Разное

Настройка брандмауэра сервера: Настройка брандмауэра Windows — SQL Server

15.01.2003

Содержание

Настройка брандмауэра Windows — SQL Server

  • Статья
  • Чтение занимает 19 мин
  • Участники: 4

Были ли сведения на этой странице полезными?

Да Нет

Хотите оставить дополнительный отзыв?

Отзывы будут отправляться в корпорацию Майкрософт. Нажав кнопку «Отправить», вы разрешаете использовать свой отзыв для улучшения продуктов и служб Майкрософт. Политика конфиденциальности.

Отправить

В этой статье

Применимо к: SQL Server (все поддерживаемые версии) — только Windows

Системы брандмауэров предотвращают несанкционированный доступ к ресурсам компьютера. Если брандмауэр включен, но настроен неправильно, попытка соединения с SQL Server может оказаться заблокированной.

Чтобы разрешить доступ к экземпляру SQL Server через брандмауэр, его необходимо настроить на компьютере, на котором работает SQL Server. Брандмауэр является компонентом Microsoft Windows. Вместо него можно установить брандмауэр другой компании. В этой статье обсуждается настройка брандмауэра Windows, однако общие принципы применимы к любым другим брандмауэрам.

Примечание

В статье содержатся общие сведения о настройке брандмауэра и сводные сведения, представляющие интерес для администратора SQL Server. Дополнительные сведения и официальные данные о брандмауэрах см. в документации по брандмауэру, например в разделе Руководство по безопасности для развертывания брандмауэра Windows.

Пользователи, знакомые с управлением брандмауэром Windows и знающие, какие параметры брандмауэра они хотят настроить, могут перейти напрямую к более сложным статьям:

Основные сведения о брандмауэрах

Брандмауэр проверяет входящие пакеты на соответствие следующему набору правил:

  • Если пакет соответствует стандартам, заданным правилами, то брандмауэр передает его протоколу TCP/IP для дальнейшей обработки.
  • Пакет не соответствует стандартам, заданным в правилах.
    • В этом случае брандмауэр отклоняет пакет. Если включено ведение журнала, в файле журнала брандмауэра создается соответствующая запись.

Список разрешенного трафика заполняется одним из следующих способов.

  • Автоматически. Когда защищенный брандмауэром компьютер инициирует соединение, брандмауэр добавляет в список запись, чтобы разрешить ответ. Ответ считается запрашиваемым трафиком, и ничего настраивать не требуется.

  • Вручную. Работа администратора заключается в настройке исключений в работе брандмауэра. Это открывает доступ к определенным программам или портам на вашем компьютере. В этом случае компьютер принимает весь входящий трафик, выполняя роль сервера, прослушивателя или однорангового узла. Настройку необходимо выполнить для подключения к SQL Server.

Выбор стратегии брандмауэра является более сложной задачей и не сводится лишь к открытию или закрытию портов. При выборе стратегии брандмауэра для предприятия необходимо обязательно рассмотреть все доступные правила и параметры конфигурации. В этой статье не рассматриваются все возможные параметры брандмауэра. Рекомендуем ознакомиться со следующими документами:

Руководство по развертыванию брандмауэра Windows
Руководство по проектированию для брандмауэра Windows
Основные сведения об изоляции серверов и доменов

Параметры брандмауэра по умолчанию

Первым шагом при планировании конфигурации брандмауэра является определение его текущего состояния в операционной системе. Если операционная система была обновлена с предыдущей версии, в ней могли сохраниться старые настройки брандмауэра. Изменять параметры брандмауэра в домене может групповая политика или администратор.

Примечание

Включение брандмауэра может повлиять на общий доступ к файлам и принтерам, подключения к удаленному рабочему столу и работу других программ, которым необходим доступ к компьютеру. Администратор должен просмотреть все приложения, которые работают на компьютере, прежде чем приступать к настройке параметров брандмауэра.

Программы для настройки брандмауэра

Настройте параметры брандмауэра Windows с помощью консоли управления (MMC) или netsh.

  • Консоль управления (MMC)

    Оснастка «Брандмауэр Windows в режиме повышенной безопасности» позволяет настраивать дополнительные параметры брандмауэра. Эта оснастка представляет большинство параметров брандмауэра и в удобной форме, а также все профили брандмауэра. Дополнительные сведения см. в разделе Использование оснастки «Брандмауэр Windows в режиме повышенной безопасности» далее в этой статье.

  • netsh

    Средство netsh.exe позволяет администратору настраивать и отслеживать компьютеры с Windows из командной строки или с помощью пакетного файла . При использовании средства netsh вводимые контекстные команды направляются соответствующим вспомогательным приложениям, которые их выполняют. Вспомогательное приложение — это файл библиотеки динамической компоновки (DLL) для расширения функциональных возможностей. Вспомогательное приложение обеспечивает настройку, мониторинг и поддержку различных служб, служебных программ и протоколов для средства

    netsh.

    Все операционные системы, поддерживающие SQL Server , имеют модуль поддержки брандмауэра. Windows Server 2008 также содержит расширенный помощник брандмауэра advfirewall. Многие из описанных параметров конфигурации можно настроить с помощью средства netsh. Например, выполните в командной строке следующий скрипт, чтобы открыть TCP-порт 1433:

    netsh firewall set portopening protocol = TCP port = 1433 name = SQLPort mode = ENABLE scope = SUBNET profile = CURRENT  
    

    Аналогичный пример, использующий брандмауэр Windows для модуля поддержки повышенной безопасности:

    netsh advfirewall firewall add rule name = SQLPort dir = in protocol = tcp action = allow localport = 1433 remoteip = localsubnet profile = DOMAIN  
    

    Дополнительные сведения о средстве netsh см. в следующих разделах:

  • PowerShell

    В следующем примере показано, как открыть TCP-порт 1433 и UDP-порт 1434 для экземпляра по умолчанию SQL Server и службы обозревателя SQL Server:

    New-NetFirewallRule -DisplayName "SQLServer default instance" -Direction Inbound -LocalPort 1433 -Protocol TCP -Action Allow
    New-NetFirewallRule -DisplayName "SQLServer Browser service" -Direction Inbound -LocalPort 1434 -Protocol UDP -Action Allow
    

    Дополнительные примеры см. в разделе New-NetFirewallRule.

  • Для Linux. В Linux необходимо также открыть порты, связанные со службами, к которым вам нужен доступ. Различные дистрибутивы Linux и брандмауэры имеют свои процедуры. Примеры см. в руководствах по использованию SQL Server в Red Hat и SUSE.

Порты, используемые SQL Server

Следующие таблицы помогут выяснить, какие порты использует SQL Server.

Ports Used By the Database Engine

По умолчанию приведены типичные порты, используемые службами SQL Server и связанными службами ядра СУБД. TCP 1433, 4022,

135, 1434, UDP 1434. В таблице ниже эти порты описаны подробно. Именованный экземпляр использует динамические порты.

В следующей таблице перечислены порты, обычно используемые компонентом Компонент Database Engine.

Сценарий Порт Комментарии
Экземпляр по умолчанию, работающий по протоколу TCP TCP-порт 1433 Этот порт открывают в брандмауэре чаще всего. Он применяется для программных соединений с экземпляром компонента Компонент Database Engineпо умолчанию или именованным экземпляром, который является единственным на данном компьютере (для именованных экземпляров следует учитывать ряд особых требований, подробнее о которых см. в разделе Динамические порты далее в этой статье).
Именованные экземпляры с портом по умолчанию TCP-порт выделяется динамически в момент запуска компонента Компонент Database Engine . См. подраздел Динамические портыдалее в этом разделе. При использовании именованных экземпляров службе обозревателя SQL Server может потребоваться UDP-порт 1434.
Именованные экземпляры с фиксированным портом Номер порта настраивается администратором. См. подраздел Динамические портыдалее в этом разделе.
Выделенное административное соединение TCP-порт 1434 предназначен для экземпляра по умолчанию. Другие порты используются для именованных экземпляров. Номер порта проверьте по журналу ошибок. По умолчанию удаленные подключения по выделенному административному соединению (DAC) не активированы. Разрешить удаленное выделенное административное соединение можно при помощи средства настройки контактной зоны. Дополнительные сведения см. в разделе Surface Area Configuration.
SQL Server Служба браузера UDP-порт 1434 Служба обозревателя SQL Server ожидает передачи данных с входящих подключений к именованному экземпляру.
Служба предоставляет клиенту номер TCP-порта, соответствующий этому именованному экземпляру. Обычно служба « SQL Server , браузер» запускается при использовании именованного экземпляра компонента Компонент Database Engine . Если клиент настроен на подключение к конкретному порту именованного экземпляра, служба обозревателя SQL Server не требуется.
Экземпляр с конечной точкой HTTP. Может указываться во время создания конечной точки HTTP. По умолчанию используется TCP-порт 80 для данных CLEAR_PORT и порт 443 для данных SSL_PORT. Используется для HTTP-соединения по URL-адресу.
Экземпляр по умолчанию с конечной точкой HTTPS. TCP-порт 443 Используется для HTTPS-соединения по URL-адресу. HTTPS — это HTTP-соединение, которое использует протокол TLS, ранее называемый SSL.
Компонент Service Broker TCP-порт 4022. Чтобы проверить используемый порт, выполните следующий запрос:

SELECT name, protocol_desc, port, state_desc

FROM sys.tcp_endpoints

WHERE type_desc = 'SERVICE_BROKER'

Для компонента SQL ServerКомпонент Service Broker порт по умолчанию отсутствует. В примерах электронной документации используется стандартная конфигурация.
Зеркальное отображение базы данных Порт, выбранный администратором. Чтобы определить порт, выполните следующий запрос.

SELECT name, protocol_desc, port, state_desc FROM sys.tcp_endpoints

WHERE type_desc = 'DATABASE_MIRRORING'

Для зеркального отображения базы данных порт по умолчанию отсутствует, однако в примерах электронной документации используется TCP-порт 5022 или 7022. Важно избегать прерывания работы используемой конечной точки зеркального отображения, особенно в режиме высокого уровня безопасности с автоматической отработкой отказа. Конфигурация брандмауэра должна избегать прерывания кворума. Дополнительные сведения см. в разделе Указание сетевого адреса сервера (зеркальное отображение базы данных).
Репликация Соединения репликации с SQL Server используют порты, которые обычно использует компонент Компонент Database Engine (TCP-порт 1433 для экземпляра по умолчанию).

Веб-синхронизация и доступ через FTP/UNC для моментального снимка репликации требуют открытия в брандмауэре дополнительных портов. Передачу начальных данных и схемы из одного места в другое репликация осуществляет по протоколу FTP (TCP-порт 21) либо с помощью синхронизации через HTTP (TCP-порт 80) или общего доступа к файлам. Для общего доступа к файлам применяются UDP-порты 137 и 138, а также TCP-порт 139 при использовании совместно с NetBIOS. Совместное использование файлов использует TCP-порт 445.

Для синхронизации по протоколу HTTP в репликации используется конечная точка служб IIS (настраиваемая, по умолчанию — порт 80), однако процесс IIS подключается к внутреннему интерфейсу SQL Server через стандартные порты (1433 для экземпляра по умолчанию).

При веб-синхронизации через FTP-порт передача данных выполняется между службами IIS и издателем SQL Server , а не между подписчиком и службами IIS.

Transact-SQL отладчик TCP-порт 135

См. раздел Особые замечания относительно порта 135

Также может потребоваться исключение IPsec .

При использовании среды Visual Studioна Visual Studio главном компьютере в список исключений необходимо также добавить программу Devenv.exe и открыть TCP-порт 135.

При использовании среды Среда Management Studioна Среда Management Studio главном компьютере необходимо также добавить в список исключений программу ssms.exe и открыть TCP-порт 135. Дополнительные сведения см. в разделе Настройка правил брандмауэра перед запуском отладчика TSQL.

Пошаговые инструкции по настройке брандмауэра Windows для Компонент Database Engine см. в разделе Настройка брандмауэра Windows для доступа к компоненту Database Engine.

Динамические порты

По умолчанию именованные экземпляры (включая SQL Server Express) используют динамические порты. Это означает, что при каждом запуске компонент Компонент Database Engine находит доступный порт и использует его номер. Если именованный экземпляр является единственным установленным экземпляром компонента Компонент Database Engine , то, скорее всего, он будет использовать TCP-порт 1433. При установке других экземпляров компонента Компонент Database Engine они будут использовать другие TCP-порты. Поскольку выбираемый порт при каждом запуске компонента Компонент Database Engine может меняться, трудно настроить брандмауэр на разрешение доступа к нужному порту. Если используется брандмауэр, рекомендуем перенастроить компонент Компонент Database Engine на постоянное использование одного и того же порта. Рекомендуется использовать фиксированный или статический порт. Дополнительные сведения см. в разделе Настройка сервера для прослушивания указанного TCP-порта (диспетчер конфигурации SQL Server).

В качестве альтернативы настройке именованного экземпляра для прослушивания фиксированного порта можно создать в брандмауэре исключение для программы SQL Server, например sqlservr.exe (для компонента Компонент Database Engine). Номер порта не будет отображаться в столбце Локальный порт на странице Правила для входящего трафика при использовании оснастки MMC «Брандмауэр Windows в режиме повышенной безопасности». Аудит открытых портов может быть сложной задачей. Также нужно учитывать, что простой или накопительный пакет обновления может изменить путь к исполняемому файлу SQL Server, что сделает правило брандмауэра недействительным.

Добавление в брандмауэр исключения для программы при помощи элемента «Брандмауэр Защитника Windows в режиме повышенной безопасности»
  1. В меню «Пуск» наберите wf.msc. Нажмите клавишу ВВОД или выберите результат поиска «wf.msc», чтобы открыть Брандмауэр Защитника Windows в режиме повышенной безопасности.

  2. В левой панели щелкните Правила для входящих подключений.

  3. В правой панели в разделе Действия нажмите кнопку Создать правило… . Откроется мастер создания правила для нового входящего подключения.

