Брандмауэр

Раздел Виртуальные машины -> Брандмауэр содержит шаблоны для создания группы безопасности виртуальной машины, а также разделяемые группы безопасности, используемые виртуальными машинами разных пользователей, и приватные группы безопасности.

_images/Firewall_List816-1.png

Шаблоны брандмауэра представляют собой предзаданные правила безопасности, которые могут быть системными или пользовательскими, созданные отдельными пользователями. Администраторы могут указать в конфигурационном файле JSON системные предустановки, которые будут отображаться по умолчанию (см. подробнее в руководстве по конфигурациям. Эти предустановки можно использовать при создании группы безопасности.

Пользовательский шаблон группы безопасности можно создать через UI. См. подробнее радел Создание шаблона группы безопасности.

При создании ВМ система создает новую группу безопасности для данной машины на основе шаблонов. Впоследствии, если пользователь редактирует правила для конкретной машины, эти изменения не влияют на работу других машин, а группа становится приватной и используется только данной конкретной машиной.

Также, для виртуальной машины можно использовать разделяемую группу безопасности. Разделяемые группы используются несколькими машинами. Изменения правил в них может повлиять на работу других виртуальных машин.

Пользователи могут управлять группами безопасности в двух режимах: в режиме просмотра и в режиме редактирования, переключение между которыми доступно при просмотре правил группы. При редактировании разделяемой группы безопасности система предупреждает, что изменения могут затронуть работу других машин. Это позволяет избежать нежелательных изменений работы других машин.

Шаблоны брандмауэра, разделяемые и приватные группы безопасности расположены в разных вкладках раздела Брандмауэр. Переключаться между шаблонами и разделяемыми или частными группами безопасности можно с помощью кнопок в верхней части экрана.

_images/Firewall_Switch816-1.png

Пользователь видит только те группы безопасности, которые принадлежат его/ее пользователю. Администратор видит группы безопасности всех аккаунтов в домене.

Список групп безопасности

Группы безопасности представлены в виде списка. Формат представления можно изменить со списка на карточки с помощью переключателя view icon/box icon в правом верхнем углу.

Для более быстрого поиска группы в списке используйте инструмент поиска сверху. Введите название группы или его часть, и список будет отфильтрован по заданным параметрам.

Администраторы могут фильтровать список шаблонов/групп безопасности по аккаунтам.

_images/Firewall_Filter_Admin.png

Создание шаблона группы безопасности

Вы можете создать собственный шаблон безопасности, который будет доступен при создании виртуальной машины в качестве основы для приватной группы безопасности.

Новый шаблон группы безопасности создается на основе существующих шаблонов. Созданная группа будет иметь тип custom-template.

Чтобы создать новый шаблон группы безопасности, нажмите «Создать» create icon в правом нижнем углу и заполните поля формы:

_images/Firewall_CreateTemplate.png

Примечание

Обязательные поля отмечены «звездочкой» (*).

  • Название * - введите название шаблона.
  • Описание - введите краткое описание шаблона.
  • Базовые правила - Нажмите «ДОБАВИТЬ», чтобы открыть список правил для добавления их в шаблон. В появившемся окне выберите шаблон из левого списка «Все шаблоны» и переместите его в правый список «Выбранные шаблоны» с помощью «стрелки»:
_images/Firewall_SelectRules.png

Нажмите “ВЫБРАТЬ ВСЕ”, чтобы разом переместить все шаблоны из левого списка в правый.

Чтобы очистить список выбранных шаблонов, нажмите “СБРОСИТЬ”.

В списке ниже появятся правила, соответствующие выбранным шаблонам. Все правила отмечены в списке как активные. Отключите те, которые Вы не хотите добавлять в шаблон брандмауэра.

_images/Firewall_SelectRules2.png

Нажмите “СОХРАНИТЬ” для создания шаблона с выбранными правилами.

Чтобы сбросить выбранные настройки, нажмите “ОТМЕНИТЬ”. Правила не будут добавлены в шаблон. Вы вернетесь к форме создания шаблона.

Когда все поля заполнены, нажмите «СОЗДАТЬ», чтобы создать новый шаблон брандмауэра. Шаблон появится в списке шаблонов как Пользовательский:

_images/Firewall_CreatedTemplate.png

Или нажмите «ОТМЕНИТЬ», чтобы отменить создание шаблона. Поля формы будут очищены, новый шаблон не будет создан.

