Управление межсетевым экраном

Kaspersky SD-WAN поддерживает межсетевой экран (англ. firewall) для фильтрации пакетов трафика на устройстве CPE. Межсетевой экран может принимать (англ. accept), отбрасывать (англ. drop) и отклонять (англ. reject) пакеты трафика. При отклонении пакета трафика его отправитель получает сообщение icmp-reject. Каждое из действий межсетевой экран может применять ко входящим и исходящим пакетам трафика, а также к пакетам трафика, пересылаемыми между сетевыми интерфейсами и подсетями устройств CPE. При настройке основных параметров межсетевого экрана требуется указать действия по умолчанию, которые межсетевой экран выполняет с пакетами трафика.

Вам нужно указать параметры межсетевого экрана в шаблоне межсетевого экрана, после чего указать его при добавлении или ручной регистрации устройств CPE, чтобы не настраивать каждое отдельное устройство CPE. Если вы изменяете параметр в шаблоне межсетевого экрана, параметр автоматически изменяется на всех использующих шаблон межсетевого экрана устройствах CPE. Если вы изменяете параметр на устройстве CPE, этот параметр перестает зависеть от шаблона межсетевого экрана. При изменении в шаблоне межсетевого экрана такой параметр не изменяется на устройстве CPE.

Зоны межсетевого экрана

Вы можете добавить сетевые интерфейсы и подсети в зону межсетевого экрана (англ. firewall zone, далее также зона), чтобы принимать, отбрасывать или отклонять пакеты трафика, передающиеся через эти сетевые интерфейсы и подсети. Когда вы создаете или изменяете зону межсетевого экрана, вам нужно указать действия, которые выполняются с пакетами трафика, а также при необходимости добавить подсети. Вы можете добавить сетевые интерфейсы в зону межсетевого экрана при создании или изменении сетевых интерфейсов.

Если вы хотите разрешить передачу пакетов трафика из одной зоны межсетевого экрана в другую, вы можете создать передачу (англ. forwarding). При создании передачи требуется указать исходящую и входящую зоны межсетевого экрана.

Поддерживается создание общих зон межсетевого экрана, которые могут использовать несколько устройств CPE, а также зон межсетевого экрана на отдельном устройстве CPE.

Вы не можете изменить общую зону межсетевого экрана, так как она может использоваться большим количеством шаблонов CPE и устройств CPE, и изменение такой зоны межсетевого экрана привело бы к массовому обновлению всех использующих ее шаблонов CPE и устройств CPE и перегрузке оркестратора. Если вы хотите изменить общую зону межсетевого экрана, вам нужно создать новую общую зону межесетевого экрана. В созданную общую зону межсетевого экрана необходимо добавить сетевые интерфейсы и подсети, которые были добавлены в предыдущую общую зону межсетевого экрана.

Правила межсетевого экрана

Вы можете создавать правила межсетевого экрана, чтобы принимать, отбрасывать или отклонять пакеты трафика на основании указанных критериев. Например, вы можете создать правило межсетевого экрана, которое отклоняет пакеты трафика с указанной зоной межсетевого экрана источника.

Если вы хотите указать в параметрах нескольких правил межсетевого экрана одинаковые IP-адреса или подсети, вам нужно создать набор IP (англ. IP set). При создании набора IP требуется указать, относятся ли IP-адреса или подсети к источнику или назначению. Созданный набор IP можно указывать в параметрах правил межсетевого экрана.

Когда пакет трафика передается на устройство CPE, с пакетом трафика выполняется действие, указанное в параметрах одного из правил межсетевого экрана. Если ни одно из правил межсетевого экрана не может быть применено, с пакетом трафика выполняется действие, указанное в параметрах зоны межсетевого экрана, в которую пакет трафика был передан. Если пакет трафика не был передан ни в одну из зон межсетевого экрана, с пакетом трафика выполняется действие по умолчанию, которое вы указали при настройке основных параметров межсетевого экрана.

Трансляция сетевых адресов

Межсетевой экран поддерживает следующие механизмы трансляции сетевых адресов (англ. network address translation, NAT):

• DNAT-правила – могут заменять следующие элементы пакетов трафика указанными значениями:
  • IP-адреса или префиксы назначения;
  • зоны межсетевого экрана назначения;
  • порты назначения (Port Address Translation, PAT).
• SNAT-правила – могут заменять IP-адреса или префиксы источника пакетов трафика указанными значениями.

DNAT-правила и SNAT-правила применяются к пакетам трафика на основании указанных критериев. Например, вы можете создать DNAT-правило, которое заменяет IP-адрес назначения пакетов трафика протокола TCP.

Работа с зонами межсетевого экрана

Вы можете просмотреть таблицу общих зон межсетевого экрана или таблицу зон межсетевого экрана на устройстве CPE:

• Для отображения таблицы общих зон межсетевого экрана вам нужно в меню перейти в раздел SD-WAN → Зоны межсетевого экрана.
• Для отображения таблицы зон межсетевого экрана на устройстве CPE вам нужно в меню перейти в раздел SD-WAN → Устройства CPE, нажать на устройство CPE и выбрать вкладку Параметры межсетевого экрана → Зоны.

По умолчанию созданы следующие зоны межсетевого экрана:

• wan (WAN-зона межсетевого экрана) – зона межсетевого экрана для сетевых интерфейсов, которые подключены к WAN, например к интернету или сети оператора связи. В параметрах WAN-зоны межсетевого экрана включен маскарадинг, чтобы заменять IP-адрес источника исходящих из зоны межсетевого экрана пакетов трафика на IP-адрес, назначенный исходящему (англ. egress) сетевому интерфейсу.
• lan (LAN-зона межсетевого экрана) – зона межсетевого экрана для сетевых интерфейсов, которые подключены к LAN.
• mgmt (управляющая зона межсетевого экрана) – зона межсетевого экрана для сетевого интерфейса, который используется для пассивного мониторинга устройства CPE системой мониторинга Zabbix, а также для подключения оркестратора к устройству CPE по протоколу SSH.

