Kaspersky SD-WAN

Создание правила межсетевого экрана

Вы можете создать правило межсетевого экрана в шаблоне межсетевого экрана или на устройстве CPE. Правило межсетевого экрана, созданное в шаблоне межсетевого экрана, автоматически создается на всех устройствах CPE, которые используют этот шаблон межсетевого экрана.

Чтобы создать правило межсетевого экрана:

1. Перейдите к созданию правила межсетевого экрана одним из следующих способов:
   • Если вы хотите создать правило межсетевого экрана в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку Правила.
   • Если вы хотите создать правило межсетевого экрана на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → Правила и установите флажок Переопределить.

   Отобразится таблица правил межсетевого экрана.

2. Нажмите на кнопку + Правило.
3. В открывшемся окне в поле Имя введите имя правила межсетевого экрана. Максимальная длина: 255 символов.
4. В раскрывающемся списке Действие выберите действие, которое правило межсетевого экрана выполняет с пакетами трафика:
   • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
   • ADJ-MSS – изменять значение в поле MSS в TCP-заголовке пакетов трафика на указанное значение MSS. При выборе этого значения в поле Величина MSS введите значение MSS. Диапазон значений: от 68 до 10 000.
5. Укажите критерии, согласно которым межсетевой экран применяет правило межсетевого экрана к пакетам трафика:
   1. Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанными IP-адресами или подсетями источника или назначения, в раскрывающемся списке Набор IP выберите созданный набор IP. При выборе значения в этом раскрывающемся списке становятся недоступны блоки IP источника и IP назначения.
   2. Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанной версией IP-адресов или подсетей источника или назначения, в раскрывающемся списке Версия IP выберите одно из следующих значений:
      • IPv4.
      • IPv6.

      Если не выбрать значение, правило межсетевого экрана применяется к пакетам трафика с любой версией IP-адресов или подсетей источника или назначения.

   3. Если вы хотите применять правило межсетевого экрана только к пакетам трафика c указанной зоной межсетевого экрана источника, в раскрывающемся списке Зона источника выберите созданную зону межсетевого экрана.
   4. Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанной зоной межсетевого экрана назначения, в раскрывающемся списке Зона назначения выберите созданную зону межсетевого экрана.
   5. Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанным IPv4-адресом или префиксом источника, в блоке IP источника нажмите на кнопку + Добавить и введите IPv4-адрес или префикс.

      IPv4-адрес или префикс будет указан и отобразится в блоке IP источника. Вы можете указать несколько IPv4-адресов или префиксов и удалить IPv4-адрес или префикс. Для удаления IPv4-адреса или префикса нажмите рядом с ним на значок удаления .

   6. Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанным IPv4-адресом или префиксом назначения, в блоке IP назначения нажмите на кнопку + Добавить и введите IPv4-адрес или префикс.

      IPv4-адрес или префикс будет указан и отобразится в блоке IP назначения. Вы можете указать несколько IPv4-адресов или префиксов и удалить IPv4-адрес или префикс. Для удаления IPv4-адреса или префикса нажмите рядом с ним на значок удаления .

   7. Если вы хотите применять правило межсетевого экрана только к пакетам трафика указанного протокола, в раскрывающемся списке Протокол выберите протокол. При выборе значения в этом раскрывающемся списке становится недоступным раскрывающийся список DPI протокол.

      Если вы выбрали TCP или UDP и хотите применять правило межсетевого экрана только к пакетам трафика с указанными портами источника и/или назначения, выполните следующие действия:

      1. В поле Порт источника введите номер порта источника или диапазон номеров порта источника.
      2. В поле Порт назначения введите номер порта назначения или диапазон номеров порта назначения.

      Диапазон значений: от 0 до 65 535. Формат диапазона номеров портов: <первое значение>-<последнее значение>. Например, вы можете ввести 10 или 10-15.

   8. Если вы хотите применять правило межсетевого экрана только к пакетам трафика указанного приложения, в раскрывающемся списке DPI протокол выберите приложение.

      Трафик приложения определяется с помощью технологии DPI, которая создает дополнительную нагрузку на процессор устройства CPE.

      Вы можете указать марки DPI, на основании которых правило межсетевого экрана применяется к пакетам трафика. Если вы выключили использование технологии DPI при настройке основных параметров межсетевого экрана, правило межсетевого экрана автоматически выключается.

6. Нажмите на кнопку Создать.

   Правило межсетевого экрана будет создано и отобразится в таблице.

7. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

По умолчанию правило межсетевого экрана выключено. Вам нужно включить правило межсетевого экрана, чтобы оно применялось к пакетам трафика.