Общие сведения о таблицах брандмауэра
В таблице брандмауэра перечислены правила фильтрации для входящего и исходящего сетевого трафика ресурсов частного облака. Вы можете применить таблицы брандмауэра к виртуальной ЛС или подсети. Правила управляют сетевым трафиком между исходной сетью или IP-адресом и целевой сетью или IP-адресом.
Правила брандмауэра
В следующей таблице описаны параметры правила брандмауэра.
| Свойство | Сведения |
|---|---|
| Имя | Имя, однозначно определяющее правило брандмауэра и его назначение. |
| Приоритет | Число от 100 до 4096, где 100 — самый высокий приоритет. Правила обрабатываются в порядке приоритета. Если обнаруживается соответствие трафика правилу, обработка правила останавливается. В результате правила с более низким приоритетом и тем же атрибутом, что и правила с высоким приоритетом, не обрабатываются. Следите за тем, чтобы правила не конфликтовали. |
| Отслеживание состояния | Отслеживание может выполняться без отслеживания состояния (частное облако, Интернет или VPN) или с отслеживанием состояния (общедоступный IP-адрес). |
| протокол; | Возможные варианты: Any (Любой), TCP или UDP. Если требуется протокол ICMP, используйте вариант Any. |
| Направление | Определяет тип трафика (входящий или исходящий), к которому применяется правило. |
| Действие | Разрешение или запрет для типа трафика, определенного в правиле. |
| Источник | IP-адрес, блок в формате бесклассовой междоменной маршрутизации (CIDR) (например, 10.0.0.0/24) или Any (Любой). Если выбрать диапазон, тег службы или группу безопасности приложений, можно создавать меньше правил безопасности. |
| Исходный порт | Порт, с которого исходит сетевой трафик. Можно задать отдельный порт или диапазон портов, например 443 или 8000–8080. Если указать диапазон, можно создавать меньше правил безопасности. |
| Назначение | IP-адрес, блок в формате бесклассовой междоменной маршрутизации (CIDR) (например, 10.0.0.0/24) или Any (Любой). Если выбрать диапазон, тег службы или группу безопасности приложений, можно создавать меньше правил безопасности. |
| Конечный порт | Порт, на который идет сетевой трафик. Можно задать отдельный порт или диапазон портов, например 443 или 8000–8080. Если указать диапазон, можно создавать меньше правил безопасности. |
Без отслеживания состояния
Правило без отслеживания состояния выполняет поиск только по отдельным пакетам и фильтрует их на основе правила.
Для потока трафика в обратном направлении могут потребоваться дополнительные правила. Используйте правила без отслеживания состояния для трафика между следующими точками:
- подсети частных облаков;
- локальная подсеть и подсеть частного облака;
- интернет-трафик из частных облаков.
С отслеживанием состояния
Правило с отслеживанием состояния учитывает соединения, которые проходят через него. Запись потока создается для имеющихся подключений. Обмен данными разрешен или запрещен в зависимости от состояния подключения записи потока. Используйте этот тип правила для общедоступных IP-адресов, чтобы фильтровать трафик из Интернета.
Правила по умолчанию
Для каждой таблицы брандмауэра создаются следующие правила по умолчанию.
| Приоритет | Имя | Отслеживание состояния | Направление | Тип трафика | Протокол | Источник | Исходный порт | Назначение | Конечный порт | Действие |
|---|---|---|---|---|---|---|---|---|---|---|
| 65000 | allow-all-to-internet | С отслеживанием состояния | Исходящий трафик | Трафик общедоступного IP-адреса или интернет-трафик | All | Любой | Любой | Любой | Любой | Allow |
| 65001 | deny-all-from-internet | С отслеживанием состояния | Входящий трафик | Трафик общедоступного IP-адреса или интернет-трафик | All | Любой | Любой | Любой | Любой | Запрет |
| 65002 | allow-all-to-intranet | Без отслеживания состояния | Исходящий трафик | Внутренний или VPN-трафик частного облака | All | Любой | Любой | Любой | Любой | Allow |
| 65003 | allow-all-from-intranet | Без отслеживания состояния | Входящий трафик | Внутренний или VPN-трафик частного облака | All | Любой | Любой | Любой | Любой | Allow |