В vCloud вы можете использовать два разных брандмауэра.
Distributed firewall проверяет трафик между виртуальными машинами внутри одной сети, направляясь с востока на запад. Хорошо использовать, если все виртуальные сервера имеют собственный публичный IP-адрес. Настройка распределенного межсетевого экрана эффективно защищает от всех внешних или внутриних инцидентов безопасности.
Edge gateway firewall контролирует движение интернет трафика с севера на юг. Это используется, например, если вы хотите скрыть виртуальные сервера во внутреней сети. Конечно, может также быть так называемое, смешанное решение, в котором некоторые серверы имеют общедоступные IP-адреса, а другие - во внутреней сети NAT.
Оба брандмауэра настроиваются по похожему принципу. Edge gateway является частью пакета Edge, более подробно можно узнать здесь
Брандмауэры vCloud имеют несколько преимуществ по сравнению с брандмауэрами, установленными на определенных виртуальных серверах.
- Одним из центральных мест является управление всей инфраструктурой брандмауэра.
- Отсутсвует проблема, что если вы допустили ошибку в настройках брандмауэра и закрыли порты и вас отключило от сервера.
(Например закрыли SSH порт) - Доп. уровень безопасности. Хакерам сложнее взломать сервер, так как перед сервером стоит брандмауэр.
- Высокая загрузка на виртуальный сервер не влияет на производительность брандмауэров vCloud. Добавление новых виртуальных серверов в брандмауэр также автоматическое.
- Правила могут быть реализованы с широким диапазоном параметров.
По умолчанию брандмауэр разрешает весь сетевой трафик.
В качестве первого шага мы изменим правило по умолчанию, чтобы брандмауэр блокировал весь сетевой трафик. Мы меняем правило «Default Allow». В столбце «Action» мы заменим значение «Allow» значением «Deny». После нажатия кнопки «Save changes» любой сетевой трафик должен прекратиться с уже созданных виртуальных серверов.
Затем вы можете сделать еще один шаг, открыв все порты, необходимые для работы служб. Например, мы открываем ICMP, который теперь позволяет вам пинговать сервер.
Мы также открываем порты 80 и 443, чтобы разрешать трафик http и https на сервер и с сервера.
Правило номер 3 открывает доступ по SSH через 22. Source адресом может быть например IP-aдрес конторы. Тогда доступ по SSH будет только из конторы.
Сделанное в прошлом пункте правило "Allow SSH" действует только для виртульного сервера "test".
"Applied To" В столбце вы можете изменить для каких виртуальных серверов правило будет работать.