Что такое Twin Tunnel Firewall
Это дополнительный каскад правил, который дает клиентам возможность настраивать тонкую гранулярную фильтрацию трафика. Сервис позволяет принимать решения о фильтрации пакетов на основе потребностей проекта, исключая нежелательный трафик, который уже прошел валидацию на уровне L3-4 OSI.
Удобство и контроль: почему мы создали сервис кастомного фаервола
Основных причин было несколько:
- Потребность в экономии времени клиента
До появления сетевого фаервола в рамках Защиты сети реализация дополнительной фильтрации трафика требовала обращения в тикет и занимала больше времени.
- Желание максимально упростить взаимодействие с сервисом
Раньше дополнительные настройки производились техническими специалистами вручную и их нужно было согласовывать.
- Рост количества клиентов и запросов на новый функционал
Примерно 20% от общего числа клиентов выразили интерес к расширенным возможностям контроля над своим трафиком.
Так родилась идея создать удобный и быстрый инструмент, который позволяет контролировать правила фильтрации прямо из личного кабинета.
Как мы реализовали задуманное
С технической точки зрения работа Twin Tunnel Firewall включает в себя следующие пункты:
- Визуальный интерфейс формирования правил в личном кабинете клиента
- Преобразование созданных клиентом правил в формат nftables
- Доставка сформированных цепочек фильтрации на серверы Twin Tunnel через etcd
- Формирование итогового фаервола в режиме реального времени на серверах Twin Tunnel
- Сбор статистики срабатывания правил и ее визуализация в личном кабинете в виде графиков
В результате клиенты могут самостоятельно создавать и управлять своими правилами, которые срабатывают на наших серверах Twin Tunnel.
Какие преимущества получает клиент
- Экономия времени
Теперь нет необходимости создавать отдельный тикет и решать задачу по дополнительному ограничению трафика через техническую поддержку. Настройка правил фильтрации доступна в личном кабинете клиента.
- Удобство взаимодействия с сервисом
Мы разработали интуитивно понятный веб-интерфейс, который позволяет создавать правила, редактировать их и изменять порядок в общем списке. В окне настройки правила клиент может выбирать протокол и действие, которое будет применяться к пакету, а также вводить адреса подсетей и данные портов.
- Бесперебойная работа фаервола
Правила, которые создает клиент, применяются сразу на всех наших узлах, что обеспечивает надежность работы сервиса дополнительной фильтрации.
Сервис кастомного фаервола включен в стоимость услуги Защита сети DDoS-Guard: клиентам Базового Уровня защиты доступно 5 правил фильтрации, Оптимальный включает в себя 10 правил.
Сервис Twin Tunnel Firewall дает возможность более точечно и тонко управлять трафиком без потери времени и стабильности рабочего функционала.
