Konfiguracja zapory sieciowej Network Firewall

Dowiedz się, jak skonfigurować reguły firewalla w OVHcloud

Tłumaczenie zostało wygenerowane automatycznie przez system naszego partnera SYSTRAN. W niektórych przypadkach mogą wystąpić nieprecyzyjne sformułowania, na przykład w tłumaczeniu nazw przycisków lub szczegółów technicznych. W przypadku jakichkolwiek wątpliwości zalecamy zapoznanie się z angielską/francuską wersją przewodnika. Jeśli chcesz przyczynić się do ulepszenia tłumaczenia, kliknij przycisk “Zaproponuj zmianę” na tej stronie.

Ostatnia aktualizacja z dnia 07-11-2022

Wprowadzenie

Aby chronić swoją globalną infrastrukturę oraz serwery klientów, OVHcloud udostępniło zaporę ogniową, z możliwością wprowadzenia własnej konfiguracji, w pełni zintegrowaną z rozwiązaniem Anty-DDoS (VAC): Network Firewall . Jest to rozwiązanie filtrujące ataki z sieci publicznej na usługi naszych klientów.

Ten przewodnik wyjaśnia, jak skonfigurować zaporę Network Firewall w Panelu klienta.

Więcej informacji o rozwiązaniu DDoS, znajdziesz na stronie: https://www.ovhcloud.com/pl/security/anti-ddos/.

Szczegóły dotyczące systemu VAC

Wymagania początkowe

Funkcja ta może być niedostępna lub ograniczona na serwerach dedykowanych Eco.

Aby uzyskać więcej informacji, zapoznaj się z naszym porównaniem.

W praktyce

Aktywacja zapory Network Firewall

Network Firewall chroni adresy IP powiązane z serwerem. Należy zatem skonfigurować reguły dla każdego adresu IP oddzielnie. Wprowadzenie wspólnej konfiguracji dla całego serwera nie jest możliwe.

Zaloguj się do Panelu klienta OVHcloud, kliknij menu Bare Metal Cloud i otwórz sekcję IP. Kliknij ..., aby aktywować zaporę na wybranym adresie IPv4.

Aktywacja Network Firewall

Następnie wymagane jest potwierdzenie.

Zatwierdzenie

Następnie kliknij przycisk Aktywuj firewall (1), po czym wybierz Skonfiguruj firewall (2) i rozpocznij konfigurację.

Uruchomienie konfiguracji

Do dyspozycji masz 20 reguł dla każdego adresu IP.

Firewall uruchamia się automatycznie przy każdym ataku DDoS i nie można go wyłączyć przed zakończeniem ataku. Dlatego ważne jest, aby reguły firewalla były aktualne. Domyślnie, żadne reguły nie są skonfigurowane, więc można ustanowić dowolne połączenia z serwerem. Kiedy korzystasz z firewalla, pamiętaj o regularnym sprawdzaniu reguł (jeśli je ustawiłeś), nawet jeśli jest on w danej chwili dezaktywowany.

  • Fragmentacja UDP jest domyślnie zablokowana (DROP). Jeśli używasz sieci VPN, to podczas aktywacji firewalla, pamiętaj, aby poprawnie skonfigurować maksymalną jednostkę transmisji (MTU). Na przykład na OpenVPN możesz zaznaczyć MTU test.
  • Reguły skonfigurowane w Network Firewallu nie są brane pod uwagę wewnątrz sieci OVHcloud. Wprowadzone reguły nie mają wpływu na połączenia w wewnętrznej sieci OVHcloud.

Konfiguracja zapory Network Firewall

Network Firewall OVHcloud nie może być używany do otwierania portów na serwerze. Aby otworzyć porty na serwerze, musisz przejść przez firewall systemu operacyjnego zainstalowanego na serwerze
Więcej informacji znajdziesz w przewodnikach: Konfiguracja firewalla w systemie Windows i Konfiguracja firewalla w systemie Linux z systemem Iptables.

Dodawanie reguły odbywa się przez kliknięcie po prawej stronie Dodaj regułę.

Dodawanie reguły

Dla każdej reguły możesz wybrać:

  • priorytet (od 0 do 19, gdzie 0 jest pierwszą zastosowaną regułą);
  • akcja (Zezwalaj lub Odrzucaj);
  • protokół
  • IP (opcjonalnie);
  • port źródłowy (tylko dla TCP);
  • port docelowy (tylko dla TCP);
  • opcje TCP (tylko dla TCP).

Szczegóły dotyczące dodania reguły

  • Priorytet 0: zaleca się autoryzację protokołu TCP dla wszystkich IP z opcją Established. Opcja Established umożliwia sprawdzenie, czy pakiet jest częścią poprzednio otwartej sesji (już zainicjowanej). Jeśli na to nie zezwolisz, serwer nie otrzyma zwrotów protokołu TCP z żądań SYN/ACK.

  • Priorytet 19: odrzucenie całego protokołu IPv4, jeśli nie zostanie spełniona żadna reguła przed 19-tą (ostatnią możliwą).

Przykład konfiguracji

Aby pozostawić otwarte tylko porty SSH (22), HTTP (80), HTTPS (443), UDP (na porcie 10000), zezwalając na ICMP, należy przestrzegać następujących zasad:

Przykład konfiguracji.