  4. В разделе Тип правила выберите Программа. Выберите Далее.

  5. В разделе Программа выберите Путь к программе. Нажмите кнопку Обзор и найдите файл программы SQL Server. Этот файл называется sqlservr.exe. Обычно он находится здесь:

    C:\Program Files\Microsoft SQL Server\MSSQL15.<InstanceName>\MSSQL\Binn\sqlservr.exe

    Выберите Далее.

  6. В разделе Действие выберите вариант Разрешить подключение. Выберите Далее.

  7. В разделе Профиль включите все три профиля. Выберите Далее.

  8. В поле Имя введите имя правила. Нажмите кнопку Готово.

Дополнительные сведения о конечных точках см. в разделах Настройка ядра СУБД на прослушивание нескольких портов TCP и Представления каталога конечных точек (Transact-SQL).

Порты, используемые службами Analysis Services

По умолчанию типичные порты, используемые SQL Server Analysis Services и связанными службами, — это: TCP 2382, 2383, 80, 443. В таблице ниже эти порты описаны подробно.

В следующей таблице перечислены порты, обычно используемые службами Службы Analysis Services.

Компонент Порт Комментарии
Службы Analysis Services TCP-порт 2383 для экземпляра по умолчанию Стандартный порт для экземпляра служб Службы Analysis Servicesпо умолчанию.
SQL Server Служба браузера Для именованного экземпляра служб Службы Analysis Services необходим только TCP-порт 2382 Запросы клиентов на подключение к именованному экземпляру Службы Analysis Services, в которых не указан номер порта, направляются на порт 2382, на котором ожидает передачи данных служба обозревателя SQL Server. SQL Server затем перенаправляет запрос на порт, используемый запрошенным именованным экземпляром.
Службы Analysis Services настроены для работы через протокол IIS/HTTP

(служба PivotTable® Service использует протокол HTTP или HTTPS)

TCP-порт 80 Используется для HTTP-соединения по URL-адресу.
Службы Analysis Services настроены для работы через протокол IIS/HTTPS

(служба PivotTable® Service использует протокол HTTP или HTTPS)

TCP-порт 443 Используется для HTTPS-соединения по URL-адресу. HTTPS представляет собой HTTP-соединение, защищенное по протоколу TSL.

Если пользователи обращаются к Службы Analysis Services через IIS и Интернет, необходимо открыть порт, где IIS ожидает передачи данных. Затем нужно указать порт в строке подключения клиента. В этом случае необязательно иметь открытые порты для прямого доступа к службам Службы Analysis Services. Необходимо ограничить доступ к порту по умолчанию 2389, порту 2382 и другим портам, доступ к которым не требуется.

Пошаговые инструкции по настройке брандмауэра Windows для Службы Analysis Services см. в разделе Настройка брандмауэра Windows на разрешение доступа к службам Analysis Services.

Порты, используемые службами Reporting Services

По умолчанию SQL Server Reporting Services и связанные службы обычно используют порты TCP 80 и 443. В таблице ниже эти порты описаны подробно.

В следующей таблице перечислены порты, обычно используемые службами Службы Reporting Services.

Компонент Порт Комментарии
Службы Reporting Services Веб-службы TCP-порт 80 Используется для HTTP-соединения со службами Службы Reporting Services по URL-адресу. Не рекомендуется использовать предварительно настроенное правило Службы Интернета (HTTP) . Дополнительные сведения см. в разделе Взаимодействие с другими правилами брандмауэра ниже.
Службы Reporting Services настроены для работы через протокол HTTPS TCP-порт 443 Используется для HTTPS-соединения по URL-адресу. HTTPS представляет собой HTTP-соединение, защищенное по протоколу TSL. Не рекомендуется использовать предварительно настроенное правило Защищенные службы Интернета (HTTP) . Дополнительные сведения см. в разделе Взаимодействие с другими правилами брандмауэра ниже.

Для соединения служб Службы Reporting Services с экземпляром компонента Компонент Database Engine или служб Службы Analysis Servicesнеобходимо также открыть соответствующие порты для этих служб. Пошаговые инструкции по настройке брандмауэра Windows для компонента Службы Reporting Servicesсм. в разделе Настройка брандмауэра для доступа к серверу отчетов.

Порты, используемые службами Integration Services

В следующей таблице перечислены порты, используемые службой Службы Integration Services .

Компонент Порт Комментарии
Microsoft удаленные вызовы процедур (MS RPC)

Используется средой выполнения служб Службы Integration Services .

TCP-порт 135

См. раздел Особые замечания относительно порта 135

Служба Службы Integration Services обращается к DCOM по порту 135. Диспетчер служб использует порт 135 для запуска и остановки службы Службы Integration Services, передачи работающей службе запросов управления и для других задач. Номер порта не может быть изменен.

Этот порт должен быть открыт только при подключении к удаленному экземпляру службы Службы Integration Services из среды Среда Management Studio или пользовательского приложения.

Пошаговые инструкции по настройке брандмауэра Windows для служб Службы Integration Services см. в статье Службы Integration Services (службы SSIS).

Другие порты и службы

В следующей таблице перечислены порты и службы, от которых может зависеть SQL Server .

Сценарий Порт Комментарии
Инструментарий управления Windows (WMI)

Дополнительные сведения об инструментарии управления Windows (WMI) см. в разделе основных принципов поставщика WMI для управления конфигурацией.

Инструментарий WMI запускается в составе общего узла службы с назначением портов через DCOM. Инструментарий WMI может пользовать TCP-порт 135.

См. раздел Особые замечания относительно порта 135

SQL Server использует инструментарий WMI для просмотра и управления службами. Рекомендуется использовать стандартную группу правил Инструментарий управления Windows (WMI) . Дополнительные сведения см. в разделе Взаимодействие с другими правилами брандмауэра ниже.
Microsoft Координатор распределенных транзакций (Майкрософт) (MS DTC) TCP-порт 135

См. раздел Особые замечания относительно порта 135

Если приложение использует распределенные транзакции, то может потребоваться настройка брандмауэра таким образом, чтобы разрешить передачу данных координатора распределенных транзакций (Microsoft) (MS DTC) между отдельными экземплярами MS DTC и между MS DTC и диспетчерами ресурсов (например, SQL Server). Рекомендуется использовать стандартную группу правил Координатор распределенных транзакций .

Если для всего кластера настроен единственный общий координатор MS DTC в отдельной группе ресурсов, следует добавить программу sqlservr.exe в список исключений брандмауэра.

Кнопка обзора в среде Среда Management Studio соединяется со службой SQL Server, браузер по протоколу UDP. Дополнительные сведения см. в разделе Служба обозревателя SQL Server (ядро СУБД и SSAS). UDP-порт 1434 Протокол UDP не сохраняет соединения.

Свойство UnicastResponsesToMulticastBroadcastDisabled интерфейса INetFwProfile управляет работой брандмауэра и одноадресными ответами на широковещательные (или многоадресные) UDP-запросы. Возможны два варианта.

Если этот параметр имеет значение TRUE, то одноадресные ответы на широковещательные запросы запрещены. Перечисление служб завершится ошибкой.

Если этот параметр имеет значение FALSE (по умолчанию), то одноадресные ответы разрешены в течение 3 секунд. Эта длительность не настраивается. Если сеть переполнена, каналы имеют задержки или сервер работает в режиме высокой нагрузки, то при построении списка экземпляров SQL Server список может быть возвращен лишь частично и ввести пользователя в заблуждение.

Трафик по протоколу IPsec UDP-порты 500 и 4500 Если политика домена требует выполнения сетевых соединения через протокол IPsec, необходимо добавить в список исключений UDP-порты 4500 и 500. Протокол IPsec можно включить с помощью мастера создания правила для входящего подключения в оснастке «Брандмауэр Windows». Дополнительные сведения см. в разделе Использование оснастки «Брандмауэр Windows в режиме повышенной безопасности» ниже.
Использование проверки подлинности Windows в надежных доменах Брандмауэр можно настроить для разрешения запросов проверки подлинности. Дополнительные сведения см. в разделе Настройка брандмауэра для работы с доменами и отношениями доверия.
SQL Server и кластеризация Windows Для кластеризации требуется открыть дополнительные порты, не связанные с SQL Server напрямую. Дополнительные сведения см. в разделе Подготовка сети для работы кластера.
Пространства имен URL-адресов, зарезервированные в компоненте HTTP.SYS Обычно TCP-порт 80, однако можно настроить для использования любого другого порта. Общие сведения см. в разделе Настройка протоколов HTTP и HTTPS. Сведения о резервировании конечной точки компонента HTTP.SYS с помощью программы HttpCfg.exe, относящиеся к SQL Server, см. в разделе Сведения о резервировании и регистрации URL-адресов (диспетчер конфигурации служб SSRS).

Особые замечания относительно порта 135

При использовании RPC с транспортным протоколом TCP/IP или UDP/IP входящие порты динамически назначаются системным службам по мере надобности. Используются порты TCP/IP и UDP/IP с номерами выше 1024. Эти порты называются «случайными RPC-портами». В этом случае RPC-клиент определяет порт, назначенный серверу, через модуль конечной точки RPC. Для некоторых служб, работающих через протокол RPC, можно настроить использование определенного фиксированного порта. Можно также ограничить диапазон портов, динамически назначаемых RPC и не зависящих от службы. Поскольку порт 135 используется для многих служб, он часто подвергается атакам злоумышленников. В случае открытия порта 135 рекомендуется ограничить область действия правила брандмауэра.

Дополнительные сведения о порте 135 см. в следующих ресурсах.

Взаимодействие с другими правилами брандмауэра

Настройка брандмауэра Windows производится на основе правил и групп правил. Каждое правило или группа правил связывается с определенной программой или службой, которая может изменять или удалять это правило без вашего ведома. Например, группы правил Службы Интернета (HTTP) и Защищенные службы Интернета (HTTPS) связаны со службами IIS. При включении этих правил будут открыты порты 80 и 443 и разрешены функции SQL Server , зависящие от этих портов. Однако администратор в процессе настройки служб IIS может изменить или отключить эти правила. Если вы используете для SQL Server порт 80 или 443, создайте собственное правило или группу правил для поддержки необходимой конфигурации портов независимо от других правил IIS.

Оснастка «Брандмауэр Windows в режиме повышенной безопасности» пропускает весь трафик, соответствующий применимым разрешающим правилам. Таким образом, если существуют два правила для порта 80 (с разными параметрами), то будет пропускаться трафик, соответствующий любому из них. Например, если одно правило разрешает трафик по порту 80 из локальной подсети, а другое разрешает трафик с любого адреса, то в итоге на порту 80 будет разрешен любой трафик независимо от источника. Чтобы обеспечить эффективное управление доступом к SQL Server, администратор должен периодически проверять все правила брандмауэра, разрешенные на сервере.

Общие сведения о профилях брандмауэра

В соответствии с профилями брандмауэра операционная система определяет и запоминает каждую из сетей по следующим параметрам: возможность подключения, имеющиеся подключения и категория.

Брандмауэр Windows в режиме повышенной безопасности делит сети на три типа.

  • Домен. Windows может выполнить проверку подлинности доступа к контроллеру домена, в который включен компьютер.
  • Общедоступные. В эту категорию первоначально попадают все сети, не входящие в домены. Сети, которые представляют прямые соединения с Интернетом, являются открытыми (аэропорты, кафе и другие места открытого доступа).
  • Частные. Сеть, определенная пользователем или приложением как личная. Только доверенные сети могут быть определены как частные. Обычно в качестве частной сети определяется сеть малого предприятия, домашняя сеть и т. п.

Администратор может создать профиль для каждого типа сети и задать для этих профилей разные политики брандмауэра. Одномоментно применим только один профиль. Профили применяются в следующем порядке.

  1. Профиль домена применяется, когда все интерфейсы проходят проверку подлинности на контроллере домена, членом которого является компьютер.
  2. Если все интерфейсы либо прошли проверку подлинности к контроллеру домена, либо соединены с сетями, которые определены как частные, применяется частный профиль.
  3. В противном случае применяется открытый профиль.

Просмотреть и настроить профили брандмауэра можно с помощью оснастки «Брандмауэр Windows в режиме повышенной безопасности». Элемент Брандмауэр Windows на панели управления позволяет настраивать только текущий профиль.

Дополнительные параметры брандмауэра в элементе «Брандмауэр Windows» на панели управления

Добавление брандмауэра позволяет блокировать открытие порта для входящих подключений с определенных компьютеров или из локальной подсети. Ограничьте область открытия портов, чтобы сделать компьютер менее уязвимым для злоумышленников.

Примечание

Элемент Брандмауэр Windows на панели управления позволяет настроить только текущий профиль.

Изменение области действия исключения брандмауэра с помощью «Брандмауэра Windows» на панели управления

  1. В панели управления в элементе Брандмауэр Windows выберите на вкладке Исключения программу или порт, а затем нажмите Свойства или Изменить.

  2. В диалоговом окне Изменение программы или Изменение порта нажмите Изменить область.

  3. Выберите один из следующих вариантов.

    • Любой компьютер (включая компьютеры в Интернете) : не рекомендуется. В этом случае любой компьютер, способный обращаться к вашему, сможет подключаться к указанной программе или порту. Этот параметр может пригодиться для передачи данных анонимным пользователям Интернета, однако он повышает уязвимость компьютера. Уязвимость повысится, если одновременно с этим параметром разрешить обход с использованием преобразования сетевых адресов (NAT), например с помощью параметра «Разрешить обход узлов».

    • Только моя сеть (подсеть) : это более безопасный вариант по сравнению с режимом Любой компьютер. Только компьютеры локальной подсети могут производить соединение с программой или портом.

