Dokumentacja techniczna OVH

Konfiguracja zapory sieciowej Network Firewall

Dowiedz się, jak skonfigurować reguły firewalla w OVH

Ostatnia aktualizacja z dnia 08-11-2018

Wprowadzenie

Aby chronić swoją globalną infrastrukturę oraz serwery klientów, OVH udostępniło zaporę ogniową, z możliwością wprowadzenia własnej konfiguracji, w pełni zintegrowaną z rozwiązaniem Anty-DDoS (VAC): Network Firewall . Jest to rozwiązanie filtrujące ataki z sieci publicznej na usługi naszych klientów.

Ten przewodnik wyjaśnia, jak skonfigurować zaporę Network Firewall w Panelu klienta.

Więcej informacji o rozwiązaniu DDoS, znajdziesz na stronie: https://www.ovh.pl/anti-ddos/.

Szczegóły dotyczące systemu VAC

Wymagania początkowe

W praktyce

Aktywacja zapory Network Firewall

Network Firewall chroni adresy IP powiązane z serwerem. Należy zatem skonfigurować reguły dla każdego adresu IP oddzielnie. Wprowadzenie wspólnej konfiguracji dla całego serwera nie jest możliwe.

Po zalogowaniu do Panelu klienta, przejdź do sekcji IP i kliknij ..., aby aktywować zaporę na wybranym adresie IPv4.

Aktywacja Network Firewall

Następnie wymagane jest potwierdzenie.

Zatwierdzenie

Następnie kliknij przycisk Aktywuj firewall (1), po czym wybierz Skonfiguruj firewall (2) i rozpocznij konfigurację.

Uruchomienie konfiguracji

Do dyspozycji masz 20 reguł dla każdego adresu IP.

Firewall uruchamia się automatycznie przy każdym ataku DDoS i nie można go wyłączyć przed zakończeniem ataku. Dlatego ważne jest, aby reguły firewalla były aktualne. Domyślnie, żadne reguły nie są skonfigurowane, więc można ustanowić dowolne połączenia z serwerem. Kiedy korzystasz z firewalla, pamiętaj o regularnym sprawdzaniu reguł (jeśli je ustawiłeś), nawet jeśli jest on w danej chwili dezaktywowany.

  • Fragmentacja UDP jest domyślnie zablokowana (DROP). Jeśli używasz sieci VPN, to podczas aktywacji firewalla, pamiętaj, aby poprawnie skonfigurować maksymalną jednostkę transmisji (MTU). Na przykład na OpenVPN możesz zaznaczyć MTU test.
  • Reguły skonfigurowane w Network Firewallu nie są brane pod uwagę wewnątrz sieci OVH. Wprowadzone reguły nie mają wpływu na połączenia w wewnętrznej sieci OVH.

Konfiguracja zapory Network Firewall

Dodawanie reguły odbywa się przez kliknięcie po prawej stronie Dodaj regułę.

Dodawanie reguły

Dla każdej reguły możesz wybrać:

  • priorytet (od 0 do 19, gdzie 0 jest pierwszą zastosowaną regułą);
  • akcja (Zezwalaj lub Odrzucaj);
  • protokół
  • IP (opcjonalnie);
  • port źródłowy (tylko dla TCP);
  • port docelowy (tylko dla TCP);
  • opcje TCP (tylko dla TCP).

Szczegóły dotyczące dodania reguły

  • Priorytet 0: zaleca się autoryzację protokołu TCP dla wszystkich IP z opcją Established. Opcja Established umożliwia sprawdzenie, czy pakiet jest częścią poprzednio otwartej sesji (już zainicjowanej). Jeśli na to nie zezwolisz, serwer nie otrzyma zwrotów protokołu TCP z żądań SYN/ACK.

  • Priorytet 19: odrzucenie całego protokołu IPv4, jeśli nie zostanie spełniona żadna reguła przed 19-tą (ostatnią możliwą).

Przykład konfiguracji

Aby pozostawić otwarte tylko porty SSH (22), HTTP (80), HTTPS (443), UDP (na porcie 10000), zezwalając na ICMP, należy przestrzegać następujących zasad:

Przykład konfiguracji.

Reguły są uporządkowane chronologicznie, od 0 (pierwsza odczytana reguła) do 19 (ostatnia odczytana reguła) i w tym porządku są uruchamiane dla pakietów. Reguły przestają być sprawdzane, w chwili gdy jedna z nich dotyczy odebranego pakietu.

Na przykład pakiet przeznaczony dla portu 80/TCP zostanie przechwycony przez regułę 2, wtedy kolejne reguły nie są już aplikowane. Pakiet przeznaczony dla portu 25/TCP zostanie przechwycony tylko przy ostatniej regule (19), która zablokuje go, ponieważ OVH nie zezwala na żadną komunikację na porcie 25 w poprzednich regułach.

W chwili gdy włącza się ochrona Anty-DDoS, Twoje reguły zdefiniowane w usłudze Network Firewall zostaną uaktywnione, nawet jeśli je wyłączyłeś. W przypadku dezaktywacji firewalla, pamiętaj o usunięciu reguł.

Sprawdź również

Przyłącz się do społeczności naszych użytkowników na stronie https://community.ovh.com/en/.


Inne przewodniki, które mogą Cię zainteresować...