Abilitazione e configurazione di Edge Network Firewall
7633 viste
06.01.2026 
Cloud / Server dedicato (bare metal)
Informazioni sulla traduzione
Questa traduzione è stata generata automaticamente dal nostro partner SYSTRAN. I contenuti potrebbero presentare imprecisioni, ad esempio la nomenclatura dei pulsanti o alcuni dettagli tecnici. In caso di dubbi consigliamo di fare riferimento alla versione inglese o francese della guida. Per aiutarci a migliorare questa traduzione, utilizza il pulsante "Contribuisci" di questa pagina.
Obiettivo
Per proteggere i servizi clienti esposti agli indirizzi IP pubblici, OVHcloud offre un firewall stateless configurato e integrato nell’infrastruttura Anti-DDoS: Edge Network Firewall. Consente di limitare l’esposizione dei servizi agli attacchi DDoS, eliminando specifici flussi di rete provenienti dall’esterno della rete OVHcloud.
Questa guida ti mostra come configurare Edge Network Firewall per i tuoi servizi.
Per maggiori informazioni sulla soluzione anti-DDoS di OVHcloud, visita il sito Web.
| Infrastruttura anti-DDoS e protezione DDoS Game su OVHcloud |
|---|
 |
Requisiti
- Un servizio OVHcloud esposto su un indirizzo IP pubblico dedicato (server dedicato, VPS, istanza Public Cloud, Hosted Private Cloud, Additional IP, ecc.)
- Accesso allo Spazio Cliente OVHcloud
Questa funzionalità potrebbe non essere disponibile o essere limitata sui server della Linea di prodotti Eco.
Per maggiori informazioni, visitate la nostra pagina di confronto.
Edge Firewall Network non supporta il protocollo QUIC.
Procedura
L’Edge Network Firewall riduce l’esposizione agli attacchi DDoS di rete consentendo agli utenti di copiare alcune delle regole del firewall del server al margine della rete OVHcloud. In questo modo, gli attacchi in entrata vengono bloccati il più vicino possibile alla fonte, riducendo il rischio di saturazione delle risorse del server o delle connessioni rack in caso di attacchi gravi.
Abilitazione di Edge Network Firewall
Ad oggi, questa funzione è disponibile solo per gli indirizzi IPv4.
Edge Network Firewall protegge un IP specifico associato a un server (o servizio). Pertanto, se si dispone di un server con più indirizzi IP, è necessario configurare ciascun IP separatamente.
Accedi allo Spazio Cliente OVHcloud, clicca su Network nella barra laterale di sinistra e poi clicca su Indirizzi IP Pubblici.
È possibile utilizzare il menu a tendina sotto I tuoi indirizzi IP pubblici e servizi associati per filtrare i servizi per categoria, oppure digitare direttamente l'indirizzo IP desiderato nella barra di ricerca.
Quindi fare clic sul pulsante ⁝ a destra dell'IPv4 interessato e selezionare Configurare l'Edge Network Firewall (oppure fare clic sull'icona di stato nella colonna Edge Firewall).
Verrai reindirizzato alla pagina di configurazione del firewall.
È possibile impostare fino a 20 regole per IP.
Edge Network Firewall si attiva automaticamente quando viene rilevato un attacco DDoS e non può essere disattivato fino a quando l'attacco non è terminato. Di conseguenza, tutte le regole configurate nel firewall vengono applicate per tutta la durata dell'attacco. Questa logica permette ai nostri clienti di scaricare le regole del firewall sul perimetro della rete OVHcloud per tutta la durata dell’attacco.
Ricorda che, anche se Edge Network Firewall è stato configurato, è necessario configurare il tuo firewall locale, in quanto il suo ruolo principale è quello di gestire il traffico dall'esterno della rete OVHcloud.
Se hai configurato alcune regole, ti consigliamo di controllarle regolarmente o di modificarne il funzionamento. Come accennato in precedenza, Edge Network Firewall verrà attivato automaticamente in caso di attacco DDoS anche se disabilitato nelle impostazioni IP.
- La frammentazione UDP è bloccata (DROP) di default. Quando si attiva Edge Network Firewall, se si utilizza una VPN, è necessario configurare correttamente la MTU (Maximum Transmission Unit). Ad esempio, con OpenVPN, puoi controllare
MTU test. - Edge Network Firewall (ENF) integrato nei centri di scrubbing (VAC) gestisce solo il traffico di rete esterno alla rete OVHcloud.
Configura Edge Network Firewall
Nota che il Firewall Edge Network di OVHcloud non può essere utilizzato per aprire le porte su un server. Per aprire le porte su un server, è necessario passare attraverso il firewall del sistema operativo installato sul server.
Per maggiori informazioni, consulta le seguenti guide: Configuring the firewall on Windows and Configuring the firewall on Linux with iptables.
