Запуск услуги «Управляемый фаервол»

Управляемый фаервол

Почти месяц назад, через тикет-систему, мы приглашали всех наших клиентов, которые используют услуги по размещению и аренде выделенных серверов, поучаствовать в закрытом тестировании нашей новой услуги — «Управляемый фаервол». Теперь мы готовы предложить эту услугу для публичного использования.

Что это?

Управляемый фаервол — услуга предоставления защищенного интернет-канала с управляемым межсетевым экраном. Основной задачей услуги является осуществление контроля и фильтрация проходящих через него сетевых пакетов в соответствии с заданными политиками и опциями экрана.

Тарификация

Мы постарались максимально упростить её тарификацию и свели аккаунтинг только к одному параметру — пропускная способность защищаемой полосы. Шаг, с которым возможно увеличение пропускной способности фаервола, составляет 5 Мбит/с.

Ограничения

Услуга может быть подключена только для физических серверов, размещенных в Санкт-Петербургских дата-центрах (для Москвы данная услуга пока не доступна).

Активация услуги

Для начала использования услуги необходимо иметь хотя бы одну выделенную подсеть для серверов в дата-центрах Санкт-Петербурга и оплатить защищаемую полосу в необходимом объеме.
Защищенная полоса является независимым ресурсом и к ней может быть подключена любая имеющаяся у вас подсеть (платная, беспплатная, PI-адреса). Перевод подсети с незащищенной сети под фаервол происходит в ручном режиме после согласования удобного времени, даунтайм сети при переносе подсети составляет порядка 1 минуты.

Изменение пропускной способности

После активации услуги фаервола вы сможете изменять пропускную способность защищаемой полосы «на лету» через панель управления. При изменении (увеличении или уменьшении) пропускной способности защищаемой полосы, даунтайм отсутствует.

Начало работы

По умолчанию, защита трафика выключена — трафик уже проходит через фаервол, но к нему не применяются никакие действия. После оплаты услуги фаервола и перевода подсети под защиту, вы получаете доступ к панели управления фаерволом, в которой доступны график утилизации защищенной полосы, график со счетчиками по «плохому» трафику, а также вкладки для управления настройками политик и опций экрана по валидации трафика.

Процесс валидации трафика

Первоначально проверяется принадлежность пакета к существующим сессиям, если пакет не принадлежит ни одной существующей сессии, то он проходит проверку через экран, после чего проходит цепочку политик, если не было выявлено никаких аномалий то пакет доставляется на адрес назначения. Если же пакет принадлежит к уже существующей сессии, то он сразу направляется на проверку аномалий в экран без прохождения цепочки политик, после чего доставляется на адрес назначения. Политики могут задаваться в обоих направлениях, как для входящего трафика, так и для исходящего. Экран проверяет весь трафик проходящий через фаервол, независимо от его направления. Однонаправленные политики не означают, что вам придётся настраивать разрешение ответа от адреса назначения, так как сессия состоит из двух направлений.

Адреса

Для защиты конкретных IP-адресов из вашей подсети, вам необходимо добавить их во вкладке Адреса. После добавления адресов они станут доступны для указания в качестве адреса источника или адреса назначения при создании политик. Также на этой вкладке вы можете добавлять и любые другие IP-адреса(не только свои, но и глобальные), которые впоследствии будут использоваться в политиках.

Опции экрана

При прохождении через экран, каждый пакет проходит проверку от следующих типов атак:

  • подмены IP (IP-spoofing);
  • сканирования портов;
  • ping сканирования;
  • WinNuke атак;
  • Land атак;
  • tear drop атак;
  • фрагментированых ICMP пакетов;
  • Ping of Death;
  • больших ICMP пакетов;
  • фрагментированого трафика;
  • SYN-ACK-ACK;
  • SYN фрагментов;
  • TCP пакетов без установленных флагов;
  • пакетов с установленным FIN флагом без ACK флага;
  • пакетов с одновременно установленными SYN и FIN флагами;
  • пакетов с неправильными заголовками;
  • и других..

Определение политик

При создании политики вы можете выбрать направление для фильтрации: из интернета в защищаемую зону и наоборот. Кроме направления, политика содержит в себе адрес источника, адрес назначения и порт назначения (приложение). Политикам также необходимо указать действие, которое будет произведено с пакетом: разрешить, запретить, отбросить с ответом отправителю о недоступности. По каждой политике вы можете просмотреть график потребляемой полосы. Также важен порядок политик, так как они проверяются последовательно, если не происходит совпадения ни с одной политикой, то отрабатывается политика по умолчанию — запретить.

Заказ

С ценой на данную услугу вы можете ознакомиться у нас на сайте.
Данная услуга уже доступна для заказа в панели управления: «Заказ услуг» → «Услуги сети» → «Управляемый фаервол»