Настройка межсетевого экрана (Firewall) на Edge Gateway
По умолчанию на Edge Gateway правила разрешают прохождение трафика в любую сторону от любого источника, что является небезопасным.
Также по умолчанию создается ряд правил, которые имеют высокий приоритет (всегда находятся выше пользовательских правил), являются неотключаемыми и необходимы для функционирования виртуальной инфраструктуры.
Для повышения уровня безопасности необходимо настроить доступ только по необходимым портам, и с разрешенных IP-адресов.
Для настройки Firewall нужно зайти в раздел Edges, и выбрать нужный виртуальный маршрутизатор
В свойствах маршрутизатора выбрать Services
Откроется окно на вкладке Firewall. В нем нужно добавить правило (кнопка 1)
Затем в создавшемся правиле задать IP-адрес (подсеть) источника, с которого разрешено подключение, нажав на кнопку 2 и заполнив появившееся окно
Далее выбрать протоколы и порты, по которым необходим доступ, нажав на кнопку 3.
После добавления правил доступа необходимо перевести правило "Default rule for ingress traffic" в режим "Deny", что запретит весь явно не разрешенный трафик.
И после выполнения настроек обязательно сохранить изменения, нажав кнопку Save Changes (кнопка 4)
Для доступа изнутри сети в Интернет необходимо правило, разрешающее исходящий трафик. Чаще всего оно имеет подобный вид
Для нормальной работы веб-сайтов нужны порты 80, 443 и, чаще всего, доступ с любых адресов.
Для управления сервером необходимы порты 22 (SSH), 3389 (RDP) (рекомендуется изменить на нестандартные) и доступ только с определенных IP-адресов.
