База знаний
Подключиться Консультация
Получить консультацию Подключиться
Облачные сервисы
Виртуальный рабочий стол
Передовые сервисы по предоставлению сотрудникам безопасного удалённого доступа к мощным виртуальным десктопам и корпоративным ресурсам клиента с любого устройства, из любой точки мира.
Корпоративные сервисы
Удобные сервисы для обмена документами или файлами между сотрудниками компании в том числе за пределами организации, а также настройка ИТ‑инфраструктуры «под ключ» для Вашего бизнеса от экспертов облака МТС. Благодаря этим сервисам сотрудники экономят рабочее время на выполнение ежедневным рутинных задач, тем самым повышается их эффективность.
Сетевые сервисы
Мы обеспечиваем комплекс решений по построению и оптимизации сетевой инфраструктуры. Это позволит вам быстро и эффективно реализовать необходимую связность между различными сервисами с определенными параметрами качества.
Хранение и резервирование данных
Надежно и стабильно с МТС Cloud. Мы обеспечиваем хранение любых видов и объемов данных. Это позволит вам быстро и эффективно работать с данными и приложениями.
Аренда оборудования
Сервисы собственной разработки, которые помогут повысить эффективность работы ИТ‑подразделений.
Проектные решения
Партнерские сервисы
Стать партнером
Поддержка
База Знаний #CloudMTS
База знаний #CloudMTS / Virtual Infrastructure / Виртуальные сети / Настройка запрещающих политик безопасности на межсетевом экране для защиты VDC

Настройка запрещающих политик безопасности на межсетевом экране для защиты VDC

NSX-V

Для управления входящим и исходящим сетевым трафиком NSX-T Edge Gateways возможно создать правила брандмауэра.

Чтобы создать правила брандмауэра и добавить их NSX-T, в первую очередь требуется создать IP sets — группы объектов, к которым применяются правила брандмауэра.

Объединение нескольких объектов в IP sets позволяет сократить общее количество создаваемых правил брандмауэра.

  • перейдите в раздел Data Centers
  • в блоке Networks перейдите в пункт Edges
  • выберите нужный Edge
img Увеличить
  • в разделе Networking перейдите в пункт IP Sets блока Security
  • нажмите на кнопку [NEW]
img Увеличить
  • в окне "New IP Set":

    • в поле Name введите имя IP Sets
    • в поле Description введите описание, если это необходимо
    • в поле IP Addresses введите IP-адрес или диапазон IP-адресов для виртуальных машин, входящих в набор IP-адресов
    • нажмите на кнопку [ADD]
    • нажмите на кнопку [SAVE] для сохранения
    • в данном примере добавлен публичный адрес EDGE
img Увеличить
  • в разделе Networking перейдите в пункт Firewall блока Services
img Увеличить
  • нажмите на кнопку [EDIT RULES]
  • в окне "Edit Rules":

    • нажмите на кнопку [NEW ON TOP]
    • строка для нового правила будет добавлена над выбранным правилом img Увеличить
  • настройте правило брандмауэра:

    • в поле Name введите имя правила
    • в поле State включите переключатель, чтобы включить правило при создании
    • в поле Applications, если необходимо выбрать конкретный профиль порта, к которому применяется правило, включите переключатель
    • нажмите на кнопку [SAVE]
    • в данном примере разрешается входящий трафик на публичный адрес по http
    img Увеличить
  • в поле Source:

    • включите опцию "Any Source", чтобы разрешить или запретить трафик с любого Source адреса
    • чтобы разрешить или запретить трафик от определенных групп брандмауэра, выберите группы брандмауэра из списка
    • нажмите на кнопку [KEEP]
    • в данном примере - источник любой
    img Увеличить
  • в поле Destination:

    • включите опцию "Any Destination", чтобы разрешить или запретить трафик на любой адрес назначения
    • чтобы разрешить или запретить трафик к определенным группам брандмауэра, выберите группы брандмауэра из списка
    • в данном примере - это Public-ipset, созданный ранее
    img Увеличить
  • в поле Action выберите действие из раскрывающего списка:

    • Allow - разрешить трафик от или к указанным источникам, адресатам и службам
    • Drop - заблокировать трафик от или к указанным источникам, адресатам и службам без уведомления заблокированного клиента
    • Reject - заблокировать трафик от или к указанным источникам, адресатам и службам, а также уведомить заблокированного клиента об отклонении трафика
  • в поле IP Protocol выберите, следует ли применять правило к трафику IPv4 или IPv6
  • в поле Logging включите переключатель, чтобы регистрировалось преобразование адресов, выполняемое этим правилом
  • нажмите на кнопку [SAVE]
img Увеличить

Описания и инструкции, размещаемые на данном ресурсе, носят исключительно информационный характер и не могут рассматриваться в качестве гарантий, заверений, рекомендаций или документа, порождающего какие-либо обязательства МТС. Конкретные условия использования сервисов определяются договорами с клиентом. МТС не несет ответственности за содержание публикуемых инструкций и результаты их применения клиентом. Актуальность отдельных положений публикуемых описаний и инструкций необходимо уточнять у аккаунт-менеджера или службы технической поддержки hub-support@cloud.mts.ru