Tulemüüride seadistamine

0

vCloud pilves saab kasutada kahte erinevat tulemüüri.

Distributed firewall kontrollib liiklust sama võrgusegmendi virtuaalmasinate vahel, Ida-lääne suunal.  Seda on  hea kasutada kui kõikidel virtuaalserveritel on oma avalik IP aadress. Distributed tulemüüri seadistamine kaitseb tõhusalt kõigi võrgu väliste või siseste turvaintsidentide eest. 

distributed.png

Edge gateway firewall kontrollib aga põhja-lõuna suunalist võrguliiklust. Seda kasutatakse näiteks siis kui soovite virtuaalserverid peita sisevõrku.   Loomulikult võib olla ka nö. mixed lahendus, kus osadel serveritel on avalikud IP aadressid, teised aga asuvad NAT taga sisevõrgus.

edge.png

Mõlemat tulemüüri seadistatakse sarnaselt.   Edge gateway firewall on aga osa Edge paketis, mille suure funktsionaalsusega  saab lähemalt tutvuda siin: LINK

firewall6.PNG

vCloud tulemüüridel  on konkreetsetesse virtuaalserveritesse paigaldatud tulemüüride ees mitmeid eeliseid.

  • Ühest kesksest kohast saab juhtida kogu taristu tulemüüride tööd.
  • Puudub probleem, kus tehes vea tulemüüri seadistustes võib ennast kogemata virtuaalserverist välja lukustada.
    (Näiteks sulgedes SSH port)
  • Lisa turvalisuse kiht. Häkkeril oluliselt keerulisem lisada serverile tagaust, kuna ei saa avada uusi porte.
    Peab tagaukse panema olemasoleva teenuse asemele. Seda on aga juba kergem märgata.
  • Virtuaalserveri kõrge koormus ei mõjuta vCloud  tulemüüride tööd. Uusi virtuaalservereid lisades antakse automaatselt
    ka vCloud  tulemüüridele ressursse juurde.
  • Reegleid saab rakendada väga paljude eri parameetrite järgi. (Näiteks virtuaalserveri nime, IP, MAC aadressi, teenuse gruppide jne.)

 

1

Vaikimisi lubab tulemüür kogu võrguliiklusel läbi pääseda.

firewall1.PNG

Esimese sammuna muudame vaikimisi reeglit nii, et tulemüür blokeerib kogu võrguliikluse. Muudame "Default Allow" nimelist reeglit.  Action tulbas asendame väärtuse "Allow" väärtusega "Deny". Pärast "Save changes" nupule vajutamist peab lakkama igasugune võrguliiklus juba loodud virtuaalserveritega. 

firewall2.PNG

 

2

Edasi saate ükshaaval avada kõik teenuste toimimiseks vajalikud pordid. Näitena avame ICMP, mis võimaldab nüüd serverit pingida.

firewall3.PNGAvame ka pordid 80 ja 443  võimaldamaks http ja https liikluse nii serverisse kui sealt välja. 

firewall4.PNGReegel nr. 3 võimaldab ka SSH ligipääsu pordile 22. Source alla saab panna näiteks kontori IP aadressi. Siis saab serverile ligi ainult kontori võrgust.

 

3

Eelmises punktis toodud "Allow SSH" reegel rakendus ainult virtuaalserverile nimega "test".

"Applied To" tulbas saab muuta, millistele virtuaalserveritele antud reegel kehtib.

firewall5.PNG

 

4

Detailsed ingliskeelsed juhendid VMware kodulehelt leiad  siit. 

 

Aadress: Endla 16, Tallinn 10142Telefon: (+372) 685 0000@email