    • Особый список. Соединение разрешено только компьютерам, имеющим перечисленные здесь IP-адреса. Этот режим может быть более безопасным по сравнению с вариантом Только моя сеть (подсеть) , однако клиентские компьютеры, использующие протокол DHCP, могут иногда менять IP-адреса, что приводит к невозможности подключения. При этом другой компьютер, которому не предоставлялся доступ, может принять указанный в списке IP-адрес и подключиться к нему. Вариант Настраиваемый список подходит для получения списков других серверов, для которых настроены фиксированные IP-адреса. IP-адреса могут быть подделаны злоумышленником. Эффект ограничения правил брандмауэра напрямую зависит от уровня защиты сетевой инфраструктуры.

Использование оснастки «Брандмауэр Windows в режиме повышенной безопасности»

Оснастка MMC «Брандмауэр Windows в режиме повышенной безопасности» позволяет настроить расширенные параметры брандмауэра. Эта оснастка включает мастер настройки правил и позволяет изменять параметры, недоступные в элементе Брандмауэр Windows из панели управления. Эти параметры включают:

  • Параметры шифрования.
  • Ограничения служб.
  • Ограничение соединений для компьютеров по именам.
  • Ограничение соединений для определенных пользователей или профилей.
  • Разрешение просмотра узлов для исключения маршрутизаторов NAT.
  • Настройка правил исходящих соединений.
  • Настройка правил безопасности.
  • Требование протокола IPsec для входящих соединений.

Создание правила брандмауэра при помощи мастера создания правил

  1. В меню «Пуск» выберите пункт Выполнить, введите WF.msc и нажмите кнопку ОК.
  2. В левой части панели Брандмауэр Windows в режиме повышенной безопасности щелкните правой кнопкой мыши элемент Правила для входящих подключений и выберите пункт Создать правило.
  3. Завершите мастер создания правила для нового входящего подключения , задав все необходимые параметры.

Устранение неполадок настройки брандмауэра

Следующие средства и методы могут оказаться полезными при устранении неполадок брандмауэра.

  • Действующее состояние порта является объединением всех правил, связанных с этим портом. Чтобы заблокировать доступ к порту, бывает полезно просмотреть все правила, в которых он упоминается. Просмотрите правила с помощью оснастки MMC «Брандмауэр Windows в режиме повышенной безопасности» и отсортируйте правила для входящего и исходящего трафика по номеру порта.

  • Просмотрите порты, которые активны на компьютере, где запущен SQL Server . В процессе анализа необходимо проверить, на каких портах TCP/IP ожидается передача данных, а также проверить состояние этих портов.

    Для определения, на каких портах ожидается передача данных, отобразите активные TCP-подключения и статистику IP-адресов, используя программу командной строки netstat.

    Получение списка прослушиваемых TCP/IP-портов
    1. Откройте окно командной строки.

    2. В командной строке введите netstat -n -a.

      При наличии параметра -n служебная программа netstat выводит адреса и номера портов активных подключений TCP в числовом виде. При наличии параметра -a служебная программа netstat выводит порты TCP и UDP, которые прослушиваются компьютером.

  • Служебную программу PortQry можно использовать для вывода состояния портов TCP/IP (прослушивается, не прослушивается, фильтруется). Если порт фильтруется, служебная программа может не получить от него ответ. Скачать PortQry можно в Центре загрузки Майкрософт.

См. также:

Общие сведения о службе и требования к сетевым портам в системе Windows Server
Руководство. Настройка параметров брандмауэра (база данных SQL Microsoft Azure)

Настройка Firewall для сервера 1С

Продолжая небольшой цикл публикаций о серверах для программ 1С, поговорим сегодня о настройках на них файрвола. Начать следует с того, что дефолтные настройки брандмауэра Windows Server 2008/2012 R2 подразумевают блокировку сетевой активности. Следовательно, чтобы клиентские программы получили возможность взаимодействовать через соответствующие порты с серверными компонентами, в Windows Firewall нужно прописать правила, регламентирующие обмен данными в сети посредством конкретных портов.

Распространена ситуация, когда клиентское ПО сотрудников не может найти сервер «1С:Предприятие», который работает в серверной среде под управлением Windows Server 2012. Среди наиболее частых ошибок можно назвать ошибку доступа к серверу по сети, ошибку при работе с базой данной, отсутствие нужного отклика от другого терминала, разрыв соединения из-за неверного отклика от терминала, который уже подключен.


Добавляем правила в файрвол для «1С Предприятие»

Все эти ошибки сигнализируют о том, что по указанному адресу клиентское ПО не находит 1С-сервер, что часто бывает связано с тем, что нужный порт (в нашем случае 1541) закрыт. Открыть его можно, зайдя на сервер через RDP-подключение и активировав управление Windows Firewall. Существуют два способа выполнения этой процедуры: через подраздел «Система и безопасность» в «Панели управления», откуда можно запустить файрвол или через командную строку (хоткей Win+R), с помощью команды firewall.cpl .

Получив доступ к файрволу Windows, необходимо перейти в «дополнительные параметры» из левого меню, а оттуда – в раздел правил для входящих подключений. Там следует создать новое правило, воспользовавшись меню «Действия». После этого откроется окно с мастеров правил для новых входящих подключений. Среди представленных на главной странице типов правил, необходимо выбрать «для портов», указать TCP в качестве протокола передачи сетевых данных и номер порта, который будет открыт.

После нажатия «далее» потребуется выбрать действие «разрешить подключения», которое свяжется с генерируемым правилом. Вслед за этим нужно будет пометить те профили Windows Firewall, на которые это действие будет распространяться, при желании – как-то его озаглавить и добавить краткое описание.

Завершив создание правила, необходимо будет повторить попытку соединения с 1С-сервером. Скорее всего, появится аналогичная ошибка за тем исключением, что речь будет идти о порте номер 1560. Не нужно переживать, зато нужно повторить те же действия, что и для порта 1541, только в новом правиле в разделе «Protocol and Ports». указать через дефис диапазон портов 1560-1591, которые необходимы для ряда рабочих процессов 1C, а, если это не поможет, расширить диапазон до 1540-1591.

Затем будет необходимо переключиться на оснастку «Windows Firewall with Advanced Security», где можно будет просмотреть созданные правила списком. Клиент 1С к этому моменту уже должен спокойно подключаться к серверному окружению. В том случае, если это нужно сделать через консоль серверного администрирования 1C понадобится последнее правило, которое откроет порт 1540.

В случае, если потребуется добавить правило к исходящим подключениям, следует воспользоваться тем же алгоритмом создания правил для разных программ и протоколов.


Настраиваем файрвол под Windows Server 2012

Несколько слов нужно сказать о настройке файрвола в конфигурации 1C + MS SQL. Эта связка – популярна во многих современных компаниях, однако требует времени на вникание в механику работы Windows Firewall с серверным окружением 1С.

Если подключение к серверу идет на TCP-порт 1433 – просто создаем правило и открываем к нему доступ по той же схеме, которая расписывалась выше. Удостовериться, что работа осуществляется через это порт можно через оснастку «Диспетчер конфигурации SQL Server» в Server 2012, где во вкладке протоколов для MSSQLSERVER можно найти TCP/IP-протокол, в свойствах которого есть вкладка «IP-адреса», а в ней – ветка «IPAII».

Бывают однако и ситуации, когда SQL-порт – динамический. В этом случае потребуется подключиться к приложению %ProgramFiles%\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Binn\sqlservr.exe.

Подытоживая, можно сказать, что понимание алгоритма настройки файрвола для 1С-сервера может облегчить задачу любом сисадмину, столкнувшемуся с неполадками с подключением.


Как и зачем производить дедупликацию данных на предприятии

29 Ноября 2019

Читать

Как защитить систему на Linux: главные принципы

22 Января 2020

Читать

О RAID-массивах и RAID-контроллерах

7 Ноября 2018

Читать

Работа с брандмауэром Windows — Справочник RuVDS

Любая программа запущенная от имени администратора включает нужное правило брандмауэра автоматически, сама по себе и никаких дополнительных настроек не нужно, чтобы она видела сеть и была видна из сети.

Исключение составляют правила для стандартных служб установленных по умолчанию, нужно включить разрешающее правило для общественных сетей или изменить текущее, о чем и поговорим в этой статье.

ОТКРЫТЬ ПОРТ ЧЕРЕЗ ПОЛЬЗОВАТЕЛЬСКИЙ ИНТЕРФЕЙС

Рассмотрим один из редких случаев, это когда мы хотим развернуть общий доступ к файлам расположенных на сервере. В данном случае, просто открыть общий доступ недостаточно, нужно залезть в брандмауэр.

Используйте Win+R (или щелкните правой кнопкой мыши по меню Пуск, выберите «Выполнить») наберите firewall.cpl и перейдите в дополнительные параметры.

Найти брандмауэр можно и через поиск меню пуск, если начать набирать «Брандмауэр». Нас интересует брандмауэр в режиме повышенной безопасности.

Общий доступ к файлам и папкам утилизирует протокол SMB, а он использует 445 порт. Тут не нужно создавать новое правило, а лучше включить стандартное. Так без лишней путаницы, чисто и быстро можно открыть любой порт.

Отсортируйте колонку по порту или группе, затем включите правило.

Вот так просто и чисто корпорация Майкрософт реализовала управление правилами в Windows с пользовательским интерфейсом.

ОТКРЫТЬ ПОРТ C ПОМОЩЬЮ POWERSHELL

Каждое правило, которое было добавлено позже имеет высший приоритет над ранним. Чтобы однажды не запутаться в них, мы сделаем тоже самое что и в случае выше, так же чисто, только при помощи одной командной строки.

Используйте Win+R (или щелкните правой кнопкой мыши по меню Пуск, выберите «Выполнить») наберите Powershell.

Найти можно и через поиск меню пуск, если начать набирать «Powershell». Запускать нужно от имени администратора. Рассматривать мы будем обычный Powershell, Powershell ISE нужен для выполнения скриптов, нас это не интересует.

Сперва нам нужно узнать какое правило мы хотим включить. Для этого выполним командлет:

Get-NetFirewallRule | where Direction -EQ inbound | select name

Этим самым мы получаем имена всех входящих правил фаервола и получаем только их имена. Отличить их просто, первой идет группа правил, затем протокол и направление. По-русски это бы выглядело так:

ГруппаПравил-Протокол-Направление

Мы получили результат. Нас интересует правило FPS-SMB-In-TCP. Эта аббривеатура расшифровывается как File and Printer Shading (SMB IN). Это то, что нам в данном случае нужно. Теперь включаем правило:

Set-NetFirewallRule -Name FPS-SMB-In-TCP -Enabled True

Как вы видите, никаких принципиальных изменений от того, что происходит с помощью пользовательского интерфейса тут нет, нужно лишь небольшое знание английского языка.

СОЗДАТЬ РАЗРЕШАЮЩЕЕ ПРАВИЛО ВРУЧНУЮ

Иногда программы не создают правила сами по себе, и требуется ручное вмешательство. Рассмотрим на примере открытия порта для сервера Майнкрафт. Справа от окна брандмауэра нажимаем “Создать новое правило”. Выбираем правило для порта.

Майнкрафт использует протокол TCP, поэтому в меню выбираем его.

Осталось выбрать то, что мы этим правилом делаем, разрешаем или запрещаем взаимодействие с портом и дать ему имя. Ровно это же можно уложить в один командлет powershell’a.

New-NetFirewallRule -Name Minecraft -LocalPort 25565 -DisplayName Minecraft -Enabled True -Direction Inbound -Action Allow -Protocol TCP

Настройка брандмауэра с помощью firewalld в CentOS 8

Введение

firewalld — программное обеспечение для управления брандмауэрами, поддерживаемое многими дистрибутивами Linux. Выступает в качестве клиентского интерфейса для встроенных в ядро Linux систем фильтрации пакетов nftables и iptables.

В этом обучающем руководстве мы покажем, как настраивать брандмауэр firewalld для сервера CentOS 8 и расскажем об основах управления брандмауэром с помощью административного инструмента firewall-cmd.

Предварительные требования

Для прохождения этого обучающего руководства нам потребуется сервер под управлением CentOS 8. Мы будем считать, что вы выполнили вход на этот сервер в качестве пользователя non-root user с привилегиями sudo. Чтобы выполнить настройку сервера, воспользуйтесь нашим руководством по начальной настройке сервера CentOS 8.

Основные концепции в firewalld

Прежде чем обсуждать фактическое использование утилиты firewall-cmd для управления конфигурацией брандмауэра, мы должны познакомиться с несколькими концепциями, которые вводит этот инструмент.

Зоны

Демон firewalld управляет группами правил, используя элементы, называемые зонами. Зоны представляют собой набор правил, который определяет разрешенный трафик в зависимости от уровня доверия в сети. Зоне назначаются сетевые интерфейсы, определяющие поведение, которое должен разрешать брандмауэр.

Такая гибкость позволяет легко изменять правила в зависимости от среды, особенно в случае с компьютерами, которые часто перемещаются между сетями (например, с ноутбуками). Вы можете использовать более строгие правила, например, запретить большую часть трафика в публичных сетях WiFi и ввести менее строгие ограничения для домашней сети. Для сервера эти зоны не так важны, поскольку его сетевая среда редко изменяется, если это вообще происходит.

Вне зависимости от того, насколько динамична ваша сетевая среда, вам будет полезно познакомиться с общей идеей, лежащей в основе заданных зон firewalld. Заданные зоны в firewalld упорядочены от наименее доверенных к наиболее доверенным:

  • drop: самый низкий уровень доверия. Все входящие соединения отбрасываются без ответа и разрешаются только исходящие соединения.
  • block: аналогично вышеописанному, но запросы входящих соединений не просто отбрасываются, а отклоняются с сообщением icmp-host-prohibited или icmp6-adm-prohibited.
  • public: публичные сети, к которым нет доверия. Вы не доверяете другим компьютерам, но можете разрешать отдельные входящие соединения на разовой основе.
  • external: внешние сети, если вы используете брандмауэр в качестве шлюза. Эта зона настроена для маскировки NAT, чтобы ваша внутренняя сеть оставалась частной, но доступной.
  • internal: другая сторона внешней зоны, используемая для внутренней части шлюза. Компьютеры в основном достойны доверия, доступны некоторые дополнительные службы.
  • dmz: используется для компьютеров в ДМЗ (изолированные компьютеры, у которых нет доступа к остальной части вашей сети). Разрешены только некоторые входящие соединения.
  • work: используется для рабочих компьютеров. Большинство компьютеров в сети являются доверенными. Могут быть разрешены некоторые дополнительные службы.
  • home: домашняя среда. Обычно подразумевается, что вы доверяете большей части других компьютеров и что будут приниматься запросы еще нескольких служб.
  • trusted: все компьютеры в сети являются доверенными. Наиболее открытый из доступных вариантов, который следует использовать с осторожностью.