Per aggiungere una regola, clicca sul pulsante + Aggiungiere una regola, in alto a sinistra nella pagina.
 |
|---|
Clicca su + Aggiungiere una regola. |
Per ogni regola (TCP escluso), è necessario scegliere:
 |
|---|
| • Una priorità (da 0 a 19, dove 0 rappresenta la prima regola da applicare, seguita dalle altre) • Un'azione ( Accept or Deny) • Il protocollo • Source IP (facoltativo) |
Per ogni regola TCP, è necessario scegliere:
 |
|---|
| • A priority (da 0 a 19, dove 0 rappresenta la prima regola da applicare, seguita dalle altre) • An action ( Accept or Deny) • The protocol • Source IP (optional) • The source port (optional) • The destination port (optional) • The TCP state (optional) • Fragments (optional) |
Ti consigliamo di autorizzare il protocollo TCP con un’opzione established (per i pacchetti che fanno parte di una sessione precedentemente aperta/avviata), i pacchetti ICMP (per il ping e traceroute) ed eventualmente le risposte DNS UDP dei server esterni (se utilizzi server DNS esterni).
Esempio di configurazione:
- Priorità 0: Autorizza TCP
established - Priorità 1: Consenti UDP, porta sorgente 53
- Priorità 2: Consenti ICMP
- Priorità 19: Rifiutare l'IPv4
Le configurazioni del firewall con la sola modalità "Accept" non sono per niente efficaci. È necessario specificare il traffico che deve essere rilasciato dal firewall. Se non viene creata una regola di tipo "Nega", verrà visualizzato un avviso.
Attivare/disattivare il firewall:
 |
|---|
| Utilizzare il pulsante di commutazione per attivare o disattivare il firewall. |
Dopo la convalida, il firewall verrà attivato o disattivato.
Si noti che le regole vengono disattivate fino al momento in cui viene rilevato un attacco, quindi vengono attivate. Questa logica può essere utilizzata per regole attive solo quando è in arrivo un attacco ripetuto noto.
Esempio di configurazione
Per assicurarsi che solo le porte standard per SSH (22), HTTP (80), HTTPS (443) e UDP (53) siano lasciate aperte durante l'autorizzazione dell'ICMP, segui le regole qui sotto:
Le regole sono ordinate da 0 (prima regola letta) a 19 (ultima). La catena di regole si interrompe non appena una regola viene applicata al pacchetto.
Ad esempio, un pacchetto per la porta TCP 80 verrà intercettato dalla regola 2 e le regole che seguono non verranno applicate. Un pacchetto per la porta TCP 25 verrà acquisito solo dall'ultima regola (19), che lo bloccherà perché il firewall non consente la comunicazione sulla porta 25 nelle regole precedenti.
La configurazione di cui sopra è solo un esempio e deve essere utilizzata come riferimento solo se le regole non si applicano ai servizi ospitati sul server. È fondamentale configurare le regole del firewall in modo che corrispondano ai servizi ospitati sul server. Una configurazione non corretta delle regole del firewall può causare il blocco del traffico legittimo e l'inaccessibilità dei servizi server.
Mitigazione degli attacchi - attività del centro di pulitura
La nostra infrastruttura anti-DDoS (VAC) funziona automaticamente. Il processo di mitigazione avviene tramite il centro di filtraggio automatico. È qui che la nostra tecnologia avanzata esamina nel dettaglio i pacchetti e cerca di rimuovere il traffico DDoS, consentendo il passaggio del traffico legittimo.
Tutti gli IP OVHcloud sono sottoposti a mitigazione automatica. In caso di rilevamento di traffico malevolo, il centro di filtraggio si attiva. Questo stato è indicato dallo stato "Forced" (Forzato) per un determinato indirizzo IP. In questo momento è attivo anche Edge Network Firewall. La situazione torna alla normalità quando l'attacco viene mitigato e non si osservano più attività sospette.
Suggerimenti
È possibile creare regole del firewall di tipo "attack-only", valide solo dopo aver rilevato un attacco. A tale scopo, è necessario creare regole di Edge Network Firewall, ma queste devono essere disattivate.
Se l'infrastruttura anti-DDoS OVHcloud mitiga un attacco, le regole Edge Network Firewall verranno applicate anche se il firewall è stato disabilitato. Se hai disattivato il firewall, ricorda di eliminare anche le regole.
La nostra infrastruttura anti-DDoS non può essere disattivata su un servizio. Tutti i prodotti OVHcloud vengono consegnati entro il perimetro di protezione e questo non può essere modificato.
Network Security Dashboard
Per informazioni dettagliate sugli attacchi rilevati e sui risultati delle attività del centro di filtraggio, ti invitiamo a esplorare il nostro Network Security Dashboard.
Conclusioni
Dopo aver letto questo tutorial, dovresti essere in grado di configurare Edge Network Firewall per migliorare la sicurezza dei tuoi servizi OVHcloud.
Per saperne di più
Contatta la nostra Community di utenti.
Configura il firewall su Linux con iptables
6310