Попробовать

Виртуальный распределенный межсетевой экран DFW

Распределенный межсетевой экран (Distributed Firewall, DFW) позволяет фильтровать трафик East-West между VM внутри сети облака без использования Edge Gateway.

Фильтровать трафик VM позволяют политики безопасности. DFW упрощает контроль политик за счет централизованного управления.

Пример топологии сети с использованием DWF (отмечен на каждой VM):

../../_images/s__dfw.png

Создавать политику безопасности для DFW можно, опираясь на:

  • объекты виртуализации — виртуальные ЦОД, хосты, VM;

  • сетевые объекты — IP, IP set, VLAN.

Stateful-сессии сохраняют:

  • IP-адреса источника и объекта назначения;

  • порты источника и объекта назначения;

  • протокол.

Пример настройки DFW

Запретим прохождение трафика между сетями a.a.a.a/24 и b.b.b.b/24.

  1. В консоли VM проверьте командой ping, связаны ли VM по сети.

../../_images/s__check-dfw-ping.png ../../_images/s__check-dfw-ping-2.png
  1. В разделе Data Centers нажмите на карточку виртуального ЦОД и в меню слева выберите Security.

  2. Выберите Security Services и нажмите Configure Services.

  3. На вкладке Distributed Firewall → General нажмите на +.

  4. Создайте два правила, запрещающие передачу трафика между сетями b.b.5.0/24 и a.a.4.0/24. В них укажите:

    • Name — наименование правила.

    • Source — IP-адрес объекта или сам объект, который передает данные.

    • Destination — IP-адрес объекта или сам объект, который получает данные.

    • Service — сервис или группу сервисов. В этом контексте сервис — это привязка протокола к порту.

    • Action — пропустить (allow) или отбросить (deny) трафик.

    • Direction — направление (in, out, in/out).

    • Packet type — тип пакета (any, IPv4, IPv6).

    • Applied To — к каким объектам применять правило.

    • Enable logging — включить логирование.

  5. Нажмите Save changes.

  6. В консоли VM проверьте работу правил командой ping.

../../_images/s__check-dfw-ping-3.png ../../_images/s__check-dfw-ping-4.png