OVH-handleidingen

Configuratie van Network Firewall

Leer hoe u uw Network Firewall kunt instellen

Laatste update 13-09-2018

Introductie

Om de wereldwijde infrastructuur en servers van zijn klanten te beschermen, biedt OVH een configureerbare firewall die kan worden geïntegreerd met de anti-DDoS (VAC) -oplossing: Deze optie beperkt de gevoeligheid van diensten voor aanvallen vanaf het openbare netwerk.

Deze handleiding legt uit hoe de Network Firewall kan worden geconfigureerd.

Meer informatie over onze anti-DDoS: https://www.ovh.nl/anti-ddos/

Meer informatie over VAC

Vereisten

Instructie

Activeer Firewall Network

De Network Firewall beschermt de IP's die aan een server zijn gekoppeld. Elk IP-adres moet daarom afzonderlijk worden geconfigureerd, er kan geen algemene serverconfiguratie worden gemaakt.

Log u in op bij het OVH Control Panel, ga naar het IP-gedeelte en klik op ... om de firewall op een IPv4 te activeren.

Activering van Network Firewall

Er zal een bevestiging van u gevraagd worden.

Bevestiging

Klik vervolgens op Firewall inschakelen (1) en klik op Firewall configureren (2) om de configuratie te starten.

Activering van de configuratie

U kunt maximaal 20 regels per IP-adres instellen.

De firewall wordt automatisch geactiveerd voor elke DDoS-aanval en kan niet worden uitgeschakeld voor het einde van een aanval. Om deze reden is het belangrijk om de firewallregels up-to-date te houden. Standaard hebt u geen geconfigureerde regels, dus alle verbindingen kunnen worden gemaakt. Als u die hebt, raden we aan ze regelmatig te controleren, zelfs als de firewall is uitgeschakeld.

  • UDP-fragmentatie is standaard uitgeschakeld (DROP). Als u een VPN gebruikt, vergeet dan niet - na activering van de Network Firewall - om uw maximale transmissie-eenheid (MTU) correct te configureren. Op OpenVPN kunt u bijvoorbeeld de MTU-test aanvinken.
  • Network Firewall heeft geen invloed op het OVH netwerk. De gedefinieerde regels hebben daarom geen effect op de verbindingen in het interne netwerk.

Configureer Firewall Network

Voeg een regel toe door te klikken op Regel toevoegen.

Regel toevoegen

Voor elke regel moet u het volgende specificeren:

  • Prioriteit (op een schaal van 0 tot 19, waarbij 0 de eerste regel is om te gebruiken, etc.)
  • Actie (Toestaan of Weigeren)
  • Protocol
  • IP-adres (optioneel)
  • Bronpoort (alleen TCP)
  • Bestemmingspoort (alleen TCP)
  • TCP-opties (alleen TCP)

Informatie over het toevoegen van een regel

  • Prioriteit 0: Het is aanbevolen om het TCP-protocol toe te staan op alle IP's met de established-optie. Hiermee kunt u controleren of het pakket deel uitmaakt van een (reeds eerder gestarte) open sessie. Als u deze optie niet toestaat, ontvangt de server geen TCP-feedback voor SYN/ACK-aanvragen.
  • Prioriteit 19: het volledige IPv4-protocol wordt geweigerd als vóór nummer 19 (de laatste mogelijk) geen regel is gedefinieerd.

Configuratievoorbeeld

Om alleen de SSH-poorten (22), HTTP (80), HTTPS (443), UDP (op poort 10000) te openen en via ICMP toe te staan, moet u de volgende regels definiëren:

Configuratievoorbeeld

De regels worden chronologisch gerangschikt van 0 (eerste toegepaste regel) tot 19 (laatst toegepaste regel). De chronologische controle van de regelketen wordt afgebroken zodra een regel van toepassing is op het ontvangen pakket.

Een pakket voor poort 80/TCP wordt bijvoorbeeld opgevangen door regel nummer 2, dus de volgende regels worden niet getest. Een pakket bestemd voor poort 25/TCP wordt alleen onderschept door de laatste regel (nummer 19). Regel 19 blokkeert dan het pakket, omdat OVH geen communicatie toestaat op poort 25 in de vorige regels.

Als u anti-DDOS inschakelt, worden de regels van uw Network Firewall automatisch geactiveerd, zelfs als u deze regels elders hebt uitgeschakeld. Als u het wilt uitschakelen, vergeet dan niet om uw regels te verwijderen.

Verder

Ga in gesprek met onze communitygebruikers via https://community.ovh.com/en/.


Deze handleidingen kunnen ook interessant zijn voor u...