Для использования брандмауэра можно создавать правила и изменять свойства зон, а также назначать сетевые интерфейсы в наиболее подходящие зоны.

Постоянство правил

В firewalld правила можно применять к текущему набору правил времени исполнения или использовать как постоянные. При добавлении или изменении правила по умолчанию изменяется только работающий брандмауэр. После перезагрузки системы или службы firewalld сохраняются только постоянные правила.

Большинство операций firewall-cmd могут принимать флаг --permanent, указывающий на необходимость применения изменений к постоянной конфигурации. Кроме того, текущую конфигурацию брандмауэра можно сохранить в постоянной конфигурации с помощью команды firewall-cmd --runtime-to-permanent.

Такое разделение конфигурации времени исполнения и постоянной конфигурации позволяет безопасно тестировать правила на активном брандмауэре и просто перезагружать его в случае возникновения проблем.

Установка и активация firewalld

Брандмауэр firewalld установлен по умолчанию в некоторых дистрибутивах Linux, в том числе во многих образах CentOS 8. Однако вам может потребоваться установить firewalld самостоятельно:

  1. sudo dnf install firewalld

После установки firewalld вы можете активировать службу и перезагрузить сервер. Помните, что в случае активации службы firewalld она будет запускаться при загрузке системы. Прежде чем настраивать такое поведение, лучше создать правила брандмауэра и воспользоваться возможностью протестировать их во избежание потенциальных проблем.

  1. sudo systemctl enable firewalld
  2. sudo systemctl start firewalld

После перезагрузки сервера брандмауэр запускается, сетевые интерфейсы помещаются в настроенные зоны (или возвращаются в заданные по умолчанию зоны), и все правила зон применяются к соответствующим интерфейсам.

Чтобы проверить работу и доступность службы, можно использовать следующую команду:

  1. sudo firewall-cmd --state

Output

running

Это показывает, что наш брандмауэр запущен и работает с конфигурацией по умолчанию.

Знакомство с текущими правилами брандмауэра

Прежде чем мы начнем вносить изменения, мы познакомимся со средой и правилами firewalld, используемыми по умолчанию.

Изучение параметров по умолчанию

Чтобы посмотреть, какая зона выбрана по умолчанию, можно использовать следующую команду:

  1. firewall-cmd --get-default-zone

Output

public

Поскольку мы не отправили firewalld никаких команд для отклонения от основной зоны и никакие наши интерфейсы не настроены на привязку к другой зоне, эта зона будет единственной активной зоной (зоной, контролирующей трафик для наших интерфейсов). Это можно проверить с помощью следующей команды:

  1. firewall-cmd --get-active-zones

Output

public interfaces: eth0 eth2

Здесь мы видим, что на нашем сервере брандмауэр контролирует два сетевых интерфейса (eth0 и eth2). Управление обоими интерфейсами осуществляется в соответствии с правилами, заданными для зоны public.

Как же узнать, какие правила заданы для зоны public? Конфигурацию зоны по умолчанию можно распечатать с помощью следующей команды:

  1. sudo firewall-cmd --list-all

Output

public (active) target: default icmp-block-inversion: no interfaces: eth0 eth2 sources: services: cockpitdhcpv6-clientssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

Из выводимых результатов мы видим, что эта зона активна и используется по умолчанию и что с ней связаны интерфейсы eth0 и eth2 (все это мы уже знали из предыдущих запросов). Также мы видим, что эта зона разрешает трафик клиента DHCP (для назначения IP-адресов), SSH (для удаленного администрирования) и Cockpit (веб-консоль).

Изучение альтернативных зон

Мы получили представление о конфигурации зоны по умолчанию и активной зоны. Также мы можем получить информацию о других зонах.

Чтобы получить список доступных зон, введите команду:

  1. firewall-cmd --get-zones

Output

block dmz drop external home internal public trusted work

Чтобы посмотреть конкретную конфигурацию, относящуюся к зоне, необходимо добавить параметр --zone= к команде --list-all:

  1. sudo firewall-cmd --zone=home --list-all

Output

home target: default icmp-block-inversion: no interfaces: sources: services: cockpit dhcpv6-client mdns samba-client ssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

Вы можете вывести все определения зон, используя опцию --list-all-zones. Возможно вы захотите вывести результаты на пейджер для удобства просмотра:

  1. sudo firewall-cmd --list-all-zones | less

Далее мы узнаем о назначении зон сетевым интерфейсам.

Выбор зон для интерфейсов

Если вы не настроили сетевые интерфейсы иным образом, каждый интерфейс будет помещен в зону по умолчанию при запуске брандмауэра.

Изменение зоны интерфейса

Для перемещения интерфейса между зонами во время сеанса следует использовать параметр --zone= в сочетании с параметром --change-interface=. Как и для всех остальных команд, изменяющих брандмауэр, вам потребуется использовать sudo.

Например, интерфейс eth0 можно переместить в зону home с помощью следующей команды:

  1. sudo firewall-cmd --zone=home --change-interface=eth0

Output

success

Примечание. При перемещении интерфейса в новую зону следует помнить, что это может повлиять на работоспособность служб. Например, в данном случае мы перемещаемся в зону home, в которой поддерживается SSH. Это означает, что наше соединение не должно быть отброшено. В некоторых других зонах SSH по умолчанию не поддерживается, при переходе в такую зону ваше соединение будет разорвано, и вы не сможете снова войти на сервер.

Чтобы убедиться в успешности операции мы можем снова запросить активные зоны:

  1. firewall-cmd --get-active-zones

Output

home interfaces: eth0 public interfaces: eth2

Изменение зоны по умолчанию

Если все интерфейсы могут быть хорошо обработаны в одной зоне, проще всего определить наиболее подходящую зону как зону по умолчанию, а затем использовать эту зону для конфигурации.

Вы можете изменить зону по умолчанию с помощью параметра --set-default-zone=. При этом немедленно изменятся все интерфейсы, использующие зону по умолчанию:

  1. sudo firewall-cmd --set-default-zone=home

Output

success

Установка правил для приложений

Рассмотрим базовый способ определения исключений брандмауэра для служб, которые вы хотите сделать доступными.

Добавление службы к зонам

Самый простой метод заключается в том, чтобы добавлять необходимые службы или порты в используемые зоны. Список доступных определений служб можно получить с помощью опции --get-services:

  1. firewall-cmd --get-services

Output

RH-Satellite-6 amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine cockpit condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns dns-over-tls docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server finger freeipa-4 freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master git grafana gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kdeconnect kerberos kibana klogin kpasswd kprop kshell ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns memcache minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy prometheus proxy-dhcp ptp pulseaudio puppetmaster quassel radius rdp redis redis-sentinel rpc-bind rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync spotify-sync squid ssdp ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tentacle tftp tftp-client tile38 tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server

Примечание. Вы можете получить более подробную информацию о каждой из этих служб, посмотрев соответствующий файл .xml в директории /usr/lib/firewalld/services. Например, служба SSH определяется следующим образом:

/usr/lib/firewalld/services/ssh.xml

<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

Вы можете активировать службу для зоны с помощью параметра --add-service=. Данная операция будет нацелена на зону по умолчанию или на другую зону, заданную параметром --zone=. По умолчанию изменения применяются только к текущему сеансу брандмауэра. Для изменения постоянной конфигурации брандмауэра следует использовать флаг --permanent.

Например, если у нас запущен веб-сервер, обслуживающий стандартный трафик HTTP, мы можем временно разрешить этот трафик для интерфейсов в зоне public с помощью следующей команды:

  1. sudo firewall-cmd --zone=public --add-service=http

Вы можете опустить флаг --zone=, если хотите внести изменения в зону по умолчанию. Для проверки успешного выполнения операции можно использовать команду --list-all или --list-services:

  1. sudo firewall-cmd --zone=public --list-services

Output

cockpit dhcpv6-client http ssh

После подтверждения надлежащей работы всех систем вы можете изменить постоянные правила брандмауэра, чтобы служба была доступна после перезагрузки системы. Чтобы сделать предыдущие изменения постоянными, нужно ввести их повторно и добавить флаг --permanent:

  1. sudo firewall-cmd --zone=public --add-service=http --permanent

Output

success

Также можно использовать флаг --runtime-to-permanent для сохранения текущей конфигурации брандмауэра в постоянной конфигурации:

  1. sudo firewall-cmd --runtime-to-permanent

Будьте осторожны, поскольку при этом все изменения в текущей конфигурации брандмауэра сохраняются в постоянной конфигурации.

Если вы хотите убедиться. что изменения успешно сохранены в постоянной конфигурации, добавьте флаг --permanent к команде --list-services. Вам потребуются привилегии sudo для выполнения любых операций с флагом --permanent:

  1. sudo firewall-cmd --zone=public --list-services --permanent

Output

cockpit dhcpv6-client http ssh

Теперь в зоне public разрешен веб-трафик HTTP на порту 80. Если ваш веб-сервер настроен для использования SSL/TLS, вы также можете добавить службу https. Мы можем добавить ее в текущий сеанс и постоянный набор правил с помощью следующей команды:

  1. sudo firewall-cmd --zone=public --add-service=https
  2. sudo firewall-cmd --zone=public --add-service=https --permanent

Что делать, если подходящая служба отсутствует?

В базовом комплекте firewalld представлены многие распространенные приложения, к которым вы можете захотеть предоставить доступ. Однако возможны ситуации, когда эти службы не будут соответствовать вашим требованиям.

В этой ситуации у вас будет два варианта.

Открытие порта для зон

Проще всего добавить поддержку определенного приложения можно посредством открытия используемых им портов в соответствующих зонах. Для этого нужно указать порт или диапазон портов, а также протокол (TCP или UDP), связанный с портами.

Например, если наше приложение работает на порту 5000 и использует TCP, мы можем временно добавить его в зону public с помощью параметра --add-port=. Протоколы могут назначаться как tcp или udp:

  1. sudo firewall-cmd --zone=public --add-port=5000/tcp

Output

success

Мы можем проверить успешность назначения с помощью операции --list-ports:

  1. sudo firewall-cmd --zone=public --list-ports

Output

5000/tcp

Также можно указать последовательный диапазон портов, разделив начальный и конечный порты диапазона дефисом. Например, если наше приложение используйте порты UDP с 4990 по 4999, мы можем открыть их на public с помощью следующей команды:

  1. sudo firewall-cmd --zone=public --add-port=4990-4999/udp

После тестирования мы вероятно захотим добавить это правило в брандмауэр на постоянной основе. Используйте для этого sudo firewall-cmd --runtime-to-permanent или запустите команды снова с флагом --permanent:

  1. sudo firewall-cmd --zone=public --permanent --add-port=5000/tcp
  2. sudo firewall-cmd --zone=public --permanent --add-port=4990-4999/udp
  3. sudo firewall-cmd --zone=public --permanent --list-ports

Output

success success 5000/tcp 4990-4999/udp
Определение службы

Открыть порты для зон довольно просто, но также может быть сложно следить за тем, для чего предназначен каждый порт. Если вы будете выводить из эксплуатации службы на своем сервере, вы можете забыть, какие из открытых портов вам еще нужны. Чтобы избежать подобной ситуации, можно определить новую службу.

Службы представляют собой наборы портов с именем и описанием. Использование служб упрощает администрирование портов, но требует некоторой предварительной подготовки. Проще всего начать с копирования существующего скрипта (из директории /usr/lib/firewalld/services) в директорию /etc/firewalld/services, где брандмауэр ищет нестандартные определения.

Например, мы можем скопировать определение службы SSH и использовать его для определения службы example. Имя файла без суффикса .xml определяет имя службы в списке служб брандмауэра:

  1. sudo cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/example.xml

Теперь можно изменить определение в скопированном вами файле. Вначале откройте его в предпочитаемом текстовом редакторе. Здесь мы используем vi:

  1. sudo vi /etc/firewalld/services/example.xml

Вначале файл будет содержать только что скопированное вами определение SSH:

/etc/firewalld/services/example.xml

<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

Основная часть этого определения представляет собой метаданные. Вы можете изменить короткое имя службы, заключенное в тегах <short>. Это имя службы, предназначенное для чтения людьми. Также следует добавить описание на случай, если вам потребуется дополнительная информация при проведении аудита службы. Единственное изменение конфигурации, которое вам потребуется, и которое повлияет на функциональность службы, будет заключаться в определении портов, где вы идентифицируете номер порта и протокол, который хотите открыть. Можно указать несколько тегов <port/>.

Представьте, что для нашей службы example нам необходимо открыть порт 7777 для TCP и 8888 для UDP. Мы можем изменить существующее определение примерно так:

/etc/firewalld/services/example.xml

<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>Example Service</short>
  <description>This is just an example service. It probably shouldn't be used on a real system.</description>
  <port protocol="tcp" port="7777"/>
  <port protocol="udp" port="8888"/>
</service>

Сохраните и закройте файл.

Перезагрузите брандмауэр, чтобы получить доступ к новой службе:

  1. sudo firewall-cmd --reload

Теперь вы увидите ее в списке доступных служб:

  1. firewall-cmd --get-services

Output

RH-Satellite-6 amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine cockpit condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns dns-over-tls docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server example finger freeipa-4 freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master git grafana gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kdeconnect kerberos kibana klogin kpasswd kprop kshell ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns memcache minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy prometheus proxy-dhcp ptp pulseaudio puppetmaster quassel radius rdp redis redis-sentinel rpc-bind rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync spotify-sync squid ssdp ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tentacle tftp tftp-client tile38 tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server

Теперь вы можете использовать эту службу в зонах, как и обычно.