Reguły są uporządkowane chronologicznie, od 0 (pierwsza odczytana reguła) do 19 (ostatnia odczytana reguła) i w tym porządku są uruchamiane dla pakietów. Reguły przestają być sprawdzane, w chwili gdy jedna z nich dotyczy odebranego pakietu.

Na przykład pakiet przeznaczony dla portu 80/TCP zostanie przechwycony przez regułę 2, wtedy kolejne reguły nie są już aplikowane. Pakiet przeznaczony dla portu 25/TCP zostanie przechwycony tylko przy ostatniej regule (19), która zablokuje go, ponieważ OVHcloud nie zezwala na żadną komunikację na porcie 25 w poprzednich regułach.

Jak już wspomniano, powyższa konfiguracja jest tylko przykładem i powinna zostać użyta jako punkt odniesienia, jeśli reguły nie mają zastosowania do usług hostowanych na Twoim serwerze. Konieczne jest skonfigurowanie reguł firewalla w zależności od usług hostowanych na Twoim serwerze. Nieprawidłowa konfiguracja reguł firewall może spowodować zablokowanie prawidłowego ruchu i niedostępność usług serwera.

Mitygacja ataków - Filtrowanie ataku DDoS - OVH Anty-DDoS

Istnieją trzy tryby filtrowania: automatyczne, stałe lub wymuszone.

Automatyczne filtrowanie: Dzięki temu trybowi ruch przechodzi przez system mitygacji tylko wtedy, gdy zostanie wykryty jako "nietypowy" w porównaniu do normalnego ruchu otrzymywanego przez serwer.

Stałe filtrowanie: Aktywując stałe filtrowanie, stosujesz pierwszy poziom stałego filtrowania przez sprzęt Shield.
Cały ruch przechodzi przez system mitygacji zanim dotrze do serwera. Zalecamy ten tryb w przypadku usług będących przedmiotem częstych ataków.
Pamiętaj, że Firewall Network nie powinien zostać utworzony/aktywowany, aby włączyć stałe filtrowanie dla Twojego IP.

Aby go aktywować, kliknij menu Bare Metal Cloud i otwórz IP. Następnie kliknij przycisk ... po prawej stronie odpowiedniego IPv4 i wybierz Filtrowanie: tryb stały.

Wymuszone filtrowanie: Tryb ten jest włączany automatycznie po wykryciu ataku na serwer. Po włączeniu tego trybu nie można wyłączyć. W celu ochrony naszej infrastruktury, ochrona będzie aktywowana przez cały czas trwania ataku, aż do całkowitego zniszczenia infrastruktury.

W chwili gdy włącza się ochrona Anty-DDoS, Twoje reguły zdefiniowane w usłudze Network Firewall zostaną uaktywnione, nawet jeśli je wyłączyłeś. W przypadku dezaktywacji firewalla, pamiętaj o usunięciu reguł.

Pamiętaj, że tłumienie anty-DDoS nie może zostać wyłączone.

Konfiguracja zapory Armor (Firewall Game)

Domyślnie firewall Armor jest wstępnie skonfigurowany z niektórymi zasadami, które OVHcloud ustalił podczas uruchamiania najpopularniejszych gier. Jednak w przypadku klientów posiadających serwer dedykowany Game możemy pójść o krok dalej i skonfigurować reguły dla portów.

Aby skonfigurować reguły portów w trybie Armor, należy najpierw zalogować się do Panelu klienta OVHcloud.
Następnie przejdź do menu Bare Metal Cloud i otwórz sekcję IP. Kliknij ... obok adresu IP serwera gier, a następnie Konfiguracja firewall game.

Game_wall

Na następnym ekranie kliknij przycisk Dodaj regułę, aby dodać regułę do Armor.

Do dyspozycji masz 30 reguł dla każdego adresu IP.

Konfiguruj_Armor

Włącz porty zgodnie z Twoimi potrzebami na kolejnym ekranie i kliknij przycisk Zatwierdź, gdy zakończysz dodawanie reguł. Firewall Armor został już skonfigurowany.

Sprawdź również

Przyłącz się do społeczności naszych użytkowników na stronie https://community.ovh.com/en/.


Czy ten przewodnik był pomocny?

Zachęcamy do przesyłania sugestii, które pomogą nam ulepszyć naszą dokumentację.

Obrazy, zawartość, struktura - podziel się swoim pomysłem, my dołożymy wszelkich starań, aby wprowadzić ulepszenia.

Zgłoszenie przesłane za pomocą tego formularza nie zostanie obsłużone. Skorzystaj z formularza "Utwórz zgłoszenie" .

Dziękujemy. Twoja opinia jest dla nas bardzo cenna.


Inne przewodniki, które mogą Cię zainteresować...

OVHcloud Community

Dostęp do OVHcloud Community Przesyłaj pytania, zdobywaj informacje, publikuj treści i kontaktuj się z innymi użytkownikami OVHcloud Community.

Porozmawiaj ze społecznością OVHcloud

Zgodnie z Dyrektywą 2006/112/WE po zmianach, od dnia 1 stycznia 2015 r., ceny brutto mogą różnić się w zależności od kraju zameldowania klienta
(ceny brutto wyświetlane domyślnie zawierają stawkę podatku VAT na terenie Polski).