Запуск услуги «Управляемый фаервол»

Почти месяц назад, через тикет-систему, мы приглашали всех наших клиентов, которые используют услуги по размещению и аренде выделенных серверов, поучаствовать в закрытом тестировании нашей новой услуги — «Управляемый фаервол». Теперь мы готовы предложить эту услугу для публичного использования

Что это?

Управляемый фаервол — услуга предоставления защищенного интернет-канала с управляемым межсетевым экраном. Основной задачей услуги является осуществление контроля и фильтрация проходящих через него сетевых пакетов в соответствии с заданными политиками и опциями экрана.

Тарификация

Мы постарались максимально упростить её тарификацию и свели аккаунтинг только к одному параметру — пропускная способность защищаемой полосы. Шаг, с которым возможно увеличение пропускной способности фаервола, составляет 5 Мбит/с.

Ограничения

Услуга может быть подключена только для физических серверов, размещенных в Санкт-Петербургских дата-центрах (для Москвы данная услуга пока не доступна).

Активация услуги

Для начала использования услуги необходимо иметь хотя бы одну выделенную подсеть для серверов в дата-центрах Санкт-Петербурга и оплатить защищаемую полосу в необходимом объеме.
Защищенная полоса является независимым ресурсом и к ней может быть подключена любая имеющаяся у вас подсеть (платная, беспплатная, PI-адреса). Перевод подсети с незащищенной сети под фаервол происходит в ручном режиме после согласования удобного времени, даунтайм сети при переносе подсети составляет порядка 1 минуты.

Изменение пропускной способности

После активации услуги фаервола вы сможете изменять пропускную способность защищаемой полосы «на лету» через панель управления. При изменении (увеличении или уменьшении) пропускной способности защищаемой полосы, даунтайм отсутствует.

Начало работы

По умолчанию, защита трафика выключена — трафик уже проходит через фаервол, но к нему не применяются никакие действия. После оплаты услуги фаервола и перевода подсети под защиту, вы получаете доступ к панели управления фаерволом, в которой доступны график утилизации защищенной полосы, график со счетчиками по «плохому» трафику, а также вкладки для управления настройками политик и опций экрана по валидации трафика.

Процесс валидации трафика

Первоначально проверяется принадлежность пакета к существующим сессиям, если пакет не принадлежит ни одной существующей сессии, то он проходит проверку через экран, после чего проходит цепочку политик, если не было выявлено никаких аномалий то пакет доставляется на адрес назначения. Если же пакет принадлежит к уже существующей сессии, то он сразу направляется на проверку аномалий в экран без прохождения цепочки политик, после чего доставляется на адрес назначения. Политики могут задаваться в обоих направлениях, как для входящего трафика, так и для исходящего. Экран проверяет весь трафик проходящий через фаервол, независимо от его направления. Однонаправленные политики не означают, что вам придётся настраивать разрешение ответа от адреса назначения, так как сессия состоит из двух направлений.

Адреса

Для защиты конкретных IP-адресов из вашей подсети, вам необходимо добавить их во вкладке Адреса. После добавления адресов они станут доступны для указания в качестве адреса источника или адреса назначения при создании политик. Также на этой вкладке вы можете добавлять и любые другие IP-адреса(не только свои, но и глобальные), которые впоследствии будут использоваться в политиках.

Опции экрана

При прохождении через экран, каждый пакет проходит проверку от следующих типов атак:

  • подмены IP (IP-spoofing);
  • сканирования портов;
  • ping сканирования;
  • WinNuke атак;
  • Land атак;
  • tear drop атак;
  • фрагментированых ICMP пакетов;
  • Ping of Death;
  • больших ICMP пакетов;
  • фрагментированого трафика;
  • SYN-ACK-ACK;
  • SYN фрагментов;
  • TCP пакетов без установленных флагов;
  • пакетов с установленным FIN флагом без ACK флага;
  • пакетов с одновременно установленными SYN и FIN флагами;
  • пакетов с неправильными заголовками;
  • и других..

Определение политик

При создании политики вы можете выбрать направление для фильтрации: из интернета в защищаемую зону и наоборот. Кроме направления, политика содержит в себе адрес источника, адрес назначения и порт назначения (приложение). Политикам также необходимо указать действие, которое будет произведено с пакетом: разрешить, запретить, отбросить с ответом отправителю о недоступности. По каждой политике вы можете просмотреть график потребляемой полосы. Также важен порядок политик, так как они проверяются последовательно, если не происходит совпадения ни с одной политикой, то отрабатывается политика по умолчанию — запретить.

Заказ

С ценой на данную услугу вы можете ознакомиться у нас на сайте.
Данная услуга уже доступна для заказа в панели управления: «Заказ услуг» → «Услуги сети» → «Управляемый фаервол»

Что еще почитать по теме

T-Rex 30 марта 2021

Что такое SMTP-протокол и как он устроен?

SMTP (Simple Mail Transfer Protocol) — протокол передачи почты. Он был представлен еще в 1982 году, но не теряет актуальности до сих пор. В статье разбираемся, какие задачи решает протокол и как он ра…
T-Rex 30 марта 2021
Владимир Туров 1 сентября 2020

Дело совершенно секретного iPod

Это был обычный серый день в конце 2005 года. Я сидел на рабочем месте и писал код для следующей версии iPod. Вдруг без стука ворвался директор ПО для iPod, начальник моего начальника, и закрыл дверь.
Владимир Туров 1 сентября 2020
T-Rex 21 августа 2020

TrendForce: цены на SSD упадут

Эксперты DRAMeXchange предсказывают значительное падение цен на оперативную память и твердотельные накопители в ближайшее время. Причина — сокращение спроса на чипы для NAND и DRAM.
T-Rex 21 августа 2020

Новое в блоге

Михаил Фомин 24 июня 2022

Docker Swarm VS Kubernetes — как бизнес выбирает оркестраторы

Рассказываем, для каких задач бизнесу больше подойдет Docker Swarm, а когда следует выбрать Kubernetes.
Михаил Фомин 24 июня 2022
Владимир Туров 5 октября 2022

DBaaS: что такое облачные базы данных

Рассказываем о сервисе управляемых баз данных в облаке и объясняем, как разделяется ответственность за работу кластеров БД между провайдером и клиентом.
Владимир Туров 5 октября 2022
Ульяна Малышева 30 сентября 2022

«Нулевой» локальный диск. Как мы запустили облако только с сетевыми дисками и приручили Ceph

Чем хороши сетевые диски и почему именно Ceph, рассказал директор по развитию ядра облачной платформы Иван Романько.
Ульяна Малышева 30 сентября 2022
Валентин Тимофеев 30 сентября 2022

Как проходит онбординг сотрудников ИТО? Что нужно, чтобы выйти на смену в дата-центр

Рассказываем, как обучаем новых сотрудников, какие задачи и испытания проходят инженеры прежде, чем выйти на свою первую смену.
Валентин Тимофеев 30 сентября 2022