Настройка правил Twin Tunnel Firewall

Модуль Twin Tunnel Firewall позволяет создать правила фильтрации для трафика, который уже прошел через систему защиты DDoS-Guard. Вы можете настроить фильтрацию по протоколам, подсетям и портам.

Перейдите на страницу услуги из личного кабинета, в разделе Защита L3–4 откройте вкладку Twin Tunnel Firewall и нажмите кнопку Создать.

На Базовом уровне защиты можно создать 5 правил фильтрации, на Оптимальном — 10 правил

изображение_2024-12-05_174725417.png
Раздел Twin Tunnel Firewall в личном кабинете

После этого появится окно Создание правила.

Создание правила.png
Окно создания правила фильтрации

1. Выберите Протокол, к которому будет применяться текущее правило фильтрации:

  • ALL
  • TCP
  • UDP
  • ICMP
  • ESP

Если вы выбираете протокол ALL, фильтрация будет осуществляться только по полю заголовка IP.

Если на первом месте в списке будет стоять Правило с протоколом ALL и с действием Deny, весь входящий трафик будет заблокирован 

2. В полях Подсеть SRC и Подсеть DST введите адреса подсети-источника и подсети-получателя в формате CIDR. Чтобы создать правило для одного хоста, используйте маску /32. Если оставить поле Подсеть DST пустым, то правило будет работать для всего трафика в вашу сторону (поведение по умолчанию).

3. Поля Порт SRC и Порт DST будут активны, если вы выбираете протокол TCP или UDP. В них нужно ввести данные порта источника и порта назначения.

Чтобы правило охватило все порты в диапазоне 0–65535, укажите 0 в полях Порт SRC и Порт DST

4. Выберите Действие, которое будет применяться в рамках правила:

  • Permit — принять пакет
  • Deny — отклонить пакет

5. При необходимости заполните поле Комментарий и нажмите Сохранить. Созданное правило появится в общем списке.

Скриншот списка созданных правил фильтрации Twin Tunnel — личный кабинет DDoS-Guard
Общий список созданных правил Twin Tunnel Firewall

Правила Twin Tunnel Firewall применяются к трафику последовательно сверху вниз

Вы можете менять порядок обработки пакетов — для этого переместите правило, используя маркер перетаскивания слева. После завершения настройки нажмите Сохранить изменения в левом нижнем углу таблицы.

Скриншот окна сохранения текущего порядка правил Twin Tunnel — личный кабинет DDoS-Guard
Изменение порядка правил Twin Tunnel Firewall

Созданные правила можно изменять: нажмите на меню действий справа и выберите опцию Редактировать. Обновите информацию во всплывающем окне и нажмите Сохранить.

Редактирование правила Twin Tunnel Firewall с действием Deny и протоколом UDP
Редактирование активного правила

Чтобы временно деактивировать правило, воспользуйтесь переключателем в таблице или кнопкой Включить правило в окне редактирования.

Вы можете посмотреть статистику использования каждого правила в байтах и пакетах. Для этого нажмите на иконку графика справа и выберите необходимый период во всплывающем окне. Обработанный трафик будет показан с разной детализацией в зависимости от временного интервала.

Cтатистика срабатываний правила Twin Tunnel Firewall за 1–10 июня с детализацией 5 часов
Статистика по правилу Twin Tunnel Firewall

Статистика неактивных правил отображается за период до их отключения

Пример 1. Разрешить UDP-трафик только для доверенных IP-адресов

1) Создайте правило доступа для разрешенного адреса:

  • Выберите протокол UDP
  • Введите Подсеть SRC в формате CIDR
  • Поле Подсеть DST оставьте пустым
  • Установите действие Permit

Создайте отдельное правило для каждой подсети, которой нужно разрешить доступ.

2) Создайте правило для остального UDP-трафика:

  • Выберите протокол UDP
  • Введите значение 0.0.0.0/0 в поле Подсеть SRC
  • Поле Подсеть DST оставьте пустым
  • Установите действие Deny
Пример конфигурации

Необходимо пропустить на сервер UDP-трафик только из подсетей 198.51.100.126/32 и 198.51.100.127/32. Фильтрация по портам не требуется.

1) Правило для 198.51.100.126/32:

  • Протокол: UDP
  • Подсеть SRC: 198.51.100.126/32
  • Порт SRC: 0
  • Порт DST: 0
  • Действие: Permit

2) Правило для 198.51.100.127/32:

  • Протокол: UDP
  • Подсеть SRC: 198.51.100.127/32
  • Порт SRC: 0
  • Порт DST: 0
  • Действие: Permit

3) Правило для остального UDP-трафика:

  • Протокол: UDP
  • Подсеть SRC: 0.0.0.0/0
  • Порт SRC: 0
  • Порт DST: 0
  • Действие: Deny
Конфигурация правил Twin Tunnel Firewall  по заданному примерному сценарию

Пример 2. Ограничить доступ по странам и по IP-адресам

1) Настройте геоблокировку в модуле Twin Tunnel Geo-Block:

  • Чтобы ограничить доступ к ресурсу из выбранных стран, установите режим обработки трафика Черный список
  • Добавьте в список страны

2) В модуле Twin Tunnel Firewall создайте правило доступа для доверенного IP-адреса:

  • Выберите протокол ALL
  • Укажите Подсеть SRC, у которой будет доступ к ресурсу
  • Установите действие Permit

Создайте отдельное правило для каждой подсети, которой нужно разрешить доступ.

Пакеты, пропущенные Twin Tunnel Firewall, будут переданы на ресурс без проверки другими модулями. Затем Twin Tunnel Geo-Block определит страну происхождения IP-адреса источника и заблокирует трафик со всех адресов, кроме разрешенных.

Пример конфигурации

Необходимо запретить доступ к ресурсу для США, но разрешить для публичного DNS-сервера Google — 8.8.8.8/32.

1) Настройка блокировки по странам в Twin Tunnel Geo-Block:

  • Режим обработки трафика: Черный список
  • Страны: США (US)

2) Правило для 8.8.8.8/32 в Twin Tunnel Firewall:

  • Протокол: ALL
  • Подсеть SRC: 8.8.8.8/32
  • Действие: Permit

Twin Tunnel Firewall обрабатывает трафик раньше Twin Tunnel Geo-Block. Пропущенные правилами фаервола пакеты сразу передаются на ресурс. Поэтому адрес 8.8.8.8/32 сможет получить доступ, несмотря на блокировку трафика из США на уровне Geo-Block.

Пример 2.TTG.png

Пример 2.TTF.png

Трафик последовательно проходит через все модули Twin Tunnel. Каждый модуль анализирует входящие пакеты согласно своим правилам.

Обработка трафика начинается с Twin Tunnel Firewall. Правила фаервола не применяются к трафику, который был ранее заблокирован нашими фильтрами на уровнях L3–7.

Prioritization scheme of Twin Tunnel rules
Схема работы правил Twin Tunnel

Подробнее о работе правил Twin Tunnel читайте в инструкции «Как работает защита сети»