Создание разделяемой группы безопасности

Можно создать разделяемую группу безопасности, которую могут использовать другие пользователи при создании виртуальных машин.

Новая разделяемая группа безопасности создается на основе существующих шаблонов, и имеет тип «разделяемая» (shared).

Чтобы создать новую разделяемую группу безопасности, нажмите «Создать» create icon в правом нижнем углу и заполните форму (обязательные поля отмечены «звездочкой» *):

Примечание

Обязательные поля отмечены «звездочкой» (*).

  • Название * - введите название группы.
  • Описание - введите краткое описание для группы.
  • Базовые правила - нажмите «Добавить», чтобы открыть список доступных правил для добавления в группу. В появившемся окне выберите шаблон из левого списка «Все шаблоны» и переместите его в правый список «Выбранные шаблоны» с помощью «стрелки»:
_images/Firewall_SelectRules.png

Нажмите “ВЫБРАТЬ ВСЕ”, чтобы разом переместить все шаблоны из левого списка в правый.

Чтобы очистить список выбранных шаблонов, нажмите “СБРОСИТЬ”.

In the list below you will see the rules corresponding to the selected templates. Check those you wish to add to your shared security group.

_images/Firewall_SelectRules2.png

Нажмите “СОХРАНИТЬ” для создания шаблона с выбранными правилами.

Нажмите «ОТМЕНИТЬ», чтобы сбросить все выбранные опции. Правила не будут добавлены в группу безопасности. Пользователь вернется к форме создания группы.

_images/Firewall_CreateSharedSG.png

Нажмите “СОХРАНИТЬ” для создания группы с выбранными правилами.

_images/Firewall_CreatedSG.png

Для отмены создания группы нажмите «ОТМЕНИТЬ». Группа не будет создана, поля формы очистятся.

Приватные группы безопасности

Существующие в системе приватные группы безопасности отображаются в разделе Приватные группы безопасности.

Создать группу безопасности можно при создании виртуальной машины (см. Создание виртуальной машины). Название приватной группы имеет следующий формат - sg-{{ virtual machine name }}, - где содержится название виртуальной машины, для которой создана группа

Список групп можно фильтровать по названию или его части, используя инструмент поиска над списком.

_images/Firewall_Search816.png

Кроме того, Администратор может фильтровать список по аккаунтам.

_images/Firewall_Filter_Admin816-1.png

Также, фильтрация списка возможна с помощью опции «Свободные» в левом верхнем углу. Активируйте ее, чтобы отобразить в списке только те группы, которые не используются ни одной виртуальной машиной.

_images/Firewall_Orphan816-2.png

Опция «Свободные» доступна, если в списке групп есть свободные группы безопасности. Свободные группы возникают в случае, когда виртуальная машина была удалена, а группа не удалилась ввиду ошибки или некорректного поведения системы.

Информационная панель группы безопасности

Информацию о группе безопасности можно просмотреть в информационной панели справа.

Кликните на шаблон/разделяемую группу/приватную группу безопасности в списке и откройте информационную панель справа. В ней расположены две вкладки - «Детали» и «Теги».

Во вкладке «Детали» отображается следующая информация:

  • Название группы безопасности;
  • Список действий с группой безопасности под actions icon;
  • ID группы безопасности;
  • Описание группы для общего представления о том, что содержится в группе (для приватных групп описание недоступно);
  • Тип - определяет тип группы. Для шаблонов брандмауэра: custom-template для пользовательских шаблонов, или predefined-template для системных шаблонов. Для разделяемых групп безопасности: shared. Для приватных групп безопасности: private.
_images/Firewall_TemplateDetails1.png

Для разделяемых групп безопасности также отображается название машины, для которой используется группа. Название виртуальной машины активно. Кликом на него откроется информационная панель машины.

_images/Firewall_SharedSGDetails1.png

Для приватных групп название машины также отображается в информационной панели, но оно не активно.

Во вкладке «Теги» представлен список тегов, добавленных к группе безопасности. Используя инструмент поиска над списком, можно быстро найти тег по названию.

Системные теги отображаются в отдельной карточке.

_images/Firewall_Tags.png

Нажмите create icon, чтобы добавить тег. Введите ключ и значение.

Примечание

Оба поля обязательны к заполнению. Вводимые значения не могут начинаться с пробела.

_images/Firewall_Details_Tags.png

Нажмите «СОЗДАТЬ», чтобы сохранить новый тег. Он отобразится в отдельной карточке.

