Управление межсетевым экраном
Kaspersky SD-WAN поддерживает межсетевой экран (англ. firewall) для фильтрации пакетов трафика на устройстве CPE. Межсетевой экран может принимать (англ. accept), отбрасывать (англ. drop) и отклонять (англ. reject) пакеты трафика. При отклонении пакета трафика его отправитель получает сообщение icmp-reject. Каждое из действий межсетевой экран может применять ко входящим и исходящим пакетам трафика, а также к пакетам трафика, пересылаемыми между сетевыми интерфейсами и подсетями устройств CPE. При настройке основных параметров межсетевого экрана требуется указать действия по умолчанию, которые межсетевой экран выполняет с пакетами трафика.
Вам нужно указать параметры межсетевого экрана в шаблоне межсетевого экрана, после чего указать его при добавлении или ручной регистрации устройств CPE, чтобы не настраивать каждое отдельное устройство CPE. Если вы изменяете параметр в шаблоне межсетевого экрана, параметр автоматически изменяется на всех использующих шаблон межсетевого экрана устройствах CPE. Если вы изменяете параметр на устройстве CPE, этот параметр перестает зависеть от шаблона межсетевого экрана. При изменении в шаблоне межсетевого экрана такой параметр не изменяется на устройстве CPE.
Зоны межсетевого экрана
Вы можете добавить сетевые интерфейсы и подсети в зону межсетевого экрана (англ. firewall zone, далее также зона), чтобы принимать, отбрасывать или отклонять пакеты трафика, передающиеся через эти сетевые интерфейсы и подсети. Когда вы создаете или изменяете зону межсетевого экрана, вам нужно указать действия, которые выполняются с пакетами трафика, а также при необходимости добавить подсети. Вы можете добавить сетевые интерфейсы в зону межсетевого экрана при создании или изменении сетевых интерфейсов.
Если вы хотите разрешить передачу пакетов трафика из одной зоны межсетевого экрана в другую, вы можете создать передачу (англ. forwarding). При создании передачи требуется указать исходящую и входящую зоны межсетевого экрана.
Поддерживается создание общих зон межсетевого экрана, которые могут использовать несколько устройств CPE, а также зон межсетевого экрана на отдельном устройстве CPE.
Вы не можете изменить общую зону межсетевого экрана, так как она может использоваться большим количеством шаблонов CPE и устройств CPE, и изменение такой зоны межсетевого экрана привело бы к массовому обновлению всех использующих ее шаблонов CPE и устройств CPE и перегрузке оркестратора. Если вы хотите изменить общую зону межсетевого экрана, вам нужно создать новую общую зону межесетевого экрана. В созданную общую зону межсетевого экрана необходимо добавить сетевые интерфейсы и подсети, которые были добавлены в предыдущую общую зону межсетевого экрана.
Правила межсетевого экрана
Вы можете создавать правила межсетевого экрана, чтобы принимать, отбрасывать или отклонять пакеты трафика на основании указанных критериев. Например, вы можете создать правило межсетевого экрана, которое отклоняет пакеты трафика с указанной зоной межсетевого экрана источника.
Если вы хотите указать в параметрах нескольких правил межсетевого экрана одинаковые IP-адреса или подсети, вам нужно создать набор IP (англ. IP set). При создании набора IP требуется указать, относятся ли IP-адреса или подсети к источнику или назначению. Созданный набор IP можно указывать в параметрах правил межсетевого экрана.
Когда пакет трафика передается на устройство CPE, с пакетом трафика выполняется действие, указанное в параметрах одного из правил межсетевого экрана. Если ни одно из правил межсетевого экрана не может быть применено, с пакетом трафика выполняется действие, указанное в параметрах зоны межсетевого экрана, в которую пакет трафика был передан. Если пакет трафика не был передан ни в одну из зон межсетевого экрана, с пакетом трафика выполняется действие по умолчанию, которое вы указали при настройке основных параметров межсетевого экрана.
Трансляция сетевых адресов
Межсетевой экран поддерживает следующие механизмы трансляции сетевых адресов (англ. network address translation, NAT):
- DNAT-правила – могут заменять следующие элементы пакетов трафика указанными значениями:
- IP-адреса или префиксы назначения;
- зоны межсетевого экрана назначения;
- порты назначения (Port Address Translation, PAT).
- SNAT-правила – могут заменять IP-адреса или префиксы источника пакетов трафика указанными значениями.
DNAT-правила и SNAT-правила применяются к пакетам трафика на основании указанных критериев. Например, вы можете создать DNAT-правило, которое заменяет IP-адрес назначения пакетов трафика протокола TCP.