки данных, в котором будет создана сеть.

Примечание: при необходимости укажите использование DHCP — в этом случае сетевые настройки будут получены автоматически.

4. Далее с помощью ползунка укажите необходимую ширину канала связи.
5. Выберете диапазон
6. Укажите адрес сети в CIDR формате.

Примечание: введенный адрес должен принадлежать одному из указанных диапазонов: 10.0.0.0 — 10.255.255.0, 100.64.0.0 — 100.127.255.0, 172.16.0.0 — 172.31.255.0, 192.168.0.0 — 192.168.255.0.

7. Ведите удобное название и нажмите Создать.

Для подключения сервера к сети переведите тумблер Подключить в активное состояние и нажмите Сохранить. Можно подключить только серверы расположенные в ЦОДе, в котором эта сеть находится. При подключении к сети на ваш виртуальный сервер будет добавлен еще один сетевой адаптер, который необходимо настроить на уровне операционной системы.

8. Для удаления сети во вкладке Удалить подтвердите удаление и нажмите соответствующую кнопку. Также, можно удалить сеть из списка сетей, нажав на крестик.

Стоимость маршрутизируемой (Routed) сети складывается из 1 внешнего IP-адреса маршрутизатора и ширины канала связи.

Рекомендуем также настроить: Firewall, VPN, NAT.

Как создать частную сеть?

Частная сеть — сеть, которая не использует подключение к интернету или использует его вместе с преобразованием сетевых адресов (NAT), чтобы внутренние IP-адреса такой сети не выходили в интернет. При этом частная сеть позволяет пользователю присоединяться к другим компьютерам в этой сети. Вы можете объединить только серверы расположенные в одном ЦОДе.

Для создания частной сети выполните следующие действия:

1. Выберете раздел Сети в вертикальном меню слева и нажмите кнопку Добавить сеть.
   
2. Выберете центр обработки данных, в котором будет создана сеть, тип сети Частная сеть и название, нажмите кнопку Создать сеть.
   

Примечание:

• При необходимости вы можете использовать DHCP.
• Вашей сети будет выдан шлюз и маска, емкость сети 256 адресов. Для подключения сервера к сети переведите тумблер Подключить в активное состояние и нажмите Сохранить.
• При подключении к сети на ваш виртуальный сервер будет добавлен еще один сетевой адаптер, который необходимо настроить на уровне операционной системы. Если ваша сеть без DHCP, то локальные адреса будут доступны в панели управления.

Как настроить VPN

Что это такое?

VPN (англ. Virtual Private Network «виртуальная частная сеть») — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим или неизвестным уровнем доверия (например по публичным сетям) уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).

В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов:

• узел-узел
• узел-сеть
• сеть-сеть

Для создания VPN-тоннеля выполните следующие действия:

1. Выберете вкладку VPN в настройках выбранной сети и нажмите кнопку Добавить.
   
2. Заполните поля в открывшемся окне:
   

• Name — удобное и понятное название VPN-соединения.
• Local Network — адрес выбранной сети в панели управления, значение устанавливается автоматически.
• Peer Networks — адрес удаленной локальной сети, с которой устанавливается VPN-соединение.
• Local End Point — локальная точка тоннелирования, значение выбирается автоматически.
• Peer Ip — это внешний IP-адрес устройства (Firewall или VPN-коннектор удаленной сети), с которым необходимо установить связь по VPN-тоннелю.
• Peer Id — это как правило внешний IP-адрес устройства (Firewall или VPN-коннектор удаленной сети), с которым необходимо установить связь по VPN-тоннелю.
• Peer Id и Peer IP совпадают, если на удаленной сети не используется NAT-устройство. При использовании NAT это может быть частный IP-адрес.
• Encryption protocol — выберете тип протокола шифрования, доступны AES256, AES, 3DES.
• Shared key — ключ шифрования. Введенная строка должна содержать от 32 до 128 символов, иметь одну заглавную букву, одну букву в нижнем регистре и хотя бы одну цифру. Рекомендуем пользоваться публичными генераторами ключей.
• MTU — размер полезного блока данных одного пакета, возможный диапазон — от 60 до 9000 байт.

3. Установите галочку VPN включен, сохраните изменения и управляйте состоянием тоннеля.

Примечание:

• Если на обеих сторонах все настроено правильно, то в панели отобразится статус OK.
• Существует два статуса соединения по VPN-тоннелю — ОК (зеленая галочка) и Critical (красный крестик). Обновление статуса происходит при перезагрузке страницы в браузере и при открытой странице — каждые 15 секунд.

4. Для удаления VPN-тоннеля нажмите серый крестик в столбце действия и выполните подтверждение.

Как расширить канал Интернет

Если вам необходимо увеличить скорость соединения с сетью Интернет, вы можете самостоятельно управлять в настройках сервера в панели управления во вкладке Сети.

Примечание:

1. Расширить канал до 100 Мбит/с самостоятельно.
2. Расширить канал свыше 100 Мбит/с при обращении к вашему персональному менеджеру ОБИТ.

Для расширения канал Интернет выполните следующие действия:

1. Выберете раздел Серверы в вертикальном меню слева и нажмите кнопку Добавить сеть.
2. Вкладка Создание сервера, раздел Параметры → Выбор конфигурации сервера.
3. Выберете необходимый объем трафика с помощью ползунка Ширина канала связи. Трафик не ограничен. (Mbit/sec).
4. Нажмите Сохранить.

Примечание:

Если ваша компания работает с конфиденциальной информацией, мы можем организовать выделенный канал передачи данных от вашего виртуального сервера до вашего офиса для транзита трафика по изолированной от Интернет сети среде.