Для кого: администратор и SRE.
Требуемые права: администратор панели.
Каталог опасных портов
В панели есть фиксированный каталог опасных портов, разбитый по категориям. Для каждой категории задано действие по умолчанию и признак того, можно ли её реально применить (enforceable). Каждая категория сопровождается пояснением, почему блокировка безопасна или, наоборот, почему её делать не следует.| Категория | Действие по умолчанию |
|---|---|
| Исходящий SMTP (почтовый спам-релей) | Блокировать / отклонять |
| Усиление UDP-атак (amplification) | Отбрасывать |
| Удалённое администрирование (SSH/RDP/VNC) | Только обнаружение |
| Сканирование баз данных | Только обнаружение |
| Порты IoT-сканирования | Только обнаружение |
| Майнинг / proxyware | Только обнаружение |
Служебные порты, критичные для работы (в частности, DNS и NTP), сознательно не блокируются — вместо этого за аномалиями по ним следит детектор. Это исключает случайную поломку резолвинга времени и имён.
Контроль исходящего трафика (Egress Guard)
Egress Guard применяет политику опасных портов на нодах. Важнейший принцип — «сохранено» ≠ «применено»: сохранение желаемой политики не означает, что она уже действует на ноде. Защита считается применённой только когда агент ноды подтвердил соответствующее состояние. Порядок работы, статусы и откат подробно описаны в разделе Egress Guard.Firewall и профили безопасности
Состояние firewall дополнительно покрывается модулями профилей безопасности: базовый firewall, разрешение необходимых портов, блокировка опасных портов, резервная копия правил и откат правил при потере соединения. Соответствие фактического состояния firewall профилю проверяется оценкой соответствия ноды. Подробнее — Аудит и соответствие.Проверка
Откат
- Снять блокировку egress: измените политику на прежнюю и повторно примените (
reconcile) — см. Egress Guard. - Изменения firewall через профили безопасности откатываются переназначением прежнего профиля ноде.
Проверено для версии Axottle текущей ветки. Дата проверки: 2026-07-11.