Создание собственных зон

Хотя большинству пользователей будет достаточно заданных зон, иногда может быть полезно определить собственные зоны с названиями, соответствующими их функции.

Например, вы можете захотеть создать для своего веб-сервера зону с именем publicweb. При этом вы можете также захотеть использовать другую зону для службы DNS в вашей частной сети. Эту зону вы можете назвать privateDNS.

При добавлении зоны вы должны добавить ее в постоянную конфигурацию брандмауэра. Затем вы можете произвести перезагрузку для активации конфигурации для текущего сеанса. Например, мы можем создать две описанные выше зоны, введя следующие команды:

  1. sudo firewall-cmd --permanent --new-zone=publicweb
  2. sudo firewall-cmd --permanent --new-zone=privateDNS

Вы можете проверить их наличие в постоянной конфигурации с помощью следующей команды:

  1. sudo firewall-cmd --permanent --get-zones

Output

block dmz drop external home internal privateDNS public publicweb trusted work

Как указывалось ранее, пока они будут недоступны в работающем брандмауэре:

  1. firewall-cmd --get-zones

Output

block dmz drop external home internal public trusted work

Перезагрузите брандмауэр, чтобы добавить эти зоны в активную конфигурацию:

  1. sudo firewall-cmd --reload
  2. firewall-cmd --get-zones

Output

block dmz drop external home internal privateDNS public publicweb trusted work

Теперь вы можете назначать в зоны соответствующие службы и порты. Обычно лучше всего изменять активный брандмауэр и сохранять изменения в постоянной конфигурации только после тестирования. Например, для зоны publicweb вы можете захотеть добавить службы SSH, HTTP и HTTPS:

  1. sudo firewall-cmd --zone=publicweb --add-service=ssh
  2. sudo firewall-cmd --zone=publicweb --add-service=http
  3. sudo firewall-cmd --zone=publicweb --add-service=https
  4. sudo firewall-cmd --zone=publicweb --list-all

Output

publicweb target: default icmp-block-inversion: no interfaces: sources: services: http https ssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

Для зоны privateDNS можно добавить службу DNS:

  1. sudo firewall-cmd --zone=privateDNS --add-service=dns
  2. sudo firewall-cmd --zone=privateDNS --list-all

Output

privateDNS target: default icmp-block-inversion: no interfaces: sources: services: dns ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

Затем мы можем изменить интерфейсы на новые зоны, чтобы протестировать их:

  1. sudo firewall-cmd --zone=publicweb --change-interface=eth0
  2. sudo firewall-cmd --zone=privateDNS --change-interface=eth2

Сейчас вы можете протестировать свою конфигурацию. Если эти значения будут работать, эти правила можно будет добавить в постоянную конфигурацию. Для этого можно снова запустить все команды с флагом --permanent, но в этом случае мы используем флаг --runtime-to-permanent для полного сохранения активной конфигурации как постоянной:

  1. sudo firewall-cmd --runtime-to-permanent

Сохранив правила в постоянной конфигурации, перезагрузите брандмауэр, чтобы проверить сохранение изменений:

  1. sudo firewall-cmd --reload

Проверьте правильность назначения зон:

  1. firewall-cmd --get-active-zones

Output

privateDNS interfaces: eth2 publicweb interfaces: eth0

Убедитесь, что в обеих зонах доступны соответствующие службы:

  1. sudo firewall-cmd --zone=publicweb --list-services

Output

http https ssh
  1. sudo firewall-cmd --zone=privateDNS --list-services

Output

dns

Вы успешно настроили собственные зоны! Если вы захотите задать одну из этих зон по умолчанию для других интерфейсов, используйте для настройки параметр --set-default-zone=:

  1. sudo firewall-cmd --set-default-zone=publicweb

Заключение

Теперь вы должны неплохо понимать принципы администрирования службы firewalld в системе CentOS на каждодневной основе.

Служба firewalld позволяет настраивать администрируемые правила и наборы правил, учитывающие условия вашей сетевой среды. Она позволяет легко переключаться между разными политиками брандмауэра посредством использования зон и дает администраторам возможность абстрагировать управление портами в более удобную систему определения служб. Умение работать с этой системой позволит вам воспользоваться преимуществами гибкости и функциональности данного инструмента.

Дополнительную информацию о firewalld можно найти в официальной документации по firewalld.

Не удается найти страницу | Autodesk Knowledge Network

(* {{l10n_strings.REQUIRED_FIELD}})

{{l10n_strings.CREATE_NEW_COLLECTION}}*

{{l10n_strings.ADD_COLLECTION_DESCRIPTION}}

{{l10n_strings.COLLECTION_DESCRIPTION}} {{addToCollection.description.length}}/500 {{l10n_strings.TAGS}} {{$item}} {{l10n_strings.PRODUCTS}} {{l10n_strings.DRAG_TEXT}}  

{{l10n_strings.DRAG_TEXT_HELP}}

{{l10n_strings.LANGUAGE}} {{$select.selected.display}}

{{article.content_lang.display}}

{{l10n_strings.AUTHOR}}  

{{l10n_strings.AUTHOR_TOOLTIP_TEXT}}

{{$select.selected.display}} {{l10n_strings.CREATE_AND_ADD_TO_COLLECTION_MODAL_BUTTON}} {{l10n_strings.CREATE_A_COLLECTION_ERROR}}

Брандмауэры и ArcGIS for Server—ArcGIS Server

В этом разделе

Назначение брандмауэра

Каждый компьютер содержит несколько тысяч портов, через которые другие компьютеры могут отправлять данные. Брандмауэр представляет собой инструмент безопасности, ограничивающий на вашем компьютере количество портов, через которые осуществляется обмен данными с другими компьютерами. Если брандмауэр используется в целях ограничения количества портов для обмена данными, вы сможете внимательно отслеживать эти порты, чтобы предотвратить атаку злоумышленников. Также можно изменить конфигурацию брандмауэра, чтобы настроить обмен данными через порт, известный только вам.

Брандмауэры можно использовать как отдельно для оборудования и программного обеспечения, так и для комплексного программно-аппаратного обеспечения. Брандмауэры рекомендуется использовать для распознавания вирусов (вирусов-червей и некоторых видов троянов), которые могут проникать в систему или из нее через открытый порт. Они не обеспечивают защиту от вирусов, содержащихся во вложениях электронной почты или от угроз, существующих в системе. Таким образом, хотя брандмауэры и выполняют важную задачу, они не должны быть единственным средством обеспечения безопасности. В качестве других стратегий обеспечения безопасности можно назвать использование антивирусных программ и средств проверки подлинности и авторизации, развертывание которых должно выполняться наряду с использованием брандмауэра.

Защита ArcGIS Server с помощью брандмауэра

Существует ряд стратегий, цель которых – обеспечить защиту сайта ArcGIS Server посредством брандмауэров. Перечисленные методы используют брандмауэры для разделения внутренней (с возможностью управления безопасностью) и внешней сети (где безопасность не гарантирована).

Один брандмауэр

Самый простой и наименее безопасный вариант предполагает использование только одного брандмауэра для ограничения трафика веб-сервера. Как правило, открытым остается только порт 80. Веб-сервер, ArcGIS Web Adaptor, ГИС-сервер и ваши данные находятся в безопасной внутренней сети, защищенной брандмауэром.

В варианте с использованием одного брандмауэра он устанавливается между внешней сетью и веб-сервером.

Несколько брандмауэров с обратным прокси и ArcGIS Web Adaptor в пограничной сети

Более безопасный, но и более сложный вариант, который предполагает настройку веб-сервера и ArcGIS Web Adaptor в пределах пограничной сети (также известной как демилитаризованная зона [DMZ] или промежуточная подсеть). При этом сценарии ArcGIS Web Adaptor получает входящие запросы через порт 80. Затем он отправляет запрос на ГИС-сервер через другой брандмауэр, используя при этом порт 6080. Благодаря ArcGIS Web Adaptor компьютер работает как обратный прокси.

В варианте с использованием нескольких брандмауэров они устанавливаются по обе стороны от обратного прокси сервера.

Рассмотрим этот вариант более подробно:

  • Пограничная сеть содержит компьютеры, доступ к которым пользователи Интернета осуществляют через брандмауэр, но при этом такие компьютеры не принадлежат к вашей безопасной внутренней сети. Пограничная сеть изолирует внутреннюю сеть, блокируя прямой доступ для Интернет-клиентов.
  • ArcGIS Web Adaptor в пограничной сети принимает веб-запросы через общий порт (например, порт 80). Брандмауэр блокирует доступ через все остальные порты. После этого ArcGIS Web Adaptor отправляет запрос во внутреннюю защищенную сеть через другой брандмауэр, используя порт 6080 ArcGIS Server.
  • ГИС-сервер и сервер данных (если есть) размещаются в безопасной внутренней сети. Запрос, поступающий в безопасную сеть, должен поступать с ArcGIS Web Adaptor и проходить через брандмауэр. Отклик, отравляемый из безопасной сети, возвращается в клиент тем же путем, которым он поступил туда. Сначала отклик передается через брандмауэр назад в ArcGIS Web Adaptor. Затем ArcGIS Web Adaptor отправляет его в клиент через другой брандмауэр.

В случае проникновения вируса в компьютер в пограничной сети наличие второго брандмауэра снижает вероятность того, что зараженный компьютер нанесет вред компьютерам во внутренней сети.

Интеграция существующего обратного прокси

Если ваша организация уже использует обратный прокси, можно его настроить таким образом, чтобы он направлял запросы на ArcGIS Server в безопасной внутренней сети. Основным вариантом является прямое подключение к ГИС-серверу через порт 6080 без установки ArcGIS Web Adaptor.

Существующий обратный прокси можно настроить для подключения к ArcGIS Server через порт 6080.

Если вы хотите, чтобы порт между обратным прокси и вашей безопасной внутренней сетью оставался неизвестным, на другом веб-сервере в пределах этой безопасной внутренней сети может быть установлен ArcGIS Web Adaptor. Этот ArcGIS Web Adaptor можно настроить, чтобы он принимал трафик через тот порт, который вы выберете.

ArcGIS Web Adaptor позволяет настроить связь с обратным прокси через порт, который останется неизвестным для внешних клиентов.

Подробнее об интегрировании ArcGIS Server с обратным прокси-сервером см. в разделе Использование обратного прокси-сервера с ArcGIS Server.

Брандмауэры между ГИС-серверами

В стандартной ситуации установка брандмауэров между ГИС-серверами не требуется. Тем не менее при наличии брандмауэров, установленных между компьютерами, необходимо открыть порты, перечисленные в разделе Порты, используемые ArcGIS Server.


Отзыв по этому разделу?

Работа с исключениями брандмауэра

Работа с исключениями брандмауэра

AddingExceptionsToFirewall

Исключения представляют собой набор определенных параметров, позволяющий блокировать или разрешать трафик в зависимости от направления, протокола, порта и компьютера.

Например, во время эпидемии можно блокировать весь трафик клиента, включая порт HTTP (порт 80). Однако, для того чтобы дать заблокированным компьютерам доступ в Интернет, можно добавить в список исключений прокси-сервер.

Добавление исключений

Добавление исключения.
  1. В окне Брандмауэр — расширенный режим в разделе Исключения нажмите кнопку Добавить.

  2. Если необходимо, настройте следующие параметры.

  • Имя. Введите уникальное имя исключения.

  • Действие. Блокировать или разрешить трафик по указанным протоколам, портам и клиентам.

  • Направление. Входящим называется трафик из Интернета в локальную сеть. Исходящий трафик идет из локальной сети в Интернет.

  • Протокол. Сетевой протокол данного исключения.

  • Порт / Диапазон портов

  • Все порты (по умолчанию)

  • Диапазон

  • Указанные порты. Укажите номера портов через запятую.

  • Компьютер

  • Все IP-адреса (по умолчанию)

  • Один IP-адрес. IP-адрес определенного клиента.

  • Диапазон IP-адресов

  • Нажмите кнопку Сохранить. В окне Конфигурация брандмауэра в списке исключений появится новое исключение.

  • Редактирование исключений

    Изменение исключений.
    1. В окне Брандмауэр — расширенный режим в разделе Исключения выберите редактируемое исключение.

    2. Нажмите кнопку Изменить.

    3. При необходимости измените следующие параметры.

    4. Нажмите кнопку Сохранить.

    Удаление исключений

    Удаление исключения.
    1. В панели Брандмауэр — Расширенный режим в разделе Исключения выберите исключение, которое хотите удалить.

    2. Нажмите кнопку Удалить.

    См. также:

    Что такое конфигурация брандмауэра и почему это важно?

    Правильная конфигурация необходима для поддержки внутренних сетей и проверки пакетов с отслеживанием состояния. Вот как безопасно настроить брандмауэр:

    1. Защитите брандмауэр

    Защита брандмауэра — это первый важный шаг, который гарантирует, что к нему будут иметь доступ только авторизованные администраторы. Сюда входят такие действия, как:

    1. Обновление последней версией прошивки
    2. Никогда не запускайте брандмауэры в производство без соответствующих настроек
    3. Удаление, отключение или переименование учетных записей по умолчанию и изменение паролей по умолчанию 
    4. Используйте уникальные безопасные пароли
    5. Никогда не использовать общие учетные записи пользователей.Если брандмауэром будут управлять несколько администраторов, дополнительные учетные записи администраторов должны иметь ограниченные права в зависимости от индивидуальных обязанностей
    6. Отключение простого протокола управления сетью (SNMP), который собирает и упорядочивает информацию об устройствах в IP-сетях, или его настройка для безопасного использования
    7. Ограничение исходящего и входящего сетевого трафика для определенных приложений или протокола управления передачей (TCP)

    2.Установите зоны брандмауэра и структуру IP-адресов

    Важно определить сетевые активы и ресурсы, которые необходимо защитить. Это включает в себя создание структуры, которая группирует корпоративные активы в зоны на основе схожих функций и уровня риска.

