Сервисы безопасности
Платформа обеспечивает сетевую безопасность на уровне тенанта через Распределённый межсетевой экран и NFV-устройства безопасности (vNGAF и SSL VPN), развёрнутые в вашем VPC.
Распределённый межсетевой экран
Распределённый межсетевой экран позволяет создавать политики управления трафиком, применяемые ко всем сетям тенанта — VPC и классическим. Политики организованы в именованные группы, правила в каждой группе применяются в порядке приоритета.
Создание политики межсетевого экрана
- Перейдите в Сервисы безопасности → Распределённый межсетевой экран.
- Выберите сеть тенанта на левой панели.
- Нажмите Создать политику.
- Заполните:
| Поле | Описание |
|---|---|
| Имя | Имя группы политик |
| Область | Сеть, к которой применяется политика |
| Приоритет | Политики с более высоким приоритетом применяются раньше стандартной политики платформы |
- Нажмите ОК.
Добавление правил в политику
- Нажмите Настроить правила рядом с политикой.
- Нажмите Создать для добавления правила.
- Настройте:
| Поле | Описание |
|---|---|
| Имя | Имя правила |
| Источник | Любой IP, группа IP, диапазон IP, виртуальная машина или группа ВМ |
| Назначение | Те же варианты, что и для источника |
| Сервис | Выберите предустановленный сервис или задайте пользовательский протокол TCP/UDP/ICMP и порт |
| Действие | Разрешить или Запретить |
- Нажмите ОК.
Для изменения порядка правил выберите правило и нажмите Вверх, Вниз или Переместить в другую группу политик.
Группы IP
Группы IP позволяют задать именованный набор диапазонов IP для повторного использования в нескольких правилах.
- Нажмите Группы IP на панели инструментов распределённого межсетевого экрана.
- Нажмите Создать, введите Имя и Диапазон IP, затем нажмите ОК.
Правила с источниками, основанными на виртуальных машинах, требуют установки VM Tools в гостевой ОС. Без VM Tools платформа не может автоматически определить IP-адрес ВМ, что делает правило неэффективным.
vNGAF (Виртуальный межсетевой экран нового поколения)
vNGAF — виртуальное устройство межсетевого экрана, развёрнутое внутри вашего VPC. Оно обеспечивает полный жизненный цикл инспекции и защиты трафика рабочих нагрузок тенанта.
Предварительные условия:
- Достаточная квота NFV для вашего тенанта (проверьте через Изменить квоту ресурсов)
- Образ устройства vNGAF доступен в вашем пуле ресурсов
Создание vNGAF
- Перейдите в Сервисы безопасности → Функции NFV → NGAF.
- Нажмите Создать.
- Настройте:
| Поле | Описание |
|---|---|
| Имя | Отображаемое имя экземпляра vNGAF |
| Пул ресурсов | Кластер для развёртывания |
| VPC | VPC, в котором будет размещён vNGAF |
| Конфигурация | Уровень ЦПУ/памяти/пропускной способности (например, 2 ядра, 4 ГБ, 100 Мбит/с) |
| Сайты VPN-филиалов | Необязательно: количество лицензий для VPN-сайтов филиалов |
| Пользователи SSL VPN | Необязательно: количество лицензий SSL VPN |
- Нажмите ОК.
После создания нажмите Ещё для доступа к консоли управления vNGAF и включения защиты. Защита включена по умолчанию после создания.
Для отключения защиты нажмите Отключить защиту в консоли vNGAF.
SSL VPN
SSL VPN обеспечивает защищённый удалённый доступ для пользователей, подключающихся к вашему VPC извне сети.
Предварительные условия:
- Достаточная квота NFV для вашего тенанта
- Образ устройства SSL VPN доступен в вашем пуле ресурсов
Создание SSL VPN
- Перейдите в Сервисы безопасности → Функции NFV → SSL VPN.
- Нажмите Создать.
- Настройте:
| Поле | Описание |
|---|---|
| Имя | Отображаемое имя |
| Пул ресурсов | Кластер для развёртывания |
| VPC | VPC, в котором будет размещён SSL VPN |
| Подсеть | Подсеть для устройства SSL VPN |
| Эластичный IP | Пропустить, создать новый или выбрать существующий EIP |
| Конфигурация | Уровень ЦПУ/памяти/пропускной способности |
| Всего мобильных пользователей | Количество лицензий удалённых пользователей |
| Всего удалённых пользователей | Количество одновременных удалённых подключений |
- Нажмите ОК.
После создания нажмите Ещё для открытия консоли управления SSL VPN (методы аутентификации, политики доступа, профили клиентов).
Следующий шаг: Мониторинг ресурсов.