Manuais OVH

Configurar a Firewall Network

Saiba como configurar a Firewall Network

Última atualização: 21/09/2018

Sumário

Para proteger a sua infraestrutura geral e os servidores dos seus clientes, a OVH propõe uma firewall com várias opções de configuração integrada na solução Anti-DDoS: a Firewall Network. Esta opção permite limitar a exposição dos serviços aos ataques provenientes da rede pública.

Este manual explica como configurar a Firewall Network.

Para obter mais informações sobre a nossa solução Anti-DDoS, consulte a página: https://www.ovh.pt/anti-ddos/.

 Tudo sobre o sistema VAC

Requisitos

Instruções

Ativar a Firewall Network

A Firewall Network foi concebida para proteger os endereços de IP associados a uma máquina. Cada IP deverá ser configurado de forma independente. Não é possível realizar uma configuração simultânea dos IP do servidor.

Depois de aceder à Área de Cliente OVH, vá à secção IP e clique em ... para ativar a firewall no IPv4 pretendido.

Ativação da Firewall Network

É-lhe solicitada uma confirmação.

Validação

Em seguida, clique em Ativar a firewall (1) e selecione a opção Configurar a Firewall (2) para iniciar a configuração.

Ativação da configuração

Pode definir até 20 regras para cada IP.

A firewall é ativada automaticamente sempre que houver um ataque DDoS, só podendo ser desativada depois de o ataque ter terminado. Por isso, é necessário manter as definições da firewall sempre atualizadas. Por predefinição, o serviço não tem qualquer regra definida, por isso todas as ligações são permitidas. Se possuir alguma, verifique-as regularmente mesmo se desativar a firewall.

  • A fragmentação UDP está bloqueada por predefinição (DROP). Após a ativação da Firewall Network, e se usar uma VPN, deverá configurar corretamente a maximum transmission unit (MTU). Por exemplo, em OpenVPN, pode selecionar MTU test.
  • A Firewall Network não produz efeitos dentro da rede OVH. Ou seja, as regras implementadas não irão afetar as ligações dentro da rede OVH.

Configurar a Firewall Network

Adicione uma regra através da opção Adicionar uma regra.

Adicionar uma regra

Para cada regra, deve selecionar:

  • o nível de prioridade (de 0 a 19, sendo que é aplicada a primeira regra);
  • uma ação (Autorizar ou Recusar);
  • o protocolo;
  • um IP (opcional);
  • a porta de origem (apenas TCP);
  • a porta de destino (apenas TCP);
  • as opções TCP (apenas TCP).

Como adicionar uma regra

  • Prioridade 0: é aconselhável autorizar o protocolo TCP para todos os IP com uma opção established. Esta opção permite verificar se o pacote faz parte de uma sessão já iniciada. Se não der autorização, o servidor não irá receber as respostas do protocolo TCP aos pedidos de ligação (requests) SYN/ACK.
  • Prioridade 19: se não tiver sido definida nenhuma regra com prioridade inferior a 19 (a última possível), os protocolos para IPv4 serão todos recusados.

Exemplo de configuração

Para garantir que só ficarão abertas as portas SSH (22), HTTP (80), HTTPS (443) e UDP (10000) ao autorizar o ICMP, é necessário seguir as seguintes regras:

Exemplo de configuração

As regras são ordenadas sequencialmente de 0 (primeira regra lida) a 19 (última regra lida). A sequência de leitura é interrompida a partir do momento em que uma regra é aplicada ao pacote recebido.

Por exemplo, um pacote destinado à porta 80/TCP é identificado pela regra 2 e esta é executada. As regras seguintes já não serão acionadas. Um pacote destinado à porta 25/TCP só poderá ser identificado pela última regra (19), e será bloqueado. Nas regras precedentes, a OVH não autoriza qualquer comunicação na porta 25.

Em caso de ativação da mitigação Anti-DDoS, as regras da Firewall Network serão ativadas, mesmo tendo sido desativadas anteriormente. Se optar pela desativação, não se esqueça de eliminar as regras.

Quer saber mais?

Fale com a nossa comunidade de utilizadores: Comunidade OVH.


Estes manuais também podem ser úteis...