Konfiguration der Network Firewall

Erfahren Sie hier, wie Sie die Network Firewall konfigurieren

Diese Übersetzung wurde durch unseren Partner SYSTRAN automatisch erstellt. In manchen Fällen können ungenaue Formulierungen verwendet worden sein, z.B. bei der Beschriftung von Schaltflächen oder technischen Details. Bitte ziehen Sie beim geringsten Zweifel die englische oder französische Fassung der Anleitung zu Rate. Möchten Sie mithelfen, diese Übersetzung zu verbessern? Dann nutzen Sie dazu bitte den Button “Mitmachen” auf dieser Seite.

Letzte Aktualisierung am 07.11.2022

Ziel

Zum Schutz seiner weltweiten Infrastruktur und der Server seiner Kunden bietet OVHcloud eine konfigurierbare Network Firewall an, die in die Anti-DDoS (VAC) Lösung integriert ist. Mithilfe dieser Option kann die Anfälligkeit der Dienste für Angriffe aus dem öffentlichen Netz begrenzt werden.

Diese Anleitung erklärt, wie Sie die Network Firewall konfigurieren.

Weitere Informationen zu unserer Anti-DDoS-Lösung finden Sie hier: https://www.ovhcloud.com/de/security/anti-ddos/.

VAC im Detail

Voraussetzungen

Diese Funktion kann nur eingeschränkt oder nicht verfügbar sein, falls ein Dedicated Server der Eco Produktlinie eingesetzt wird.

Weitere Informationen finden Sie auf der Vergleichsseite.

Beschreibung

Network Firewall aktivieren

Network Firewall schützt die IP-Adressen, die mit einer Maschine verbunden sind. Daher ist es notwendig, jede IP-Adresse einzeln zu konfigurieren, eine globale Serverkonfiguration ist nicht möglich.

Wenn Sie in Ihrem OVHcloud Kundencenter eingeloggt sind, gehen Sie in den Bereich IP und klicken Sie auf ..., um die Firewall für die gewünschte IPv4-Adresse zu aktivieren.

Aktivierung der Network Firewall

  • Anschließend werden Sie nach einer Bestätigung gefragt.

Bestätigung

  • Klicken Sie danach auf Firewall aktivieren (1) und dann auf Firewall konfigurieren (2), um mit der Konfiguration zu beginnen.

Aktivierung der Konfiguration

Sie können bis zu 20 Regeln für jede IP-Adresse festlegen.

Die Firewall wird bei jedem DDoS-Angriff automatisch aktiviert, und es ist nicht möglich, sie vor Ende des Angriffs zu deaktivieren. Deshalb ist es wichtig, dass Ihre Firewall-Regeln immer auf dem neuesten Stand sind. Standardmäßig sind keine Regeln konfiguriert, so dass alle Verbindungen offen sind. Sollten Sie Firewall-Regeln angelegt haben, denken Sie bitte daran, diese regelmäßig zu überprüfen, auch wenn Sie die Firewall deaktivieren.

  • Die UDP-Fragmentierung (DROP) ist standardmäßig blockiert. Wenn Sie ein VPN verwenden, denken Sie nach der Aktivierung der Network Firewall daran, Ihre maximale Übertragungseinheit (MTU) korrekt zu konfigurieren. In OpenVPN können Sie z.B. MTU Test anhaken.
  • Die Network Firewall hat keinen Einfluss auf die Verbindungen innerhalb des OVHcloud Netzwerks. Die definierten Regeln haben also keine Auswirkungen auf die Verbindungen im internen Netzwerk.

Konfiguration der Network Firewall

Bitte beachten Sie, dass die Network Firewall von OVHcloud nicht verwendet werden kann, um Ports auf einem Server zu öffnen. Um Ports auf einem Server zu öffnen müssen Sie die Firewall des auf dem Server installierten Betriebssystems einrichten.
Weitere Informationen finden Sie in diesen Anleitungen: Firewall auf einem Windows Server konfigurieren und Konfiguration der Linux Firewall mit iptables.

Um eine Regel hinzuzufügen, klicken Sie rechts auf die Schaltfläche Eine Regel hinzufügen:

Regel hinzufügen

Legen Sie dann für jede Regel folgende Einstellungen fest:

  • die Priorität (von 0 bis 19, wobei die Regel mit dem Wert 0 als erste Regel angewendet wird, danach in aufsteigender Reihenfolge)
  • die auszuführende Aktion: (Erlauben oder Verbieten)
  • das Protokoll
  • eine IP-Adresse (optional)
  • den Quell-Port (nur bei TCP)
  • den Ziel-Port (nur bei TCP)
  • die TCP-Optionen (nur bei TCP)

Details zum Hinzufügen einer Regel

  • Priorität 0: Es wird empfohlen, das TCP-Protokoll auf allen IPs mit der ESTABLISHED Option zuzulassen. Mit dieser Option kann überprüft werden, ob das Paket Teil einer zuvor geöffneten (bereits initiierten) Sitzung ist. Wenn Sie diese Option nicht zulassen, wird der Server keine TCP-Rückmeldungen für SYN/ACK-Anfragen erhalten.
  • Priorität 19: Die empfohlene Einstellung ist, mit der Regel 19 das Verwerfen aller IPv4-Pakete einzustellen, damit alle Pakete, die durch keine der vorangegangenen Regeln akzeptiert wurden, blockiert werden.

Konfigurationsbeispiel

Um nur die Ports für SSH (22), HTTP (80), HTTPS (443) und UDP (auf Port 10000) zu öffnen, wenn ICMP erlaubt ist, nutzen Sie die folgenden Regeln:

Konfigurationsbeispiel:

Die Regeln sind numerisch geordnet von 0 (erste angewandte Regel) bis 19 (zuletzt angewendete Regel). Die sequentielle Überprüfung der Regelkette wird abgebrochen, sobald eine Regel auf das empfangene Paket zutrifft.

