Настройка распределенного межсетевого экрана (dfw)

Distributed Firewall служит для фильтрации горизонтального трафика (East-West), между виртуальными машинами (ВМ). От привычного межсетевого экрана отличается возможностью управления трафиком внутри одной сети для обеспечения еще большей безопасности при взаимодействии ВМ.

Как подключить Distributed Firewall

Для включения функции, необходимо обратиться в техническую поддержку. Обращение должно содержать:

• название организации в облаке;
• название Data Center Groups.

Если в вашей организации нет созданных Data Center Groups, то дополнительно необходимо сообщить:

• желаемое название группы, оно будет добавлено в итоговое имя по паттерну <название организации>-<желаемое имя>-<dcg>;
• перечень Virtual Data Center которые должны быть включены в группу;
• перечень Edge Gateway которые должны быть включены в группу.

Как отключить Distributed Firewall

При отключении функции Distributed Firewall правила удаляются без возможности восстановления.

Перед созданием запроса на отключение Distributed Firewall вам необходимо выключить Default Policy.

Для отключения функции, необходимо обратиться в техническую поддержку. Обращение должно содержать:

• название организации;
• название Data Center Groups. 

Как выключить Default Policy

После отключения Default Policy, правила Distributed Firewall больше не будут работать.

1. Переходим по пути Networking → Data Center Groups.
2. Нажимаем на имя Data Center Group.

3. В меню слева выбираем Distributed Firewall.
4. В рамке с Default Policy Status, справа нажимам DISABLE.

5. Еще раз нажимаем DISABLE.

Как создать IP Set

IP Sets — это группы IP-адресов, позволяющие работать с адресами как с объектами.

1. Переходим по пути Networking → Data Center Groups.
2. Нажимаем на имя Data Center Group.

3. В меню слева выбираем IP Set.
4. Нажимаем NEW.

5. В текстовое поле Name вводим имя нового IP Set.
6. (Не обязательно) В текстовое поле Description вводим описание нового IP Set.
7. В текстовое поле IP Addresses вводим IP-адрес, диапазон IP-адресов или подсеть и нажимаем ADD.
8. (Не обязательно) Повторяем предыдущий шаг пока не добавим необходимое количество IP-адресов, диапазонов IP-адресов или подсетей.
9. Нажимаем SAVE.

Как создать Static Group

Static Group — это группа сетей, позволяющая объединить несколько сетей в один объект. Для того чтобы создать Static Group необходимо чтобы в Data Center Groups была хотя бы одна routed или isolated сеть.

1. Переходим по пути Networking → Data Center Groups.
2. Нажимаем на имя Data Center Group.

3. В меню слева выбираем Static Groups.
4. Нажимаем NEW.

5. В текстовое поле Name вводим название новой Static Group.
6. (Не обязательно) В текстовое поле Description вводим описание новой Static Group.
7. Нажимаем SAVE.

8. Выбираем ранее созданную Static Group и нажимаем MANAGE MEMBERS.

9. Отмечаем галочкой сети, которые хотим добавить в Static Group.
10. Нажимаем SAVE.

Как создать Dynamic Group

Dynamic Group - это группа ВМ, в которую динамически включаются ВМ на основе выбранных критериев.

1. Переходим по пути Networking → Data Center Groups.
2. Нажимаем на имя Data Center Group.

3. В меню слева выбираем Dynamic Groups.
4. Нажимаем NEW.

5. В текстовое поле Name вводим название новой Dynamic Group.
6. (Не обязательно) В текстовое поле Description вводим описание новой Dynamic Group.
7. Для настройки правил, в разделе VM Criteria заполняем:
   1. В выпадающем списке Type выбираем VM name.
   2. В выпадающем списке Operator выбираем тип сравнения:
      • Contains, для поиска строки из Value внутри имени ВМ;
      • Starts With, для поиска строки из Value с начала имени ВМ.
   3. В текстовое поле Value вводим строку для сравнения.
8. Если нужно больше критериев, нажимаем ADD CRITERION. Можно добавить до трех критериев, они работают как логическое ИЛИ.
9. Если нужно больше правил нажимаем ADD RULE. Можно добавить до четырех правил в каждый критерий, они работают как логическое И.
10. Нажимаем SAVE.

Как создать Application Port Profile

Application Port Profile — это группа из комбинаций протокола и порта или группы портов.

1. Переходим по пути Networking → Data Center Groups.
2. Нажимаем на имя Data Center Group.

3. В меню слева выбираем Application Port Profiles.
4. Нажимаем New.

5. В тестовое поле Name вводим название нового Application Port Profile.
6. (Не обязательно) В текстовое поле Description вводим описание нового Application Port Profile.
7. В выпадающем списке Protocol выбираем нужный протокол.
8. В текстовом поле Ports вводим один или несколько портов через запятую.
9. (Не обязательно) Добавляем необходимое количество комбинаций Protocol и Ports нажимая ADD PORT PROFILE.
10. Нажимаем SAVE.

Как создать правило для Distributed Firewall

Перед тем как начать создавать правила Distributed Firewall убедитесь, что созданы все необходимые IP Sets/Static Groups/Dynamic Groups/Application Port Profiles, к которым планируется применять правила Distributed Firewall.

1. Переходим по пути Networking → Data Center Groups.
2. Нажимаем на имя Data Center Group.

3. В меню слева выбираем Distributed Firewall.
4. Нажимаем NEW.

5. В текстовое поле Name вводим название нового правила.
6. Переключатель State переводим в активированное положение.
7. (Не обязательно) В строке Applications настраиваем порты, если вам не нужно ограничивать доступ по портам этот пункт пропускается. В противном случае, нажимаем карандаш, активируем переключатель Choose a specific Applications, выбираем Application Port Profile и нажимаем SAVE.
8. В строке Source для выбора источника трафика, нажимаем карандаш:
   • включаем Any Source для выбора любого адреса источника и нажимаем KEEP;
   • ставим галочки на нужных группах или вводим IP-адреса для выбора конкретного источника и нажимаем KEEP.
9. В строке Destination для выбора назначения трафика, нажимаем карандаш:
   • включаем Any Destination для выбора любого адреса назвачения и нажимаем KEEP;
   • ставим галочки на нужных группах или вводим IP-адреса для выбора конкретного назначения и нажимаем KEEP.
10. В выпадающем списке Action выбираем один из вариантов:
    • Allow, пропускать трафик;
    • Reject, блокировать трафик с уведомлением источника;
    • Drop, блокировать трафик без уведомления источника. 
11. В выпадающем списке IP Protocol выбираем протокол, к которому применяется правило:
    • IPv4;
    • IPv6;
    • IPv4 и IPv6.
12. Нажимаем SAVE.

Как измененить правило по умолчанию в Distributed Firewall

При активации Distributed Firewall создается правило фильтрации траффика по умолчанию, оно разрешает весть трафик.

Перед изменением принципа его действия, удостоверьтесь что созданы все необходимые разрешающие правила.

1. Переходим по пути Networking → Data Center Groups.
2. Нажимаем на имя Data Center Group.

3. В меню слева выбираем Distributed Firewall.
4. Становимся на правило, название которого начинается с Default_VcdGroup_ и нажимаем EDIT.

5. В выпадающем списке Action выбираем один из вариантов:
   • Allow, пропускать трафик;
   • Reject, блокировать трафик с уведомлением источника;
   • Drop, блокировать трафик без уведомления источника. 
6. Нажимаем SAVE.