Configurar a Network Firewall
Saiba como configurar a Network Firewall
Esta tradução foi automaticamente gerada pelo nosso parceiro SYSTRAN. Em certos casos, poderão ocorrer formulações imprecisas, como por exemplo nomes de botões ou detalhes técnicos. Recomendamos que consulte a versão inglesa ou francesa do manual, caso tenha alguma dúvida. Se nos quiser ajudar a melhorar esta tradução, clique em "Contribuir" nesta página.
Última atualização: 31/05/2022
Sumário
Para proteger a sua infraestrutura geral e os servidores dos seus clientes, a OVHcloud propõe uma firewall com várias opções de configuração integrada na solução Anti-DDoS: a Network Firewall. Esta opção permite limitar a exposição dos serviços aos ataques provenientes da rede pública.
Este manual explica como configurar a Network Firewall.
Para obter mais informações sobre a nossa solução Anti-DDoS, consulte a página: https://www.ovhcloud.com/pt/security/anti-ddos/.
Requisitos
- Dispor de um serviço OVHcloud com Network Firewall incluída: servidor dedicado, VPS, instância Public Cloud, Hosted Private Cloud, IP Failover, etc.
- Ter acesso à Área de Cliente OVHcloud.
Esta funcionalidade pode estar indisponível ou limitada nos servidores dedicados Eco.
Para mais informações, consulte o nosso comparativo.
Instruções
Ativar a Network Firewall
A Network Firewall foi concebida para proteger os endereços de IP associados a uma máquina. Cada IP deverá ser configurado de forma independente. Não é possível realizar uma configuração simultânea dos IP do servidor.
Depois de aceder à Área de Cliente OVHcloud, aceda ao menu Bare Metal Cloud e abra na secção IP. Clique em ... para ativar a firewall no IPv4 pretendido.
É-lhe solicitada uma confirmação.
Em seguida, clique em Ativar a firewall (1) e selecione a opção Configurar a Firewall (2) para iniciar a configuração.
Pode definir até 20 regras para cada IP.
A firewall é ativada automaticamente sempre que houver um ataque DDoS, só podendo ser desativada depois de o ataque ter terminado. Por isso, é necessário manter as definições da firewall sempre atualizadas. Por predefinição, o serviço não tem qualquer regra definida, por isso todas as ligações são permitidas. Se possuir alguma, verifique-as regularmente mesmo se desativar a firewall.
- A fragmentação UDP está bloqueada por predefinição (DROP). Após a ativação da Network Firewall, e se usar uma VPN, deverá configurar corretamente a maximum transmission unit (MTU). Por exemplo, em OpenVPN, pode selecionar
MTU test. - A Network Firewall não produz efeitos dentro da rede OVHcloud. Ou seja, as regras implementadas não irão afetar as ligações dentro da rede OVHcloud.
Configurar a Network Firewall
Tenha em conta que a Network Firewall da OVHcloud não pode ser utilizada para abrir portas num servidor. Para abrir portas num servidor, deve passar pela firewall do sistema operativo instalado no servidor.
Para mais informações, consulte os seguintes guias: Configurar a firewall em Windows e Configurar a firewall em Linux com Iptables.
Adicione uma regra através da opção Adicionar uma regra.
Para cada regra, deve selecionar:
- o nível de prioridade (de 0 a 19, sendo que é aplicada a primeira regra);
- uma ação (
AutorizarouRecusar); - o protocolo;
- um IP (opcional);
- a porta de origem (apenas TCP);
- a porta de destino (apenas TCP);
- as opções TCP (apenas TCP).
- Prioridade 0: é aconselhável autorizar o protocolo TCP para todos os IP com uma opção
established. Esta opção permite verificar se o pacote faz parte de uma sessão já iniciada. Se não der autorização, o servidor não irá receber as respostas do protocolo TCP aos pedidos de ligação (requests) SYN/ACK. - Prioridade 19: se não tiver sido definida nenhuma regra com prioridade inferior a 19 (a última possível), os protocolos para IPv4 serão todos recusados.