    Хорошим примером этого являются серверы, такие как серверы электронной почты, серверы виртуальной частной сети (VPN) и веб-серверы, размещенные в выделенной зоне, которая ограничивает входящий интернет-трафик, часто называемой демилитаризованной зоной (DMZ).Общее правило заключается в том, что чем больше зон создано, тем более безопасной является сеть.

    Однако наличие большего количества зон также требует больше времени для управления ими. При установленной структуре сетевых зон также важно установить соответствующую структуру IP-адресов, которая назначает зоны интерфейсам и субинтерфейсам брандмауэра.

    3. Настройте списки контроля доступа (ACL)

    Списки управления доступом (ACL) позволяют организациям определять, какому трафику разрешено входить и выходить из каждой зоны.ACL действуют как правила брандмауэра, которые организации могут применять к каждому интерфейсу и субинтерфейсу брандмауэра.

    ACL должны быть сделаны конкретными для точных номеров портов источника и назначения и IP-адресов. В конце каждого списка ACL должно быть создано правило «запретить все», которое позволяет организациям отфильтровывать неутвержденный трафик. Для каждого интерфейса и субинтерфейса также требуется входящий и исходящий ACL, чтобы гарантировать, что только утвержденный трафик может достигать каждой зоны. Также рекомендуется отключить интерфейсы администрирования брандмауэра от общего доступа, чтобы защитить конфигурацию и отключить незашифрованные протоколы управления брандмауэром.

    4. Настройте другие службы брандмауэра и ведение журнала

    Некоторые брандмауэры можно настроить для поддержки других служб, таких как сервер протокола динамической конфигурации хоста (DHCP), система предотвращения вторжений (IPS) и сервер протокола сетевого времени (NTP). Важно также отключить дополнительные службы, которые не будут использоваться.

    Кроме того, брандмауэры должны быть настроены для отправки отчетов в службу регистрации, чтобы соответствовать требованиям стандарта безопасности данных индустрии платежных карт (PCI DSS).

    5. Проверьте конфигурацию брандмауэра

    Сделав настройки, очень важно протестировать их, чтобы убедиться, что блокируется правильный трафик и что брандмауэр работает должным образом. Конфигурацию можно протестировать с помощью таких методов, как тестирование на проникновение и сканирование уязвимостей. Не забудьте сделать резервную копию конфигурации в безопасном месте на случай каких-либо сбоев в процессе тестирования.

    6.Непрерывное управление брандмауэром

    Управление брандмауэром и его мониторинг имеют решающее значение для обеспечения того, чтобы брандмауэр продолжал функционировать должным образом. Это включает в себя мониторинг журналов, сканирование уязвимостей и регулярную проверку правил. Также важно документировать процессы и постоянно и тщательно управлять конфигурацией, чтобы обеспечить постоянную защиту сети.

    Как настроить брандмауэр сервера

    Настройка брандмауэра виртуального сервера в панели управления.

    Что это?

    Вы можете использовать брандмауэр для управления доступом к серверу и пакетами сетевых данных непосредственно с панели управления. Эта опция включена в стоимость сервера и не оплачивается отдельно.

    В настоящее время ограничение составляет 50 правил; если вам нужно больше, пожалуйста, отправьте запрос в службу технической поддержки.

    Сетевая архитектура

    Чтобы избежать конфликтов правил брандмауэра и правильно настроить брандмауэр, необходимо понимать последовательность работы существующего брандмауэра.Во-первых, вы можете настроить брандмауэр для частной сети. Во-вторых, вы можете настроить брандмауэр для сервера через панель управления. И в-третьих, вы можете настроить внутренний брандмауэр через iptables в Linux или использовать встроенный брандмауэр Windows.

    Входящие пакеты сначала достигают брандмауэра сетевого уровня (если он существует). Если пакеты прошли его, в дело вступает межсетевой экран серверного уровня, и, наконец, используется внутренний программный механизм. Для исходящих пакетов применяется обратная последовательность.

    Избегайте одновременного использования брандмауэра на уровне сервера и внутреннего программного брандмауэра:

    Создание правила

    Чтобы настроить брандмауэр на любом VPS, перейдите в раздел Брандмауэр в настройках сервера.

    Важное примечание:

    — Порядок правил важен: чем меньше порядковый номер правила, тем выше его приоритет. Вы можете изменить порядок правил, перетащив их в список.
    — По умолчанию разрешены все входящие и исходящие пакеты данных.

    Чтобы создать правило, нажмите Добавить:

    Откроется окно добавления правила. Заполните следующие поля:

    • Имя : значимое (мнемоническое) имя (макс.50 символов), обычно описывающих цель правила;
    • Направление : направление пакетов, регулируемое правилом; может быть либо входящим, либо исходящим. Входящий означает, что правило применяется к входящим пакетам данных, а Исходящий означает, что оно применяется к исходящим пакетам данных;
    • Источник/Назначение : в зависимости от направления содержит либо IP-адрес сервера, либо одно из следующих значений: IP-адрес, CIDR, диапазон IP-адресов или любой;
    • SourcePort/DestinationPort : при выборе TCP, UDP или TCP и UDP можно указать порт, диапазон портов или любой;
    • Действие : действие, которое необходимо выполнить; это может быть Разрешить или Запретить.Разрешить разрешает передачу пакета данных, а Запретить запрещает;
    • Протокол : тип протокола (ЛЮБОЙ, TCP, UDP, TCP и UDP и ICMP).

    Чтобы создать правило, нажмите  Сохранить .

    В нашем примере правило блокирует все пакеты, поступающие на сервер:

    Чтобы применить правило, нажмите Сохранить . Вы можете создать несколько правил и сохранить их все сразу:

    Тогда страница будет выглядеть следующим образом:

    Приоритет правила

    Чем меньше порядковый номер правила, тем выше его приоритет.Например, после того, как вы создали правило для запрета всего входящего трафика, создайте правило для разрешения входящих TCP-пакетов на порт 80. После сохранения изменений конфигурации этот порт останется недоступным, так как запрещающее правило имеет более высокий приоритет, чем разрешающее:

    Чтобы изменить приоритет правила, перетащите разрешающее правило на первое место и сохраните изменения:

    После сохранения порядковые номера правил изменятся, а также их приоритеты:

    В этой конфигурации брандмауэр будет разрешать TCP-пакеты через порт 80 и блокировать все остальные пакеты.

    1101 КТ Амстердам Нидерланды, Херикербергвег 292

    +31 20 262-58-98 700 300 ITGLOBAL.COM NL

    1101 КТ Амстердам Нидерланды, Херикербергвег 292

    +31 20 262-58-98 700 300 ITGLOBAL.COM NL 700 300

    Безопасность и брандмауэр ConfigServer (csf)

    Брандмауэр Stateful Packet Inspection (SPI), приложение для обнаружения входа/вторжений и обеспечения безопасности для серверов Linux.

    Операционные системы

    RedHat Enterprise v7–v8
    CentOS v7–v8
    RockyLinux v8
    CloudLinux v7–v8
    AlmaLinux v8
    Fedora v30
    *openSUSE v10, v11, v12
    *Debian v8 — v11
    *Ubuntu от v18 до v20
    *Slackware v12

    Виртуальные серверы

    VMware
    Xen
    VirtualBox
    Виртуальный сервер MS
    KVM

    Примечание. Любая ОС, которая является EOL, не будет поддерживаться, и более новые версии csf могут больше не работать, поскольку добавляются новые функции.

    Скачать

    Последнюю версию csf можно скачать здесь: csf.тгз

    Последние контрольные суммы SHA256 всех наших продуктов можно скачать здесь: контрольные суммы.txt

    Этот набор сценариев обеспечивает:
    • Простой сценарий брандмауэра SPI iptables
    • Процесс демона, который проверяет аутентификацию входа отказы для:
      • Courier imap, Dovecot, uw-imap, Kerio
      • openSSH
      • cPanel, WHM, веб-почта (только серверы cPanel)
      • Pure-ftpd, vsftpd, Proftpd
      • Веб-страницы, защищенные паролем (htpasswd)
      • Ошибки Mod_security (v1 и v2)
      • Сухосин неудачи
      • АУТЕНТИФИКАЦИЯ SMTP Exim
      • Пользовательские ошибки входа в систему с отдельным файлом журнала и соответствием регулярному выражению
    • Отслеживание входа в систему POP3/IMAP для принудительного входа в систему в час
    • Уведомление о входе в SSH
    • Уведомление о входе в систему SU
    • Чрезмерная блокировка соединения
    • Интеграция пользовательского интерфейса для cPanel , DirectAdmin , InterWorx , CentOS Web Panel (CWP) , VestaCP , CyberPanel и Webmin
    • Простое обновление между версиями из панели управления
    • Легкое обновление между версиями из оболочки
    • Предварительно настроен для работы на сервере cPanel со всеми открытыми стандартными портами cPanel
    • Предварительно настроен для работы на сервере DirectAdmin со всеми открытыми стандартными портами DirectAdmin
    • Автоматически настраивает порт SSH, если он нестандартен при установке
    • Блокировать трафик на неиспользуемых IP-адресах серверов — помогает снизить риск для вашего сервера
    • Оповещение, когда сценарии конечного пользователя отправляют слишком много сообщений электронной почты в час — для выявления сценариев рассылки спама
    • Отчет о подозрительных процессах — сообщает о потенциальных эксплойтах, запущенных на сервере
    • Отчет о избыточных пользовательских процессах
    • Отчеты о чрезмерном использовании пользовательских процессов и необязательное завершение
    • Отчет о подозрительных файлах — сообщает о потенциальных файлах эксплойтов в /tmp и подобных каталогах
    • Отслеживание каталогов и файлов — сообщает об изменении отслеживаемого каталога или файла
    • Блокировка трафика в различных списках блокировки, включая список блокировки DShield и список DROP Spamhaus
    • Защита пакетов БОГОНЬ
    • Предварительно настроенные параметры для низкой, средней или высокой безопасности брандмауэра (только для серверов cPanel)
    • Работает с несколькими устройствами Ethernet
    • Проверка безопасности сервера — выполняет базовую проверку безопасности и настроек на сервере (через cPanel/DirectAdmin/Webmin UI)
    • Разрешить динамические IP-адреса DNS — всегда разрешать свой IP-адрес, даже если он меняется при каждом подключении к Интернету
    • Оповещение отправляется, если средняя загрузка сервера остается высокой в ​​течение заданного периода времени
    • Отчет журнала mod_security (если установлен)
    • Отслеживание ретрансляции электронной почты — отслеживает всю электронную почту, отправляемую через сервер, и выдает предупреждения о чрезмерном использовании (только для серверов cPanel)
    • IDS (система обнаружения вторжений) — последняя строка обнаружения предупреждает вас об изменениях в двоичных файлах системы и приложений
    • SYN Защита от затопления
    • Пинг защиты от смерти
    • Отслеживание и блокировка сканирования портов
    • Постоянная и Временная (с TTL) блокировка IP
    • Эксплойт-проверки
    • Отслеживание изменений учетной записи — отправляет оповещения, если запись учетной записи изменена, например.грамм. если пароль изменен или логин шелл
    • Доступ к общему системному журналу
    • Служба обмена сообщениями — позволяет перенаправлять запросы на подключение с заблокированных IP-адресов на предварительно настроенные текстовые и HTML-страницы, чтобы информировать посетителя о том, что они заблокированы брандмауэром. Это может быть особенно полезно для тех, у кого большая база пользователей, и помогает более эффективно обрабатывать запросы в службу поддержки
    • . Блокировка кода страны
    • — позволяет запретить или разрешить доступ по коду страны ISO
    • .
    • Обнаружение переполнения портов — обнаружение и смягчение последствий переполнения портов для каждого IP-адреса, чтобы помочь блокировать DOS-атаки
    • Уведомление о корневом доступе WHM (только для серверов cPanel)
    • Кластеризация lfd — позволяет автоматически распространять блоки IP-адресов по группе серверов, на которых работает lfd.Это разрешает разрешает разрешения для всего кластера, удаления и изменения конфигурации
    • Quick start csf — отложенный запуск с помощью lfd для серверов с большими блокировками и/или списками разрешений
    • Обнаружение атаки при распределенном входе в систему
    • Временный IP позволяет (с TTL)
    • IPv6 Поддержка с ip6tables
    • Встроенный пользовательский интерфейс — нет необходимости в отдельной панели управления или Apache для использования конфигурации csf
    • Интегрированная поддержка cse в интегрированном пользовательском интерфейсе
    • Доступ реселлера cPanel к настраиваемым параметрам каждого реселлера Разблокировать, запретить, разрешить и найти блоки IP-адресов
    • Системная статистика — Основные графики, показывающие производительность сервера, например.грамм. Средняя нагрузка, использование ЦП, использование памяти и т. д.
    • поддержка ipset для больших списков IP
    • Интегрирован с межсетевым экраном CloudFlare
    • …и многое другое!

    Мы разработали этот пакет, потому что нашли за годы предоставления серверных услуг многие из инструменты, доступные для этой задачи, либо слишком сложны, либо не дружелюбны или просто не так эффективны, как могли бы быть.

    Брандмауэр сервера конфигурации (CSF)

    Мы разработали межсетевой экран SPI iptables, комплексный, простой, простой и гибкий в настройке

    Демон ошибки входа в систему (lfd)

    В дополнение к брандмауэру ConfigServer (csf) у нас есть разработал процесс демона отказа входа в систему (lfd), который запускает все время и периодически (каждые X секунд) сканирует последний журнал файловые записи для попыток входа на ваш сервер, которые постоянно выходят из строя в течение короткого промежутка времени.Такие попытки часто называют «атаки грубой силы», а процесс демона очень быстро реагирует на такие шаблоны и блокирует оскорбительные IP-адреса быстро. Другие подобные продукты запускаются каждые x минут через cron и как таковые часто пропускают попытки взлома до тех пор, пока они не будут закончит, наш демон устраняет такие долгие ожидания и делает его намного эффективнее справляется со своей задачей.

