Habilitar e configurar o Edge Network Firewall
4118 visualizações
06.01.2026 
Cloud / Servidor dedicado (bare metal)
Informações sobre a tradução
Esta tradução foi automaticamente gerada pelo nosso parceiro SYSTRAN. Em certos casos, poderão ocorrer formulações imprecisas, como por exemplo nomes de botões ou detalhes técnicos. Recomendamos que consulte a versão inglesa ou francesa do manual, caso tenha alguma dúvida. Se nos quiser ajudar a melhorar esta tradução, clique em "Contribuir" nesta página.
Objetivo
Para proteger os serviços dos clientes expostos aos IPs públicos, a OVHcloud oferece uma firewall stateless que é configurada e integrada na infraestrutura Anti-DDoS: a Edge Network Firewall. Permite limitar a exposição do serviço a ataques DDoS, ao eliminar fluxos de rede específicos provenientes de fora da rede da OVHcloud.
Este guia explica como configurar a Edge Network Firewall para os seus serviços.
Encontrará mais informações sobre a nossa solução Anti-DDoS no nosso website.
| Infraestrutura anti-DDoS e proteção DDoS Game na OVHcloud |
|---|
 |
Requisitos
- Um serviço OVHcloud exposto num endereço IP público dedicado (Servidor dedicado, VPS, Instância Public Cloud, Hosted Private Cloud, Additional IP, etc.)
- Acesso à Área de Cliente OVHcloud
Esta funcionalidade poderá estar indisponível ou limitada nos servidores da linha de produto Eco.
Visite a nossa página de comparação para mais informações.
A Edge Firewall Network não suporta o protocolo QUIC.
Instruções
O Edge Network Firewall reduz a exposição a ataques DDoS na rede, permitindo que os utilizadores copiem algumas das regras de firewall do servidor para o limite da rede da OVHcloud. Isto bloqueia os ataques recebidos o mais próximo possível da sua origem, reduzindo o risco de saturação dos recursos do servidor ou das ligações de rack em caso de ataques graves.
Ativação do Edge Network Firewall
Até à data, esta funcionalidade só está disponível para endereços IPv4.
O Edge Network Firewall protege um IP específico associado a um servidor (ou serviço). Assim, se tiver um servidor com vários endereços IP, cada IP deve ser configurado separadamente.
Aceda à Área de Cliente OVHcloud, clique em Network na barra lateral à esquerda e, a seguir, clique em Endereços IP Públicos.
Pode utilizar o menu suspenso em Os meus endereços IP públicos e serviços associados para filtrar os seus serviços por categoria ou digitar diretamente o endereço IP desejado na barra de pesquisa.
Em seguida, clique no botão ⁝ à direita do IPv4 em questão e selecione Configurar a Edge Network Firewall (ou clique no ícone de estado na coluna Edge Firewall).
Será direcionado para a página de configuração da firewall.
Pode configurar até 20 regras por IP.
O Edge Network Firewall é automaticamente ativado quando é detetado um ataque DDoS e não pode ser desativado até que o ataque termine. Consequentemente, todas as regras configuradas na firewall são aplicadas durante o ataque. Esta lógica permite que os nossos clientes transfiram as regras da firewall do servidor para o limite da rede da OVHcloud durante o ataque.
Tenha em conta que deve configurar as suas próprias firewalls locais, mesmo que a Edge Network Firewall tenha sido configurada, uma vez que o seu principal papel é o tratamento do tráfego externo à rede da OVHcloud.
Se configurou algumas regras, recomendamos que as verifique regularmente ou ao alterar o modo de funcionamento dos seus serviços. Como mencionado anteriormente, o Firewall Edge Network será automaticamente ativado em caso de ataque DDoS, mesmo quando desativado nas configurações de IP.
- A fragmentação UDP é bloqueada (DROP) por padrão. Ao ativar o Firewall da rede Edge, se você estiver usando uma VPN, lembre-se de configurar sua Unidade de transmissão máxima (MTU) corretamente. Por exemplo, com OpenVPN, pode selecionar "MTU test".
- O Edge Network Firewall (ENF) integrado nos centros de depuração (VAC) apenas trata o tráfego de rede proveniente de fora da rede da OVHcloud.
Configuração do Firewall Edge Network
Tenha em conta que o Edge Network Firewall da OVHcloud não pode ser utilizado para abrir portas num servidor. Para abrir portas num servidor, tem de passar pela firewall do sistema operativo instalado no servidor.
Para mais informações, consulte os seguintes guias: Configurar a firewall no Windows e Configurar a firewall no Linux com iptables.
