Was sind Hetzner Cloud Firewalls?
Mit Hetzner Cloud Firewalls können Sie Ihre Server einfach absichern, indem Sie festlegen, welcher Netzwerkverkehr Ihren Server erreichen und welchen Verkehr Ihr Server aussenden darf.
Sind Cloud Firewalls stateful?
Ja, unsere Cloud Firewalls sind stateful und verfolgen einzelne Netzwerkverbindungen und deren Status zu und von Ihrem Server. Wenn Ihr Server eine Anfrage an das öffentliche Netz sendet, wird der Antwortverkehr auf diese Anfrage automatisch durch die Firewall zugelassen, und Sie benötigen keine separate eingehende Regel. Beachten Sie, dass manche, meist ältere Protokolle (z.B. FTP, TFTP, SIP, PPTP) neben den von Ihnen freigegebenen Ports noch weitere zusätzliche Ports nutzen können. Dieser Datenverkehr ist kein Antwortverkehr und wird daher blockiert, wenn die Firewall keine Regel enthält, welche diese zusätzlichen Ports zulässt. Ob tatsächlich zusätzliche Ports benötigt werden und welche dies sind, hängt von der Konfiguration und Verwendung der Protokolle ab. Um Verbindungsprobleme zu vermeiden, sollte daher geprüft werden, ob für den eigenen Anwendungsfall zusätzliche Port-Ranges in der Firewall freigegeben werden müssen.
Wie funktionieren Firewalls?
Mit den Cloud Firewalls können Sie einen Satz von Regeln für den eingehenden und ausgehenden Netzwerkverkehr Ihres Cloud Servers definieren. Für die eingehende Richtung (Netzwerkverkehr zu Ihrem Server): Ihre Regeln definieren den gesamten Verkehr, der den Server erreichen darf. Die eingehende Richtung hat ein implizites "deny" am Ende. Jeglicher Verkehr, der keiner Ihrer Regeln entspricht, wird verworfen und erreicht Ihren Server nicht. Wenn Sie hier keine Regeln definieren, wird der gesamte eingehende Verkehr verworfen.
Für die ausgehende Richtung (Netzwerkverkehr von Ihrem Server ins Internet): Wenn Sie keine Regeln für die ausgehende Richtung definieren, ist jeglicher Verkehr erlaubt. Wenn Sie eine oder mehrere Regeln für die ausgehende Richtung definieren, wechselt die ausgehende Richtung ebenfalls auf implizites "deny", und jeglicher Verkehr, der nicht Ihren Regeln entspricht, wird verworfen.
Was sind die Limitierungen von Firewalls?
- Zuweisung von bis zu 5 aktiven Firewalls pro Server
- Erstellen Sie insgesamt bis zu 50 Firewalls für Ihre Projekte.
- Bis zu 500 (effektive) Regeln pro Firewall
- Bis zu 80000 aktive, gleichzeitige Verbindungen pro Server (10000 neue Verbindungen pro Sekunde)
Gibt es Datenverkehr, der immer erlaubt ist?
Ja, unsere Firewall erlaubt immer den Verkehr von bestimmten Hetzner-Diensten zu Ihrem Server. Dazu gehören derzeit der DNS-Resolver Datenverkehr, der Datenverkehr vom Hetzner Rescue-System und dem Cloud-Metadaten-Server. Die Ports für DHCP müssen ebenfalls nicht explizit in der Firewall freigegeben werden.
Was ist eine effektive Regel?
Die Anzahl der effektiven Regeln Ihrer Firewall hängt davon ab, wie viele verschiedene Quellen oder Ziele Sie für jede Regel angegeben haben. Eine eingehende Regel, die Verkehr an Port 80 für 8 verschiedene Quellen zulässt, zählt als 8 effektive Regeln.
Kann ich Datenverkehr festlegen, der verworfen werden soll?
Nein, Sie legen nur fest, welcher Netzwerkverkehr zu und von Ihrem Server erlaubt ist. Alle anderen Daten werden verworfen.
Kann ich einem Server mehrere Firewalls zuweisen?
Ja. In diesem Fall werden alle Regeln der zugewiesenen Firewalls kombiniert und auf dem Server angewendet.
Spielt die Reihenfolge meiner Regeln eine Rolle?
Nein, die Reihenfolge Ihrer Firewall-Regeln spielt keine Rolle, da unsere Firewalls definieren, welcher Netzwerkverkehr erlaubt ist.
Welche Protokolle werden von den Firewalls unterstützt?
Sie können TCP-, UDP- und ICMP- und GRE-Verkehr filtern. Alle anderen Protokolle (wie z. B. IPIP) werden verworfen, wenn Sie eine Firewall einsetzen. Das GRE-Protokoll unterstützt ausschließlich IPv4. GRE-Verkehr über IPv6 wird verworfen.
Können Firewalls auf meine Hetzner Cloud Load Balancer angewendet werden?
Noch nicht, aber wir planen, diese Funktionalität in Zukunft anzubieten.
Können Firewalls den Verkehr zu meinen privaten Hetzner Cloud Netzwerken sichern?
Noch nicht, denn wir betrachten die privaten Netzwerke als sicher. Wir werden die Möglichkeit private Cloud Netzwerke zu sichern, möglicherweise später hinzufügen.
Werden Sie in Zukunft weitere Funktionen hinzufügen?
Ja, wir planen die Hetzner Cloud Firewalls in Zukunft um weitere Funktionen und Optionen zu erweitern.