Tous les environnements virtuels créés avec Jelastic Cloud sont configurés avec une configuration de pare-feu par défaut, déjà opérationnelle et active.
Pour vérifier l'état du pare-feu, cliquez simplement sur le bouton "Paramètres" à côté de votre "environnement".
Une fois dans le panneau "Paramètres", un élément "Pare-feu" qui vous permet de vérifier les paramètres du pare-feu s'affichera.
Examinons de plus près les éléments à l'intérieur :
- État du pare-feu :vous permet d'activer ou de désactiver son état ;
- Connexions entrantes :gère toutes les connexions entrantes vers votre environnement, telles que les services Web ou les bases de données ;
- Connexions sortantes :gère toutes les connexions sortantes, telles que la connexion à une base de données externe.
L'élément "Inbound Rules" vous permet de configurer les règles pour les connexions entrantes. Le premier et le dernier élément en gris représentent les règles du système et ne peuvent pas être modifiés. Le premier permet à l'ensemble de l'infrastructure Jelastic et à ses conteneurs d'accéder à l'environnement tandis que le dernier élément bloque tout trafic autre que celui spécifié dans les règles ci-dessus.
Ajout de nouvelles règles au pare-feu
En cliquant sur le bouton "Ajouter", vous pouvez insérer une nouvelle règle à l'intérieur du Firewall :
Les champs requis pour ajouter une nouvelle règle sont :
- Nom :le nom à afficher dans la liste des règles ;
- Protocole :le type de protocole à filtrer (TCP / UDP / Les deux );
- Port Range :la porte ou l'ensemble de portes sur lesquelles travailler Par exemple "80" ou "50-100" pour filtrer du port 50 à 100 (en laissant ce champ vide, la règle s'appliquera à tous les ports) ;
- Source :la source à filtrer. Par exemple, un ensemble d'adresses IP ou une interface réseau ;
- Priorité :l'ordre dans lequel la règle est exécutée ;
- Action :lorsque les filtres ci-dessus doivent autoriser la connexion (Autoriser) ou la refuser (Refuser).
Configuration du pare-feu pour les services Web
Cette section vous montrera comment optimiser la configuration du pare-feu pour un service Web de base, en utilisant une configuration basée sur Apache comme exemple.
Depuis votre Environnement cliquez sur le bouton "Paramètres" :
Depuis l'écran de paramétrage, ouvrez la configuration Firewall / Inbound Rules :
Certaines des règles définies par défaut ne sont pas nécessaires au bon fonctionnement d'un simple service web. Par conséquent, procédez en éliminant "SMTP" et "Allow Env Export":
À ce stade, le scénario est le suivant :
Lorsque vous n'utilisez aucun service FTP, ouvrez l'écran d'édition de la règle "21-22", puis modifiez les champs comme indiqué ci-dessous :
De cette façon, l'accès au service FTP est supprimé, la connexion SSH active est la seule qui reste. Enfin, appliquez les modifications à l'aide du bouton "Appliquer".
Désactiver une règle de pare-feu
Parfois, il est préférable de désactiver la règle uniquement temporairement, au lieu de la supprimer complètement, afin qu'elle puisse être réactivée, si nécessaire.
Par exemple, afin d'éviter d'éventuelles attaques par force brute sur notre serveur cloud, la règle SSH, modifiée dans le paragraphe précédent pourrait n'être que temporairement désactivée.
Sélectionnez la règle à désactiver et utilisez le bouton "Désactiver" pour appliquer la modification.
Pour réactiver la règle et autoriser l'accès SSH, utilisez le bouton "Activer" :