Созданный тег можно редактировать или удалить, кликнув на соответствующую иконку рядом с названием тега.

Список действий с группой безопасности

Для шаблона брандмауэра, разделяемых или приватных групп безопасности можно развернуть Список действий со следующими опциями:

  • Правила - позволяет просмотреть правила группы/шаблона. Нажмите «Правила» view, чтобы открыть список правил, применяемых для данного шаблона.
  • Удалить - позволяет удалить группу или шаблон из системы.

Примечание

Нельзя удалить шаблон или группу безопасности, если он/она используется виртуальной машиной, или принадлежит другому пользователю. Также действие удаления недоступно для системных шаблонов брандмауэра.

Редактирование шаблона брандмауэра/группы безопасности

Кликом на «Правила» view в списке действий открывается модальное окно, где представлен список правил шаблона/группы безопасности. Список правил можно фильтровать по:

  • Версиям - ipv4 и/или ipv6;
  • Типам - Входящее и/или Исходящее;
  • Протоколам - TCP и/или UDP и/или ICMP.

Также, список правил можно группировать по типам и/или протоколам.

_images/Firewall_FilterRules1.png

В этом же модальном окне можно редактировать правила. Перейти в режим редактирования можно кликом на «РЕДАКТИРОВАТЬ» внизу списка. Редактирование подразумевает добавление или удаление правил, отмеченных в списке.

Для добавления правил заполните поля в панели над списком и нажмите “+”:

_images/Firewall_AddRules.png

Правила валидации полей

При заполнении полей «Начальный порт» и «Конечный порт» убедитесь, что вы указываете корректные значения, а именно:

  • Значение для начального порта не может быть меньше значения для конечного порта. Для удобства мы добавили автозаполнение полей - при вводе начального порта то же значение подставляется в поле «Конечный порт», где при желании его можно изменить на большее значение.
  • Значения в данных полях не могут быть больше/меньше максимально/минимально разрешенных значений (для TCP/UDP максимально разрешенное значение порта 65535, для ICMP - 255).
  • Поля «Начальный порт» и «Конечный порт» обязательны к заполнению.

Для типа ICMP следует указывать корректные значения для CIDR, тип и код ICMP.

  • Поля CIDR, тип и код ICMP зависимы от предшествующего поля: пока не указан корректный CIDR, нельзя ввести тип ICMP, и пока не указан корректный тип ICMP, нальзя ввести код ICMP.
  • Для CIDR поддерживаются оба формата IP адресов: IPv4 и IPv6.
  • Для ICMP IPv6 поддерживается значение «[-1] Любой» для полей тип и код.
  • Поля Тип и Код ICMP обязательны к заполнению.

При вводе некоррекнтых значений кнопка добавления правила «+» недоступна.

Чтобы удалить правила, нажмите на значок удаления. Правило будет удалено из списка.

_images/Firewall_DeleteRules.png

Затем можно вернуться в режим просмотра группы или закрыть окно. Измененные правила отобразятся в списке.

Обратите внимание, что при редактировании разделяемой группы безопасности, появляется предупреждение:

_images/Firewall_EditShared_Warning1.png

Нажмите “Да”, если группу по прежнему нужно редактировать. Окно переключится в режим редактирования. Измените настройки группы безопасности, как описано выше.

Примечание

Редактирование недоступно для системных шаблонов брандмауэра, а также групп безопасности, принадлежащих другим пользователям. Правила, входящие в них, можно только просматривать.

Создание общей группы безопасности из приватной

В списке действий для приватных групп безопасности можно увидеть опцию «Сделать общей», которая позволяет превратить приватную группу безопасности в разделяемую. Таким образом, данную группу можно будет использовать для других ВМ.

Чтобы сдлать из приватной группы безопасности разделяемую, доступную для других машин, нужно:

  1. Перийти в раздел «Приватные группы безопасности» ,
  2. выбрать опцию «Сделать общей» в списке действий той машины, которую нужно сделать разделяемой.
_images/Firewall_ConvertToSharedAction.png
  1. В диалоговом окне следует подтвердить свое действия, кликнув «ДА».
_images/Firewall_ConvertToSharedDialogue.png

Группа безопасности переместится в раздел «Разделяемые группы безопасности». Из ее списка тегов будет удален тег, указывающий тип группы «private».

Нажмите «НЕТ», чтобы отменить перевод группы в разделяемую группу.