Im Beispiel wird ein Paket für den TCP-Port 80 von der Regel 2 angenommen, die nachfolgenden Regeln werden also nicht mehr angewendet. Ein Paket, das für TCP-Port 25 bestimmt ist, wird nur von der letzten Regel (Nummer 19) abgefangen. Die Regel 19 blockiert daraufhin das Paket, da die Firewall in den voranstehenden Regeln die Kommunikation auf Port 25 nicht explizit erlaubt hat.

Wie erwähnt ist die vorstehende Konfiguration nur ein Beispiel und sollte nur als Referenz verwendet werden, wenn die Regeln nicht für die auf Ihrem Server gehosteten Dienste gelten. Es ist absolut notwendig, die Regeln Ihrer Firewall entsprechend den auf Ihrem Server gehosteten Diensten zu konfigurieren. Eine fehlerhafte Konfiguration Ihrer Firewall-Regeln kann dazu führen, dass der rechtmäßige Traffic blockiert wird und die Serverdienste nicht erreichbar sind.

Schutz

Es gibt drei Varianten des Schutzmodus: Automatisch, Permanent und Erzwungen.

Automatischer Schutz: Bei diesem Modus läuft der Traffic nur über das Abwehrsystem, wenn er im Vergleich zum üblichen Traffic, den der Server normalerweise empfängt, als "ungewöhnlich" erkannt wird.

Permanenter Schutz: Wenn Sie den permanenten Schutz aktivieren, wird über unsere "Shield"-Hardware ein konstanter Erstfilter angewendet.
Der gesamte Traffic läuft permanent über das Schutzsystem, bevor er den Server erreicht. Wir empfehlen diesen Modus für Dienste mit häufigen Angriffen.
Bitte beachten Sie, dass die Network Firewall nicht erstellt oder aktiviert sein darf, um den permanenten Schutz für Ihre IP zu aktivieren.

Öffnen Sie das Menü IP und klicken Sie auf ... rechts neben der betreffenden IPv4. Wählen Sie Schutz: permanenter Modus.

Erzwungener Schutz: Dieser Modus wird automatisch aktiviert, sobald ein Angriff auf den Server erkannt wurde. Nach der Aktivierung kann dieser Modus nicht deaktiviert werden. Zum Schutz unserer Infrastruktur wird der Schutz während des gesamten Angriffs aktiviert, bis er vollständig abgeschwächt ist.

Wenn Sie die DDoS-Schutz-Funktion aktivieren, werden automatisch auch Ihre Regeln der Network Firewall aktiviert, auch wenn Sie die Firewall deaktiviert haben. Um die Network Firewall vollständig zu deaktivieren, müssen auch Ihre Regeln gelöscht werden.

Bitte beachten Sie, dass die DDoS-Mitigation nicht deaktiviert werden kann.

Armor Firewall konfigurieren (Game Firewall)

Die Armor Firewall ist standardmäßig mit bestimmten Regeln vorkonfiguriert, die OVHcloud für die gängigsten Spiele festgelegt hat. Für Kunden, die über einen dedizierten Game Server verfügen, erlauben wir Ihnen jedoch, einen Schritt weiter zu gehen und auch Regeln für Ports zu konfigurieren.

Um die Regeln Ihrer Ports in Armor zu konfigurieren müssen Sie sich zuerst in Ihrem OVHcloud Kundencenter einloggen.
Gehen Sie anschließend in das Menü IP und klicken Sie auf .... neben der IP-Adresse Ihres Gameservers und anschließend auf Game Firewall konfigurieren.

Game_wall

Klicken Sie auf dem folgenden Bildschirm auf den Button Regel hinzufügen, um Armor hinzuzufügen.

Sie können bis zu 30 Regeln für jede IP-Adresse festlegen.

configure_Armor

Aktivieren Sie die Ports nach Bedarf auf dem folgenden Bildschirm und klicken Sie auf Bestätigen, wenn Sie Ihre Regeln hinzugefügt haben. Die Armor Firewall wurde nun erfolgreich konfiguriert.

Weiterführende Informationen

Für den Austausch mit unserer User Community gehen Sie auf https://community.ovh.com/en/.


Haben Ihnen die Anleitungen geholfen?

Bevor Sie Ihre Meinung abgeben, nehmen wir gerne Ihre Vorschläge auf, wie wir diese Dokumente verbessern können.

Woran liegt es? An den Bildern, dem Inhalt oder Aufbau der Anleitungen? Schreiben Sie es uns gerne, dann machen wir es zusammen besser.

Ihre Support-Anfragen werden in diesem Formular nicht entgegengenommen. Verwenden Sie hierfür bitte das Formular "Ein Ticket erstellen" .

Vielen Dank. Ihr Feedback wurde gesendet.


Diese Anleitungen könnten Sie auch interessieren...

OVHcloud Community

Besuchen Sie Ihren Community-Bereich und tauschen Sie sich mit anderen Mitgliedern der OVHcloud Community aus. Hier können Sie Fragen stellen, zusätzliche Informationen finden und eigene Inhalte veröffentlichen.

Tauschen Sie sich mit der Community aus

Alle Preise verstehen sich inklusive der gesetzlichen Mehrwertsteuer.

In Übereinstimmung mit der Richtlinie 2006/112/EG in der geänderten Fassung können die Preise ab 01.01.2015 je nach Wohnsitzland des Kunden variieren
(die Preise in den Angeboten verstehen sich inklusive der gesetzlichen Mehrwertsteuer für die Bundesrepublik Deutschland).