    Отслеживание входа в систему является расширением lfd, оно отслеживает POP3 и IMAP и ограничивает их до X подключений в час за учетная запись на IP-адрес.

    Интерфейс настройки панели управления

    Чтобы помочь с простотой и гибкостью пакета, который у нас есть разработал интерфейс для csf и lfd, который доступен учетная запись root через cPanel, DirectAdmin и Webmin. От там вы можете изменить файлы конфигурации и остановить, запустить и перезапустите приложения и проверьте их статус. Это делает настройка и управление брандмауэром действительно очень просты.

    Скриншоты
    Опора
    Лицензирование

    Это приложение выпущено под нашим лицензия скрипта .Он распространяется бесплатно, без гарантия его пригодности. Поддержка не предоставляется это приложение, кроме как через ConfigServer Scripts Forum , где сообщество пользователей csf может помогать друг другу.

    Если вы не чувствуете себя уверенно, делая что-либо из этого себя, или если вы попадете в ужасный беспорядок, у нас есть cPanel Server Services , которые включают установку и настройки этого брандмауэра.

    Документация

    Конфигурация брандмауэра | HowStuffWorks

    Брандмауэры можно настраивать.Это означает, что вы можете добавлять или удалять фильтры на основе нескольких условий. Вот некоторые из них:

    IP-адреса — Каждой машине в Интернете назначается уникальный адрес, называемый IP-адресом. IP-адреса представляют собой 32-битные числа, обычно выражаемые четырьмя «октетами» в «десятичном числе с точками». Типичный IP-адрес выглядит так: 216.27.61.137. Например, если определенный IP-адрес за пределами компании считывает слишком много файлов с сервера, брандмауэр может заблокировать весь входящий или исходящий трафик с этого IP-адреса.

    Доменные имена — Поскольку трудно запомнить последовательность цифр, составляющих IP-адрес, и поскольку IP-адреса иногда необходимо менять, все серверы в Интернете также имеют удобочитаемые имена, называемые доменными именами. Например, большинству из нас проще запомнить www.howstuffworks.com, чем 216.27.61.137. Компания может заблокировать любой доступ к определенным доменным именам или разрешить доступ только к определенным доменным именам. Протоколы — Протокол — это предопределенный способ, с помощью которого кто-то, кто хочет использовать службу, общается с этой службой.«Кто-то» может быть человеком, но чаще это компьютерная программа, такая как веб-браузер. Протоколы часто являются текстовыми и просто описывают, как клиент и сервер будут общаться. http в веб-протоколе. Некоторые распространенные протоколы, для которых можно установить фильтры брандмауэра, включают:

    • IP (интернет-протокол) — основная система доставки информации через Интернет
    • TCP (протокол управления передачей) — используется для разделения и восстановления информации
    • HTTP (протокол передачи гипертекста) — используется для веб-страниц
    • FTP (протокол передачи файлов) — используется для загрузки и выгрузки файлов
    • UDP (протокол дейтаграмм пользователя) — используется для информации, не требующей ответа, такой как потоковое аудио и видео
    • ICMP (протокол управления сообщениями в Интернете) — используется маршрутизатором для обмена информацией с другими маршрутизаторами
    • SMTP (простой протокол передачи почты) — используется для отправлять текстовую информацию (по электронной почте)
    • SNMP (простой протокол управления сетью) — используется для сбора системной информации из удаленный компьютер
    • Telnet — используется для выполнения команд на удаленном компьютере

    Компания может настроить только одну или две машины для обработки определенного протокола и запретить этот протокол на всех остальных машинах.

    Порты — Любой сервер делает свои службы доступными для Интернета, используя пронумерованные порты, по одному для каждой службы, доступной на сервере (подробности см. в разделе «Как работают веб-серверы»). Например, если на серверной машине работают веб-сервер (HTTP) и FTP-сервер, веб-сервер обычно будет доступен через порт 80, а FTP-сервер будет доступен через порт 21. Компания может заблокировать доступ к порту 21 на все машины, кроме одной внутри компании.

    Определенные слова и фразы — Это может быть что угодно.Брандмауэр обнюхивает (ищет) каждый пакет информации для точного соответствия тексту, указанному в фильтре. Например, вы можете дать указание брандмауэру блокировать любой пакет со словом «X-rated» в нем. Главное здесь, чтобы это было точное совпадение. Фильтр «X-рейтинг» не будет улавливать «X-рейтинг» (без дефиса). Но вы можете включить столько слов, фраз и их вариаций, сколько вам нужно.

    Некоторые операционные системы поставляются со встроенным брандмауэром. В противном случае программный брандмауэр может быть установлен на домашнем компьютере, подключенном к Интернету.Этот компьютер считается шлюзом , поскольку он обеспечивает единственную точку доступа между вашей домашней сетью и Интернетом.

    При использовании аппаратного брандмауэра сам брандмауэр обычно является шлюзом. Хорошим примером является маршрутизатор Linksys Cable/DSL. Он имеет встроенную карту Ethernet и концентратор. Компьютеры в вашей домашней сети подключаются к маршрутизатору, который, в свою очередь, подключается либо к кабельному, либо к DSL-модему. Вы настраиваете маршрутизатор через веб-интерфейс, доступ к которому осуществляется через браузер на вашем компьютере.Затем вы можете установить любые фильтры или дополнительную информацию.

    Аппаратные брандмауэры невероятно безопасны и не очень дороги. Домашние версии, включающие маршрутизатор, брандмауэр и концентратор Ethernet для широкополосных подключений, можно найти менее чем за 100 долларов.

    Что такое конфигурация брандмауэра | Советы по настройке политики брандмауэра

    Ассортимент средств настройки и управления межсетевым экраном AlgoSec позволяет организациям выявлять и блокировать кибератаки. Все наши предложения актуальны, чтобы защитить ваше предприятие даже от новейших угроз.

    Повышение прозрачности локальных и облачных сетей

    Автоматизируйте устранение неполадок в системе безопасности, обнаружение приложений, аудит сети и анализ рисков с помощью анализатора брандмауэра AlgoSec. Оптимизируйте конфигурацию брандмауэра для постоянной, надежной безопасности и непрерывного соответствия требованиям.

    Управление политикой сетевой безопасности

    Управляйте жизненным циклом политики сетевой безопасности с помощью локальных брандмауэров и облачных средств управления безопасностью.Снижайте риски за счет эффективной настройки безопасности и сегментации сети, повышая при этом производительность, совместную работу и гибкость.

    Автоматически обрабатывать изменения политики безопасности

    Автоматизация без участия пользователя экономит время, предотвращает ошибки, возникающие вручную, и снижает риск. Создавайте правила брандмауэра, чтобы свести к минимуму сложность и вносить изменения на уровне бизнес-приложений. AlgoSec FireFlow интегрируется с существующими бизнес-процессами для обеспечения постоянной безопасности и соответствия требованиям.

    Упрощение проверок брандмауэра

    AlgoSec предоставляет подробные отчеты об аудите , в которых отмечаются несоответствующие правила брандмауэра, чтобы вы могли устранить проблемы до аудита и повысить производительность брандмауэра и соответствие требованиям.

    Устранение проблем с сетью

    Интеграция между конфигурацией брандмауэра и политиками безопасности бизнеса является ключом к эффективной сетевой безопасности. Инструменты управления межсетевым экраном защищают ИТ-инфраструктуру от несанкционированного и потенциально вредоносного трафика.

    Оптимизация приложений и наборов правил

    Быстро и легко просматривайте правила брандмауэра с помощью анализатора брандмауэра AlgoSec с AppViz. Выявляйте неиспользуемые, повторяющиеся, перекрывающиеся правила или правила с истекшим сроком действия и ужесточайте чрезмерно разрешающие «ЛЮБЫЕ» правила, чтобы снизить риск.

    Рекомендации по настройке правил брандмауэра —

    Рекомендации по настройке правил брандмауэра

    Последнее обновление:  2020-04-16

    Автор: Роуз Контрерас


    При изменении конфигурации брандмауэра важно учитывать потенциальные риски безопасности, чтобы избежать проблем в будущем.Безопасность — сложная тема, которая может варьироваться от случая к случаю, но в этой статье описываются рекомендации по настройке правил брандмауэра периметра.

    Блокировка по умолчанию

    Блокировать весь трафик по умолчанию и явно разрешать только определенный трафик к известным службам. Эта стратегия обеспечивает хороший контроль над трафиком и снижает вероятность взлома из-за неправильной настройки службы.

    Этого можно добиться, настроив последнее правило в списке управления доступом, чтобы запретить весь трафик.Вы можете сделать это явно или неявно, в зависимости от платформы.

    Разрешить определенный трафик

    Правила, которые вы используете для определения доступа к сети, должны быть как можно более конкретными. Эта стратегия представляет собой принцип наименьших привилегий и обеспечивает контроль над сетевым трафиком. Укажите в правилах как можно больше параметров.

    Брандмауэр уровня 4 использует следующие параметры для правила доступа:

    • IP-адрес источника (или диапазон IP-адресов)
    • IP-адрес назначения (или диапазон IP-адресов)
    • Порт назначения (или диапазон портов)
    • Протокол трафика (TCP, ICMP или UDP)

    Укажите как можно больше параметров в правиле, используемом для определения доступа к сети.Существуют ограниченные сценарии, в которых любой используется в любом из этих полей.

    Укажите исходные IP-адреса

    Если служба должна быть доступна для всех в Интернете, то любой исходный IP-адрес является правильным вариантом. Во всех остальных случаях следует указывать исходный адрес.

    Допустимо разрешить всем исходным адресам доступ к вашему HTTP-серверу. Недопустимо разрешать всем исходным адресам доступ к портам управления вашим сервером или портам базы данных.Ниже приведен список общих портов управления сервером и портов базы данных:

    .

    Порты управления сервером:

    • Linux®SSH: порт 22
    • Windows® RDP: порт 3389

    Порты базы данных:

    • Сервер SQL®: порт 1433
    • Oracle®: порт 1521
    • MySQL®: порт 2206

    Уточните, кто может получить доступ к этим портам. Когда нецелесообразно определять исходные IP-адреса для управления сетью, вы можете рассмотреть другое решение, такое как VPN с удаленным доступом, в качестве компенсирующего элемента управления, позволяющего разрешить требуемый доступ и защитить вашу сеть.

    Укажите IP-адрес назначения

    IP-адрес назначения — это IP-адрес сервера, на котором запущена служба, к которой вы хотите разрешить доступ. Всегда указывайте, какой сервер или серверы доступны. Настройка целевого значения любого может привести к нарушению безопасности или компрометации сервера неиспользуемого протокола, который может быть доступен по умолчанию. Однако можно использовать IP-адреса назначения со значением или , если брандмауэру назначен только один IP-адрес.Значение any также можно использовать, если вы хотите, чтобы к вашей конфигурации был доступ как для общего доступа, так и для servicenet .

    Укажите порт назначения

    Порт назначения соответствует доступной службе. Это значение этого поля никогда не должно быть или . Служба, которая работает на сервере и к которой необходимо получить доступ, определена, и только этот порт должен быть разрешен. Разрешение всех портов влияет на безопасность сервера, разрешая атаки по словарю, а также использование любых портов и протоколов, настроенных на сервере.

    Не используйте слишком широкий диапазон портов. Если используются динамические порты, брандмауэры иногда предлагают политики проверки, позволяющие безопасно пропускать их.

    Примеры опасных конфигураций

    В этом разделе описываются опасные примеры правил брандмауэра, а также показаны некоторые альтернативные хорошие правила, которым следует следовать при настройке правил брандмауэра.

    разрешить ip любой любой — Разрешить весь трафик из любого источника на любом порту в любое место назначения. Это наихудший тип правила контроля доступа.Это противоречит как концепции безопасности, предусматривающей запрет трафика по умолчанию, так и принципу наименьших привилегий. Порт назначения всегда следует указывать, а IP-адрес назначения следует указывать, когда это целесообразно. Следует указать исходный IP-адрес, если только приложение не предназначено для приема клиентов из Интернета, например веб-сервера. Хорошим правилом было бы разрешить tcp любому WEB-SERVER1 http .

    разрешить ip любой любой WEB-SERVER1 — Разрешить весь трафик из любого источника на веб-сервер.Должны быть разрешены только определенные порты; в случае веб-сервера порты 80 (HTTP) и 443 (HTTPS). В противном случае управление сервером уязвимо. Хорошим правилом было бы разрешить ip любому WEB-SERVER1 http .

    разрешить tcp любой WEB-SERVER1 3389 — Разрешить RDP-доступ из любого источника к веб-серверу. Разрешать всем доступ к вашим портам управления — опасная практика. Уточните, кто может получить доступ к управлению сервером. Хорошим правилом будет разрешить TCP 12.34.56.78 3389 WEB-SERVER1 (где 12.34.56.78 — IP-адрес компьютера администратора в сети Интернет).

    разрешить tcp любой DB-SERVER1 3306 — Разрешить доступ MySQL из любого источника к базе данных. Серверы баз данных никогда не должны быть доступны всему Интернету. Если вам нужно, чтобы запросы к базе данных выполнялись через общедоступный Интернет, укажите точный исходный IP-адрес. Хорошим правилом будет разрешить TCP 23.45.67.89 DB-SERVER1 3306 (где 23.45.67.89 — это IP-адрес хоста в Интернете, которому требуется доступ к базе данных). Лучшей практикой было бы разрешить трафик базы данных через VPN, а не в виде открытого текста через общедоступный Интернет.

    Если вам нужна помощь в реализации этих рекомендаций, обратитесь в службу поддержки Rackspace.

    Безопасность — Брандмауэр | Убунту

    Введение

    Ядро Linux включает подсистему Netfilter , которая используется для манипулирования или решения судьбы сетевого трафика, поступающего на ваш сервер или проходящего через него.Все современные брандмауэры Linux используют эту систему для фильтрации пакетов.

