Was sind Hetzner Cloud Firewalls?
Mit Hetzner Cloud Firewalls kannst du deine Server einfach absichern, indem du festlegst, welcher Netzwerkverkehr deinen Server erreichen und welchen Verkehr dein Server aussenden darf.
Sind Cloud Firewalls stateful?
Ja, unsere Cloud Firewalls sind stateful und verfolgen einzelne Netzwerkverbindungen und deren Status zu und von deinem Server. Wenn dein Server eine Anfrage an das öffentliche Netz sendet, wird der Antwortverkehr auf diese Anfrage automatisch durch die Firewall zugelassen, und du benötigst keine separate eingehende Regel. Beachte, dass manche, meist ältere Protokolle (z.B. FTP, TFTP, SIP, PPTP) neben den von dir freigegebenen Ports noch weitere zusätzliche Ports nutzen können. Dieser Datenverkehr ist kein Antwortverkehr und wird daher blockiert, wenn die Firewall keine Regel enthält, welche diese zusätzlichen Ports zulässt. Ob tatsächlich zusätzliche Ports benötigt werden und welche dies sind, hängt von der Konfiguration und Verwendung der Protokolle ab. Um Verbindungsprobleme zu vermeiden, sollte daher geprüft werden, ob für den eigenen Anwendungsfall zusätzliche Port-Ranges in der Firewall freigegeben werden müssen.
Wie funktionieren Firewalls?
Mit den Cloud Firewalls kannst du einen Satz von Regeln für den eingehenden und ausgehenden Netzwerkverkehr deines Cloud Servers definieren. Für die eingehende Richtung (Netzwerkverkehr zu deinem Server): Deine Regeln definieren den gesamten Verkehr, der den Server erreichen darf. Die eingehende Richtung hat ein implizites "deny" am Ende. Jeglicher Verkehr, der keiner deiner Regeln entspricht, wird verworfen und erreicht deinen Server nicht. Wenn du hier keine Regeln definierst, wird der gesamte eingehende Verkehr verworfen.
Für die ausgehende Richtung (Netzwerkverkehr von deinem Server ins Internet): Wenn du keine Regeln für die ausgehende Richtung definierst, ist jeglicher Verkehr erlaubt. Wenn du eine oder mehrere Regeln für die ausgehende Richtung definierst, wechselt die ausgehende Richtung ebenfalls auf implizites "deny", und jeglicher Verkehr, der nicht deinen Regeln entspricht, wird verworfen.
Was sind die Limitierungen von Firewalls?
- Zuweisung von bis zu 5 aktiven Firewalls pro Server
- Erstelle insgesamt bis zu 50 Firewalls für deine Projekte.
- Bis zu 500 (effektive) Regeln pro Firewall
- Bis zu 80000 aktive, gleichzeitige Verbindungen pro Server (10000 neue Verbindungen pro Sekunde)
Gibt es Datenverkehr, der immer erlaubt ist?
Ja, unsere Firewall erlaubt immer den Verkehr von bestimmten Hetzner-Diensten zu deinem Server. Dazu gehören derzeit der DNS-Resolver Datenverkehr, der Datenverkehr vom Hetzner Rescue-System und dem Cloud-Metadaten-Server. Die Ports für DHCP müssen ebenfalls nicht explizit in der Firewall freigegeben werden.
Was ist eine effektive Regel?
Die Anzahl der effektiven Regeln deiner Firewall hängt davon ab, wie viele verschiedene Quellen oder Ziele du für jede Regel angegeben hast. Eine eingehende Regel, die Verkehr an Port 80 für 8 verschiedene Quellen zulässt, zählt als 8 effektive Regeln.
Werden neue Firewall-Regeln auch auf bestehende Verbindungen angewendet?
Wenn du deine Firewall-Einstellungen anpasst, um eingehenden oder ausgehenden Datenverkehr zu blockieren, werden die neuen Einstellungen ausschließlich auf neue Verbindungsversuche angewendet. Bereits bestehende Verbindungen, die vor den Änderungen der Firewall hergestellt wurden, bleiben weiterhin aktiv. Sobald eine bestehende Verbindung beendet wird, werden jedoch alle neuen Verbindungsversuche blockiert.
Kann ich Datenverkehr festlegen, der verworfen werden soll?
Nein, du legst nur fest, welcher Netzwerkverkehr zu und von deinem Server erlaubt ist. Alle anderen Daten werden verworfen.
Kann ich einem Server mehrere Firewalls zuweisen?
Ja. In diesem Fall werden alle Regeln der zugewiesenen Firewalls kombiniert und auf dem Server angewendet.
Spielt die Reihenfolge meiner Regeln eine Rolle?
Nein, die Reihenfolge deiner Firewall-Regeln spielt keine Rolle, da unsere Firewalls definieren, welcher Netzwerkverkehr erlaubt ist.
Welche Protokolle werden von den Firewalls unterstützt?
Du kannst TCP-, UDP- und ICMP- und GRE-Verkehr filtern. Alle anderen Protokolle (wie z. B. IPIP) werden verworfen, wenn du eine Firewall einsetzt. Das GRE-Protokoll unterstützt ausschließlich IPv4. GRE-Verkehr über IPv6 wird verworfen.
Können Firewalls auf meine Hetzner Cloud Load Balancer angewendet werden?
Noch nicht, aber wir planen, diese Funktionalität in Zukunft anzubieten.
Können Firewalls den Verkehr zu meinen privaten Hetzner Cloud Netzwerken sichern?
Noch nicht, denn wir betrachten die privaten Netzwerke als sicher. Wir werden die Möglichkeit private Cloud Netzwerke zu sichern, möglicherweise später hinzufügen.
Werdet ihr in Zukunft weitere Funktionen hinzufügen?
Ja, wir planen die Hetzner Cloud Firewalls in Zukunft um weitere Funktionen und Optionen zu erweitern.
Wie wende ich die Firewall auf Server an?
Du kannst die Firewall entweder auf einzelne Server anwenden oder auf alle Server, die ein bestimmtes Label besitzen.
Um die Firewall anzuwenden:
-
Navigier zu deiner Firewall
-
Wähle in der oberen Menüleiste
Ressourcenaus -
Klicke auf
Anwenden aufund wähle eine der OptionenOption Beschreibung Server Wähle einen Server aus, auf den die Firewall angewendet werden soll. Label Gib ein Label ein. In der Vorschau werden alle Server gelistet, die dieses Label besitzen. Die Firewall wird automatisch auf diese Server angewendet. Wenn du die Label von deinen Servern änderst, passt die Firewall automatisch die Ressourcen an, auf die sie angewendet ist.