Tworzenie reguł Firewall
==========================

Utworzona maszyna wirtualna domyślnie podlega domyślnej **regule Firewall, blokującej ruch North-South**. Należy **utworzyć regułę SNAT** (poprzedni punkt) oraz **regułę firewall**, aby umożliwić maszynie wirtualnej dostęp do sieci publicznej.

![pic1](images/28_1_vmw.png)

1. Z poziomu **routera T1** należy przejść do zakładki **Firewall**. Domyślnie dostępna jest **reguła Any <-> Any** z akcją **DROP**.

![pic2](images/28_2_vmw.png)

2. Reguły Firewall tworzone są w oparciu o 2 obiekty:

- **IP Sets** – zakresy IP lub pojedyncze adresy IP, które mogą być używane jako Source lub Destination dla reguły.
- **Static Group** – wskazanie sieci wirtualnej, które pozwala na zaaplikowanie reguły do wszystkich maszyn wirtualnych powiązanych z tą siecią.

Należy przejść do zakładki **Security -> Static Groups** aby utworzyć powiązanie maszyn wirtualnych z wykorzystywaną siecią Routed, wybrać przycisk **NEW**, wpisać nazwę **Static Group** i zatwierdzić przyciskiem **SAVE**.

![pic3](images/29_1_vmw.png)

3. Wybrać utworzoną **Static Group** i wybrać opcję **Manage Members**, aby dodać sieć zawierającą maszyny wirtualne, które mają podlegać regule Firewall.

![pic4](images/29_2_vmw.png)

4. Zaznaczamy **sieć**, z której maszyny mają zostać objęte regułą i wybieramy **SAVE**

![pic5](images/30_1_vmw.png)

5. Wybierając opcję **Associated VMs** możemy podejrzeć, jakie maszyny powiązane są z utworzoną Static Group.

![pic6](images/30_2_vmw.png)

6. W przypadku chęci wykorzystania **IP Set** wybrać opcję **Security -> IP Set** i przycisk **NEW**. Następnie podać **nazwę oraz adres IP** lub zakres lub **CIDR**, które mają być wykorzystywane w tym IP Set, a kolejno w regule Firewall.

![pic7](images/31_1_vmw.png)

7. Po utworzeniu **Static Group** lub **IP Set** przejść do zakładki **Firewall** i wybrać opcję **Edit Rules**. Następnie wybrać w kolejnym oknie opcję **NEW ON TOP**, która utworzy wpis dla nowej reguły Firewall.

![pic8](images/31_2_vmw.png)

8. Wpisać **nazwę reguły** oraz przy pomocy opcji ołówka wybrać:

- **jaki typ ruchu ma być dozwolony** w ramach reguły (Application)

![pic9](images/32_1_vmw.png)

![pic10](images/32_2_vmw.png)

- **źródło** jako utworzoną Static Group

![pic11](images/32_3_vmw.png)

- **cel** jako **Any** dla dostępu do sieci publicznej oraz **typ akcji** na **ALLOW**.

![pic12](images/33_1_vmw.png)

9. Maszyna wirtualna ma już możliwość ruchu **ICMP** do sieci publicznej, np. do 8.8.8.8.

![pic13](images/33_2_vmw.png)

Niestety maszyna nie ma możliwości rozwiązywania nazw w sieci publicznej.

![pic14](images/33_3_vmw.png)

10. Należy edytować wcześniej dodaną regułę **używając przycisk ołówka**.

![pic15](images/33_4_vmw.png)

11. Wybrać **opcję edycji sekcji Applications** dla utworzonej reguły.

![pic16](images/34_1_vmw.png)

12. Wybrać **typ ruchu DNS** i zatwierdzić regułę firewall.

![pic17](images/34_2_vmw.png)

13. Maszyna wirtualna będzie miała możliwość rozwiązywania nazw w oparciu o DNS w sieci publicznej (8.8.8.8).

![pic18](images/34_3_vmw.png)