    Система фильтрации пакетов ядра была бы мало полезна для администраторов без пользовательского интерфейса для управления ею. Это цель iptables: когда пакет достигает вашего сервера, он будет передан подсистеме Netfilter для принятия, обработки или отклонения на основе правил, предоставленных ему из пользовательского пространства через iptables. Таким образом, iptables — это все, что вам нужно для управления брандмауэром, если вы с ним знакомы, но для упрощения задачи доступно множество внешних интерфейсов.

    ufw — Несложный межсетевой экран

    Средство настройки брандмауэра по умолчанию для Ubuntu — ufw. Разработанный для облегчения настройки брандмауэра iptables, ufw предоставляет удобный способ создания брандмауэра на основе хоста IPv4 или IPv6.

    ufw по умолчанию изначально отключен. Со страницы руководства ufw:

    «ufw не предназначен для обеспечения полной функциональности брандмауэра через свой командный интерфейс, но вместо этого предоставляет простой способ добавления или удаления простых правил. В настоящее время он в основном используется для межсетевых экранов на основе хоста.

    Ниже приведены некоторые примеры использования ufw:

    • Во-первых, необходимо включить ufw. В командной строке терминала введите:

        sudo ufw включить
        
    • Чтобы открыть порт (в данном примере SSH):

        sudo ufw разрешить 22
        
    • Правила также можно добавить, используя формат с номером :

      .
        вставка sudo ufw 1 разрешить 80
        
    • Аналогично, чтобы закрыть открытый порт:

        sudo ufw отказать 22
        
    • Чтобы удалить правило, используйте команду удаления, а затем правило:

        sudo ufw удалить запретить 22
        
    • Также можно разрешить доступ к порту с определенных хостов или сетей.В следующем примере разрешается доступ по SSH с узла 192.168.0.2 к любому IP-адресу на этом узле:

      .
        sudo ufw разрешить протокол TCP с 192.168.0.2 на любой порт 22
        

      Замените 192.168.0.2 на 192.168.0.0/24, чтобы разрешить доступ по SSH из всей подсети.

    • Добавление параметра –dry-run к команде ufw приведет к выводу результирующих правил, но не к их применению. Например, при открытии HTTP-порта будет применено следующее:

      .
        sudo ufw --пробный запуск разрешить http
        
        *фильтр
      :ufw-пользовательский ввод - [0:0]
      :ufw-пользовательский-вывод - [0:0]
      :ufw-пользователь-вперед - [0:0]
      :ufw-user-limit - [0:0]
      :ufw-user-limit-accept - [0:0]
      ### ПРАВИЛА ###
      
      ### кортеж ### разрешить TCP 80 0.0.0.0/0 любой 0.0.0.0/0
      -A ufw-user-input -p tcp --dport 80 -j ПРИНЯТЬ
      
      ### КОНЕЦ ПРАВИЛ ###
      -A ufw-ввод-пользователя -j ВОЗВРАТ
      -A ufw-user-output -j ВОЗВРАТ
      -A ufw-user-forward -j ВОЗВРАТ
      -A ufw-user-limit -m limit --limit 3/min -j LOG --log-prefix "[UFW LIMIT]: "
      -A ufw-user-limit -j ОТКЛОНИТЬ
      -A ufw-user-limit-accept -j ПРИНЯТЬ
      СОВЕРШИТЬ
      Правила обновлены
        
    • ufw можно отключить с помощью:

        sudo ufw отключить
        
    • Чтобы увидеть статус брандмауэра, введите:

        статус sudo ufw
        
    • И для более подробной информации о состоянии используйте:

        подробный статус sudo ufw
        
    • Для просмотра номера в формате :

        статус sudo ufw пронумерован
        

    Примечание

    Если порт, который вы хотите открыть или закрыть, определен в /etc/services , вы можете использовать имя порта вместо номера.В приведенных выше примерах замените 22 на ssh .

    Это краткое введение в использование ufw. Пожалуйста, обратитесь к справочной странице ufw для получения дополнительной информации.

    Интеграция приложений ufw

    Приложения, которые открывают порты, могут включать профиль ufw, в котором указаны порты, необходимые для правильной работы приложения. Профили хранятся в /etc/ufw/applications.d и могут быть отредактированы, если порты по умолчанию были изменены.

    • Чтобы просмотреть, какие приложения установили профиль, введите в терминале следующее:

        список приложений sudo ufw
        
    • Аналогично разрешению трафика на порт, использование профиля приложения выполняется путем ввода:

        sudo ufw разрешить Samba
        
    • Также доступен расширенный синтаксис:

        ufw позволяют от 192.168.0.0/24 к любому приложению Samba
        

      Замените Samba и 192.168.0.0/24 профилем приложения, которое вы используете, и диапазоном IP-адресов для вашей сети.

      Примечание

      Нет необходимости указывать протокол для приложения, поскольку эта информация подробно описана в профиле. Также обратите внимание, что имя приложения заменяет номер порта .

    • Для просмотра сведений о том, какие порты, протоколы и т. д., определены для приложения, введите:

        информация о приложении sudo ufw Samba
        

    Не все приложения, требующие открытия сетевого порта, поставляются с профилями ufw, но если вы профилировали приложение и хотите, чтобы файл был включен в пакет, сообщите об ошибке пакета в Launchpad.

      ubuntu-ошибка имя пакета
      

    IP-маскарад

    Цель IP-маскарада — позволить машинам с частными немаршрутизируемыми IP-адресами в вашей сети получать доступ в Интернет через машину, выполняющую маскировку.Трафик из вашей частной сети, предназначенный для Интернета, должен обрабатываться, чтобы ответы можно было направить обратно на машину, которая сделала запрос. Для этого ядро ​​должно изменить исходный IP-адрес каждого пакета, чтобы ответы направлялись обратно на него, а не на частный IP-адрес, с которого был отправлен запрос, что невозможно в Интернете. Linux использует отслеживание соединений (conntrack), чтобы отслеживать, какие соединения принадлежат каким машинам, и соответствующим образом перенаправлять каждый возвращаемый пакет.Таким образом, трафик, покидающий вашу частную сеть, «маскируется» под исходящий от вашего шлюза Ubuntu. Этот процесс упоминается в документации Microsoft как «Общий доступ к подключению к Интернету».

    ufw Маскарадинг

    IP-маскарадинг можно реализовать с помощью настраиваемых правил ufw. Это возможно, потому что текущим сервером для ufw является iptables-restore с файлами правил, расположенными в /etc/ufw/*.rules . Эти файлы — отличное место для добавления устаревших правил iptables, используемых без ufw, и правил, которые больше связаны с сетевым шлюзом или мостом.

    Правила разделены на два разных файла: правила, которые должны выполняться перед правилами командной строки ufw, и правила, которые выполняются после правил командной строки ufw.

    • Сначала необходимо включить пересылку пакетов в ufw. Необходимо будет изменить два файла конфигурации, в /etc/default/ufw измените DEFAULT_FORWARD_POLICY на «ACCEPT»:

        DEFAULT_FORWARD_POLICY="ПРИНЯТЬ"
        

      Затем отредактируйте /etc/ufw/sysctl.conf и раскомментировать:

        сеть/ipv4/ip_forward=1
        

      Аналогично, для переадресации IPv6 раскомментируйте:

        сеть/ipv6/conf/по умолчанию/пересылка=1
        
    • Теперь добавьте правила в файл /etc/ufw/before.rules . Правила по умолчанию настраивают только таблицу filter , и для включения маскирования таблицы nat необходимо настроить. Добавьте следующее в начало файла сразу после комментариев заголовка:

        # nat Правила таблицы
      *натуральный
      :ОТПРАВКА ПРИНЯТИЯ [0:0]
      
      # Перенаправить трафик с eth2 на eth0.-A POSTOUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
      
      # не удаляйте строку 'COMMIT', иначе эти правила таблицы nat не будут обработаны
      СОВЕРШИТЬ
        

      Комментарии не являются строго обязательными, но рекомендуется документировать вашу конфигурацию. Кроме того, при изменении любого из файлов правил в /etc/ufw убедитесь, что эти строки являются последней строкой для каждой измененной таблицы:

        # не удаляйте строку 'COMMIT', иначе эти правила не будут обработаны
      СОВЕРШИТЬ
        

      Для каждой таблицы требуется соответствующий оператор COMMIT .В этих примерах показаны только таблицы nat и filter , но вы также можете добавить правила для таблиц raw и mangle .

      Примечание

      В приведенном выше примере замените eth0 , eth2 и 192.168.0.0/24 соответствующими интерфейсами и диапазоном IP-адресов для вашей сети.

    • Наконец, отключите и снова включите ufw, чтобы применить изменения:

        sudo ufw отключить && sudo ufw включить
        

    Маскарадинг IP теперь должен быть включен.Вы также можете добавить любые дополнительные правила FORWARD в файл /etc/ufw/before.rules . Эти дополнительные правила рекомендуется добавить в цепочку ufw-before-forward .

    iptables Маскарадинг

    iptables также можно использовать для включения маскарадинга.

    • Аналогично ufw, первым шагом является включение пересылки пакетов IPv4 путем редактирования /etc/sysctl.conf и раскомментирования следующей строки:

        сеть.ipv4.ip_forward=1
        

      Если вы хотите включить переадресацию IPv6, также раскомментируйте:

        нетто.ipv6.conf.default.forwarding=1
        
    • Затем выполните команду sysctl, чтобы включить новые настройки в файле конфигурации:

        судо sysctl -p
        
    • IP-маскарадинг теперь можно выполнить с помощью одного правила iptables, которое может немного отличаться в зависимости от конфигурации вашей сети:

        sudo iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o ppp0 -j MASQUERADE
        

      Приведенная выше команда предполагает, что ваше личное адресное пространство равно 192.168.0.0/16 и что ваше устройство с выходом в Интернет — ppp0. Синтаксис разбит следующим образом:

      • -t nat — правило зайти в nat таблицу

      • -A POSTROUTING – правило должно быть добавлено (-A) в цепочку POSTROUTING

      • -s 192.168.0.0/16 — правило распространяется на трафик, исходящий из указанного адресного пространства

      • -o ppp0 — правило применяется к трафику, запланированному для маршрутизации через указанное сетевое устройство

      • -j MASQUERADE — трафик, соответствующий этому правилу, должен «перепрыгнуть» (-j) к цели MASQUERADE, чтобы ею можно было манипулировать, как описано выше

    • Кроме того, каждая цепочка в таблице фильтров (таблица по умолчанию и место, где происходит большая или вся фильтрация пакетов) имеет политику по умолчанию ACCEPT, но если вы создаете брандмауэр в дополнение к шлюзу, вы, возможно, установили политики DROP или REJECT, и в этом случае ваш замаскированный трафик должен быть разрешен через цепочку FORWARD для работы вышеуказанного правила:

        sudo iptables -A FORWARD -s 192.168.0.0/16 -o ppp0 -j ПРИНЯТЬ
      sudo iptables -A FORWARD -d 192.168.0.0/16 -m состояние \
      --state УСТАНОВЛЕНО,СВЯЗАННО -i ppp0 -j ПРИНЯТЬ
        

      Приведенные выше команды разрешат всем подключениям из вашей локальной сети к Интернету и всему трафику, связанному с этими подключениями, возвращаться на машину, которая их инициировала.

    • Если вы хотите, чтобы маскировка включалась при перезагрузке, что вы, вероятно, и делаете, отредактируйте /etc/rc.local и добавьте любые команды, использованные выше. Например, добавьте первую команду без фильтрации:

      .
        iptables -t nat -A POSTOUTING -s 192.168.0.0/16 -o ppp0 -j МАСКАРАД
        

    Бревна

    Журналы брандмауэра

    необходимы для распознавания атак, устранения неполадок в правилах брандмауэра и обнаружения необычной активности в вашей сети. Тем не менее, вы должны включить правила ведения журнала в свой брандмауэр, чтобы они были сгенерированы, и правила ведения журнала должны предшествовать любому применимому правилу завершения (правило с целью, которая решает судьбу пакета, например ACCEPT, DROP или REJECT).

    Если вы используете ufw, вы можете включить ведение журнала, введя в терминал следующее:

      sudo ufw вход в систему
      

    Чтобы отключить вход в ufw, просто замените на на на в приведенной выше команде.

    Если вы используете iptables вместо ufw, введите:

      sudo iptables -A INPUT -m state --state NEW -p tcp --dport 80 \
    -j ЖУРНАЛ --log-prefix "NEW_HTTP_CONN: "
      

    Таким образом, запрос на порт 80 с локальной машины создаст журнал в dmesg, который выглядит следующим образом (одна строка разделена на 3, чтобы соответствовать этому документу):

      [4304885.870000] NEW_HTTP_CONN: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00
    SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=58288 DF PROTO=TCP
    SPT=53981 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0
      

    Приведенный выше журнал также появится в /var/log/messages , /var/log/syslog и /var/log/kern.лог . Это поведение можно изменить, соответствующим образом отредактировав /etc/syslog.conf или установив и настроив ulogd и используя цель ULOG вместо LOG. Демон ulogd — это сервер пользовательского пространства, который прослушивает инструкции по регистрации от ядра специально для брандмауэров и может записывать в любой файл, который вам нравится, или даже в базу данных PostgreSQL или MySQL. Анализ журналов брандмауэра можно упростить с помощью инструмента анализа журналов, такого как logwatch, fwanalog, fwlogwatch или lire.

    Другие инструменты

    Существует множество инструментов, которые помогут вам построить полноценный брандмауэр, даже не зная iptables. Инструмент командной строки с текстовыми файлами конфигурации:

    • Shorewall — очень мощное решение, которое поможет вам настроить расширенный брандмауэр для любой сети.

    Каталожные номера

    • Вики-страница брандмауэра Ubuntu содержит информацию о разработке ufw.

    Добавить комментарий

    Ваш адрес email не будет опубликован.