Kaspersky SD-WAN

Создание зоны межсетевого экрана

Вы можете создать общую зону межсетевого экрана или зону межсетевого экрана на устройстве CPE.

Чтобы создать зону межсетевого экрана:

1. Перейдите к созданию зоны межсетевого экрана одним из следующих способов:
   • Если вы хотите создать общую зону межсетевого экрана, в меню перейдите в раздел SD-WAN → Зоны межсетевого экрана и в верхней части страницы нажмите на кнопку + Зона межсетевого экрана.
   • Если вы хотите создать зону межсетевого экрана на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → Зоны, установите флажок Переопределить и нажмите на кнопку + Зона межсетевого экрана.

   Отобразится таблица зон межсетевого экрана.

2. В открывшемся окне в поле Имя введите имя зоны межсетевого экрана. Максимальная длина: 255 символов.
3. В раскрывающемся списке Вход выберите действие, которое межсетевой экран выполняет со входящими пакетами трафика:
   • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
4. В раскрывающемся списке Выход выберите действие, которое межсетевой экран выполняет с исходящими пакетами трафика:
   • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
5. В раскрывающемся списке Передача выберите действие, которое межсетевой экран выполняет с пакетами трафика, пересылаемыми между сетевыми интерфейсами и подсетями:
   • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
6. Если вы хотите включить маскарадинг, чтобы заменять IP-адрес источника исходящих из зоны межсетевого экрана пакетов трафика на IP-адрес, назначенный исходящему (англ. egress) сетевому интерфейсу, выполните следующие действия:
   1. Установите флажок Маскарадинг. По умолчанию флажок снят.
   2. Если вы хотите заменять IP-адрес источника только пакетов трафика с указанной подсетью источника, в блоке Маскарадинг подсетей источника нажмите на кнопку + Добавить и введите IPv4-префикс.

      Подсеть будет указана и отобразится в блоке Маскарадинг подсетей источника. Вы можете указать несколько подсетей и удалить подсеть. Для удаления подсети нажмите рядом с ней на значок удаления .

   3. Если вы хотите заменять IP-адрес источника только пакетов трафика с указанной подсетью назначения, в блоке Маскарадинг подсетей назначения нажмите на кнопку + Добавить и введите IPv4-префикс.

      Подсеть будет указана и отобразится в блоке Маскарадинг подсетей назначения. Вы можете указать несколько подсетей и удалить подсеть. Для удаления подсети нажмите рядом с ней на значок удаления .

7. Если вы не хотите, чтобы межсетевой экран ограничивал значение MSS (Maximum Segment Size) передающихся через зону межсетевого экрана пакетов трафика до значения PMTU (Path Maximum Transmission Unit), после чего отнимал от него значение 40, снимите флажок Ограничивать MSS до PMTU. Значение 40 отнимается для исключения размера TCP-заголовка. По умолчанию флажок установлен.
8. Если вы хотите, чтобы межсетевой экран вел журнал отброшенных в зоне межсетевого экрана пакетов трафика, установите флажок Журналировать drop-ы. Если созданные на устройстве CPE журналы отправляются на Syslog-сервер, вы можете просмотреть журналы на этом сервере. Если созданные на устройстве CPE журналы хранятся локально, вы можете просмотреть журналы, запросив диагностическую информацию. По умолчанию флажок снят.
9. Если сетевые интерфейсы подключены к коммутаторам или маршрутизаторам L3, и вы хотите передавать через зону межсетевого экрана пакеты трафика из подсетей этих коммутаторов или маршрутизаторов L3, добавьте в зону межсетевого экрана подсеть. Для этого в блоке Сети нажмите на кнопку + Добавить и введите IPv4-префикс подсети.

   Подсеть будет добавлена и отобразится в блоке Сети. Вы можете добавить несколько подсетей и удалить подсеть. Для удаления подсети нажмите рядом с ней на значок удаления .

10. Нажмите на кнопку Создать.

    Зона межсетевого экрана будет создана и отобразится в таблице.

11. Если вы создали зону межсетевого экрана на устройстве CPE, в верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры устройства CPE.

Вам нужно добавить в созданную зону межсетевого экрана сетевые интерфейсы. Это можно сделать при создании или изменении сетевого интерфейса. Если вы создали зону межсетевого экрана на устройстве CPE, вы можете добавить в зону межсетевого экрана только созданные на этом устройстве CPE сетевые интерфейсы.