Para adicionar uma regra, clique no botão + Adicionar uma regra, no canto superior esquerdo da página.
 |
|---|
Clique em + Adicionar regra. |
Para cada regra (excluindo TCP), deve escolher:
 |
|---|
| • Uma prioridade (de 0 a 19, sendo 0 a primeira regra a ser aplicada, seguida das outras) • Uma ação ( Aceitar ou Negar) • O protocolo • IP fonte (opcional) |
Para cada regra TCP, deve escolher:
 |
|---|
| • Uma prioridade (de 0 a 19, sendo 0 a primeira regra a ser aplicada, seguida das outras) • Uma ação ( Aceitar ou Negar) • O protocolo • IP fonte (opcional) • A porta fonte (opcional) • A porta de destino (opcional) • O estado TCP (opcional) • Fragmentos (opcional) |
Aconselhamos que autorize o protocolo TCP com uma opção established (para os pacotes que fazem parte de uma sessão previamente aberta/iniciada), os pacotes ICMP (para o ping e traceroute) e eventualmente as respostas DNS UDP dos servidores externos (se utilizar servidores DNS externos).
Exemplo de configuração:
- Prioridade 0: Autorizar TCP
established - Prioridade 1: Autorizar UDP, porta source 53
- Prioridade 2: Autorizar ICMP
- Prioridade 19: Recusar o IPv4
As configurações de firewall apenas com regras do modo "Aceitar" não são eficazes. Deve ser fornecida uma instrução quanto ao tráfego que deve ser eliminado pela firewall. Verá um aviso, a menos que seja criada uma regra de "Negar".
Ativar/desativar o firewall:
 |
|---|
| Use o botão de alternância para ativar ou desativar o firewall. |
Após a validação, o firewall será ativado ou desativado.
Note que as regras são desativadas até ao momento em que um ataque é detetado, e depois são ativadas. Esta lógica pode ser utilizada para as regras que estão apenas ativas quando um ataque repetido conhecido está a chegar.
Exemplo de configuração
Para se certificar de que apenas as portas padrão para SSH (22), HTTP (80), HTTPS (443) e UDP (53) são deixadas em aberto aquando da autorização do ICMP, siga as regras abaixo:
As regras são classificadas de 0 (primeira leitura) a 19 (última). A cadeia de regras pára assim que uma regra for aplicada ao pacote.
Por exemplo, um pacote para a porta TCP 80 será intercetado pela regra 2 e as regras a seguir não serão aplicadas. Um pacote para a porta TCP 25 só será capturado pela última regra (19), que o bloqueará porque a firewall não permite a comunicação na porta 25 nas regras anteriores.
A configuração acima é apenas um exemplo e só deve ser utilizada como referência se as regras não se aplicarem aos serviços alojados no seu servidor. É essencial que configure as regras da sua firewall para que correspondam aos serviços alojados no seu servidor. Uma configuração incorreta das regras da sua firewall poderá causar o bloqueio do tráfego legítimo e a inacessibilidade dos serviços do servidor.
Mitigação do ataque - limpeza da atividade do centro
A nossa infraestrutura anti-DDoS (VAC) funciona automaticamente. O processo de mitigação é efetuado através do centro de depuração automático. É aqui que a nossa tecnologia avançada analisa detalhadamente os pacotes e tenta eliminar o tráfego DDoS, permitindo a passagem de tráfego legítimo.
Todos os IPs da OVHcloud sofrem uma mitigação automática. Caso seja detetado algum tráfego malicioso, o centro de depuração é ativado. Este estado é indicado pelo estado "Forçado" para um determinado endereço IP. Neste momento, a Firewall Edge Network também está ativa. A situação volta ao normal quando o ataque é mitigado e não se observa mais nenhuma atividade suspeita.
Dicas
Pode criar regras de firewall apenas com ataques que só se aplicam depois de ser detetado um ataque. Para o fazer, as regras da Firewall de Rede Edge têm de ser criadas e desativadas.
Se a nossa infraestrutura Anti-DDoS mitiga um ataque, as regras Edge Network Firewall serão aplicadas, mesmo que tenha desativado a firewall. Se desativou a sua firewall, não se esqueça de eliminar também as suas regras.
Atenção: a nossa infraestrutura Anti-DDoS não pode ser desativada para um serviço. Todos os produtos da OVHcloud são entregues dentro do âmbito da proteção e isto não pode ser alterado.
Network Security Dashboard
Para obter informações detalhadas sobre os ataques detetados e os resultados da atividade do centro de limpeza, recomendamos que explore o nosso Network Security Dashboard.
Conclusão
Depois de ler este manual, deverá poder configurar a Edge Network Firewall para melhorar a segurança dos seus serviços OVHcloud.
Quer saber mais?
Fale com a nossa comunidade de utilizadores.
Configurar a firewall em Linux com iptables
8884