Exemplo de configuração
Para garantir que só ficarão abertas as portas SSH (22), HTTP (80), HTTPS (443) e UDP (10000) ao autorizar o ICMP, é necessário seguir as seguintes regras:
As regras são ordenadas sequencialmente de 0 (primeira regra lida) a 19 (última regra lida). A sequência de leitura é interrompida a partir do momento em que uma regra é aplicada ao pacote recebido.
Por exemplo, um pacote destinado à porta 80/TCP é identificado pela regra 2 e esta é executada. As regras seguintes já não serão acionadas. Um pacote destinado à porta 25/TCP só poderá ser identificado pela última regra (19), e será bloqueado. Nas regras precedentes, a OVHcloud não autoriza qualquer comunicação na porta 25.
Como indicado, a configuração acima é apenas um exemplo e deve ser utilizada como referência se as regras não se aplicam aos serviços alojados no seu servidor. É absolutamente necessário configurar as regras da sua firewall em função dos serviços alojados no seu servidor. Uma má configuração das suas regras de firewall pode levar ao bloqueio do tráfego legítimo e à inacessibilidade dos serviços do servidor.
Mitigação
Existem três modos de mitigação: automático, permanente ou forçado.
Mitigação automático: Com este modo, o tráfego só passa pelo sistema de mitigação se for detetado como "pouco habitual" em relação ao tráfego normal geralmente recebido pelo servidor.
Mitigação permanente: Ao ativar a mitigação permanente, aplica um primeiro nível de filtragem constante através do nosso Shield hardware.
Todo o tráfego passa de forma permanente pelo sistema de mitigação antes de atingir o servidor. Recomendamos este modo para os serviços que são alvo de ataques frequentes.
Tenha em conta que a Network Firewall não deve ser criada/ativada para ativar a mitigação permanente no seu IP.
Para o ativar, clique no menu Bare Metal Cloud e abra o IP. De seguida, clique nas ... à direita do IPv4 em causa e selecione Mitigação: modo permanente.
Mitigação forçada: Este modo é ativado automaticamente assim que um ataque é detetado no servidor. Uma vez ativado, este modo não pode ser desativado. De forma a proteger a nossa infraestrutura, a proteção será ativada durante todo o período do ataque, até que seja totalmente mitigada.
Em caso de ativação da mitigação Anti-DDoS, as regras da Network Firewall serão ativadas, mesmo tendo sido desativadas anteriormente. Se optar pela desativação, não se esqueça de eliminar as regras.
Tenha em conta que a atenuação anti-DDoS não pode ser desativada.
Configurar a firewall Armor (Firewall Game)
Por predefinição, a firewall Armor está pré-configurada com certas regras que a OVHcloud determinou funcionar com os jogos mais comuns. No entanto, para os clientes que disponham de um servidor dedicado Game, permitimos-lhe ir mais longe e configurar igualmente regras para as portas.
Para configurar as regras das suas portas no Armor, primeiro tem de aceder à Área de Cliente OVHcloud.
De seguida, aceda ao menu Bare Metal Cloud e abra na secção IP. Clique em ... junto do endereço IP do seu servidor de jogo e, a seguir, em Configurar a Firewall Game.
No ecrã seguinte, clique no botão Adicionar uma regra para adicionar uma regra ao Armor.
Ative as portas conforme as suas necessidades no ecrã seguinte e clique no botão Confirmar quando acabou de adicionar as suas regras. A firewall Armor foi configurada com sucesso.
Quer saber mais?
Fale com a nossa comunidade de utilizadores https://community.ovh.com/en/.
Esta documentação foi-lhe útil?
Não hesite em propor-nos sugestões de melhoria para fazer evoluir este manual.
Imagens, conteúdo, estrutura... Não hesite em dizer-nos porquê para evoluirmos em conjunto!
Os seus pedidos de assistência não serão tratados através deste formulário. Para isso, utilize o formulário "Criar um ticket" .
Obrigado. A sua mensagem foi recebida com sucesso.