Запуск услуги «Управляемый фаервол»
akme

Почти месяц назад, через тикет-систему, мы приглашали всех наших клиентов, которые используют услуги по размещению и аренде выделенных серверов, поучаствовать в закрытом тестировании нашей новой услуги — «Управляемый фаервол». Теперь мы готовы предложить эту услугу для публичного использования

Что это?

Управляемый фаервол — услуга предоставления защищенного интернет-канала с управляемым межсетевым экраном. Основной задачей услуги является осуществление контроля и фильтрация проходящих через него сетевых пакетов в соответствии с заданными политиками и опциями экрана.

Тарификация

Мы постарались максимально упростить её тарификацию и свели аккаунтинг только к одному параметру — пропускная способность защищаемой полосы. Шаг, с которым возможно увеличение пропускной способности фаервола, составляет 5 Мбит/с.

Ограничения

Услуга может быть подключена только для физических серверов, размещенных в Санкт-Петербургских дата-центрах (для Москвы данная услуга пока не доступна).

Активация услуги

Для начала использования услуги необходимо иметь хотя бы одну выделенную подсеть для серверов в дата-центрах Санкт-Петербурга и оплатить защищаемую полосу в необходимом объеме.
Защищенная полоса является независимым ресурсом и к ней может быть подключена любая имеющаяся у вас подсеть (платная, беспплатная, PI-адреса). Перевод подсети с незащищенной сети под фаервол происходит в ручном режиме после согласования удобного времени, даунтайм сети при переносе подсети составляет порядка 1 минуты.

Изменение пропускной способности

После активации услуги фаервола вы сможете изменять пропускную способность защищаемой полосы «на лету» через панель управления. При изменении (увеличении или уменьшении) пропускной способности защищаемой полосы, даунтайм отсутствует.

Начало работы

По умолчанию, защита трафика выключена — трафик уже проходит через фаервол, но к нему не применяются никакие действия. После оплаты услуги фаервола и перевода подсети под защиту, вы получаете доступ к панели управления фаерволом, в которой доступны график утилизации защищенной полосы, график со счетчиками по «плохому» трафику, а также вкладки для управления настройками политик и опций экрана по валидации трафика.

Процесс валидации трафика

Первоначально проверяется принадлежность пакета к существующим сессиям, если пакет не принадлежит ни одной существующей сессии, то он проходит проверку через экран, после чего проходит цепочку политик, если не было выявлено никаких аномалий то пакет доставляется на адрес назначения. Если же пакет принадлежит к уже существующей сессии, то он сразу направляется на проверку аномалий в экран без прохождения цепочки политик, после чего доставляется на адрес назначения. Политики могут задаваться в обоих направлениях, как для входящего трафика, так и для исходящего. Экран проверяет весь трафик проходящий через фаервол, независимо от его направления. Однонаправленные политики не означают, что вам придётся настраивать разрешение ответа от адреса назначения, так как сессия состоит из двух направлений.

Адреса

Для защиты конкретных IP-адресов из вашей подсети, вам необходимо добавить их во вкладке Адреса. После добавления адресов они станут доступны для указания в качестве адреса источника или адреса назначения при создании политик. Также на этой вкладке вы можете добавлять и любые другие IP-адреса(не только свои, но и глобальные), которые впоследствии будут использоваться в политиках.

Опции экрана

При прохождении через экран, каждый пакет проходит проверку от следующих типов атак:

  • подмены IP (IP-spoofing);
  • сканирования портов;
  • ping сканирования;
  • WinNuke атак;
  • Land атак;
  • tear drop атак;
  • фрагментированых ICMP пакетов;
  • Ping of Death;
  • больших ICMP пакетов;
  • фрагментированого трафика;
  • SYN-ACK-ACK;
  • SYN фрагментов;
  • TCP пакетов без установленных флагов;
  • пакетов с установленным FIN флагом без ACK флага;
  • пакетов с одновременно установленными SYN и FIN флагами;
  • пакетов с неправильными заголовками;
  • и других..

Определение политик

При создании политики вы можете выбрать направление для фильтрации: из интернета в защищаемую зону и наоборот. Кроме направления, политика содержит в себе адрес источника, адрес назначения и порт назначения (приложение). Политикам также необходимо указать действие, которое будет произведено с пакетом: разрешить, запретить, отбросить с ответом отправителю о недоступности. По каждой политике вы можете просмотреть график потребляемой полосы. Также важен порядок политик, так как они проверяются последовательно, если не происходит совпадения ни с одной политикой, то отрабатывается политика по умолчанию — запретить.

Заказ

С ценой на данную услугу вы можете ознакомиться у нас на сайте.
Данная услуга уже доступна для заказа в панели управления: «Заказ услуг» → «Услуги сети» → «Управляемый фаервол»

Что еще почитать по теме

Ульяна Малышева 11 марта 2021

Кейс VCV: как победить HR-рутину

Сервис VCV, клиент Selectel, был создан для того, чтобы сделать найм сотрудников комфортнее, объективнее, быстрее. Как работает VCV, зачем сервису искусственный интеллект и в чем разница российского и…
Ульяна Малышева 11 марта 2021
Владимир Туров 1 сентября 2020

Дело совершенно секретного iPod

Это был обычный серый день в конце 2005 года. Я сидел на рабочем месте и писал код для следующей версии iPod. Вдруг без стука ворвался директор ПО для iPod, начальник моего начальника, и закрыл дверь.
Владимир Туров 1 сентября 2020

Новое в блоге

Ульяна Малышева 22 июля 2021

DCIM-платформа Racks: почему мы отказались от энтерпрайз-решения в пользу самописного приложения

Как вести учет и контроль оборудования, если у тебя более десятка серверных в трех географически разделенных дата-центрах? Как и многие крупные провайдеры, в России и за рубежом, Selectel начал реализ…
Ульяна Малышева 22 июля 2021
Ульяна Малышева 7 июля 2021

Продуктовый дайджест: новые процессоры AMD EPYC™ и управление базами данных через Terraform

Пополнение линейки процессоров AMD EPYC™, управление кластерами «Облачных баз данных» через Terraform-провайдер Selectel и подбор идеальной инфраструктуры под «Битрикс24» и «1С-Битрикс». Подробнее — о…
Ульяна Малышева 7 июля 2021
Эллада Нуралиева 22 июня 2021

Next-Generation Firewall от FortiGate: обзор функций и подключение сервиса

Для защиты инфраструктуры от угроз часто используют межсетевые экраны. Они могут быть как программными, так и аппаратными. Типичный межсетевой экран представляет собой фильтр сетевого трафика, который…
Эллада Нуралиева 22 июня 2021
Ульяна Малышева 18 июня 2021

Selectel развернул 100 виртуальных машин для олимпиады «Я — профессионал»

Завершился четвертый сезон олимпиады «Я — профессионал», на который зарегистрировались 576 012 студентов из 348 вузов России. Selectel стал одним из партнеров трека олимпиады «Робототехника», который …
Ульяна Малышева 18 июня 2021