Вы не можете удалить зоны межсетевого экрана по умолчанию или создать зоны межсетевого экрана с такими же именами.

Когда вы обновляете Kaspersky SD-WAN с версии 2.1 до 2.2, в параметрах всех шаблонов CPE происходят следующие изменения:

• в WAN-зону межсетевого экрана автоматически добавляются сетевые интерфейсы sdwan<0–4>;
• в LAN-зону межсетевого экрана автоматически добавляются сетевые интерфейсы lan, br-lan и overlay.

Информация об общих зонах межсетевого экрана отображается в следующих столбцах таблицы:

• Имя – имя зоны межсетевого экрана.
• Использование – зона межсетевого экрана используется шаблонами межсетевого экрана, шаблонами CPE и/или устройствами CPE:
  • Да.
  • Нет.
• Author – имя пользователя, который создал зону межсетевого экрана.
• Создан – дата и время создания зоны межсетевого экрана.

Действия, которые вы можете выполнить с таблицей, описаны в инструкции Работа с таблицами компонентов решения.

Информация о зонах межсетевого экрана на устройстве CPE отображается в следующих столбцах таблицы:

• Имя – имя зоны межсетевого экрана.
• Параметры – действия, которые межсетевой экран выполняет с пакетами трафика.
• Интерфейсы/Сети – сетевые интерфейсы и подсети, которые были добавлены в зону межсетевого экрана.

Создание зоны межсетевого экрана

Вы можете создать общую зону межсетевого экрана или зону межсетевого экрана на устройстве CPE.

Чтобы создать зону межсетевого экрана:

1. Перейдите к созданию зоны межсетевого экрана одним из следующих способов:
   • Если вы хотите создать общую зону межсетевого экрана, в меню перейдите в раздел SD-WAN → Зоны межсетевого экрана и в верхней части страницы нажмите на кнопку + Зона межсетевого экрана.
   • Если вы хотите создать зону межсетевого экрана на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → Зоны, установите флажок Переопределить и нажмите на кнопку + Зона межсетевого экрана.

   Отобразится таблица зон межсетевого экрана.

2. В открывшемся окне в поле Имя введите имя зоны межсетевого экрана. Максимальная длина: 255 символов.
3. В раскрывающемся списке Вход выберите действие, которое межсетевой экран выполняет со входящими пакетами трафика:
   • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
4. В раскрывающемся списке Выход выберите действие, которое межсетевой экран выполняет с исходящими пакетами трафика:
   • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
5. В раскрывающемся списке Передача выберите действие, которое межсетевой экран выполняет с пакетами трафика, пересылаемыми между сетевыми интерфейсами и подсетями:
   • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
6. Если вы хотите включить маскарадинг, чтобы заменять IP-адрес источника исходящих из зоны межсетевого экрана пакетов трафика на IP-адрес, назначенный исходящему (англ. egress) сетевому интерфейсу, выполните следующие действия:
   1. Установите флажок Маскарадинг. По умолчанию флажок снят.
   2. Если вы хотите заменять IP-адрес источника только пакетов трафика с указанной подсетью источника, в блоке Маскарадинг подсетей источника нажмите на кнопку + Добавить и введите IPv4-префикс.

      Подсеть будет указана и отобразится в блоке Маскарадинг подсетей источника. Вы можете указать несколько подсетей и удалить подсеть. Для удаления подсети нажмите рядом с ней на значок удаления .

   3. Если вы хотите заменять IP-адрес источника только пакетов трафика с указанной подсетью назначения, в блоке Маскарадинг подсетей назначения нажмите на кнопку + Добавить и введите IPv4-префикс.

      Подсеть будет указана и отобразится в блоке Маскарадинг подсетей назначения. Вы можете указать несколько подсетей и удалить подсеть. Для удаления подсети нажмите рядом с ней на значок удаления .

7. Если вы не хотите, чтобы межсетевой экран ограничивал значение MSS (Maximum Segment Size) передающихся через зону межсетевого экрана пакетов трафика до значения PMTU (Path Maximum Transmission Unit), после чего отнимал от него значение 40, снимите флажок Ограничивать MSS до PMTU. Значение 40 отнимается для исключения размера TCP-заголовка. По умолчанию флажок установлен.
8. Если вы хотите, чтобы межсетевой экран вел журнал отброшенных в зоне межсетевого экрана пакетов трафика, установите флажок Журналировать drop-ы. Если созданные на устройстве CPE журналы отправляются на Syslog-сервер, вы можете просмотреть журналы на этом сервере. Если созданные на устройстве CPE журналы хранятся локально, вы можете просмотреть журналы, запросив диагностическую информацию. По умолчанию флажок снят.
9. Если сетевые интерфейсы подключены к коммутаторам или маршрутизаторам L3, и вы хотите передавать через зону межсетевого экрана пакеты трафика из подсетей этих коммутаторов или маршрутизаторов L3, добавьте в зону межсетевого экрана подсеть. Для этого в блоке Сети нажмите на кнопку + Добавить и введите IPv4-префикс подсети.

   Подсеть будет добавлена и отобразится в блоке Сети. Вы можете добавить несколько подсетей и удалить подсеть. Для удаления подсети нажмите рядом с ней на значок удаления .

10. Нажмите на кнопку Создать.

    Зона межсетевого экрана будет создана и отобразится в таблице.

11. Если вы создали зону межсетевого экрана на устройстве CPE, в верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры устройства CPE.

Вам нужно добавить в созданную зону межсетевого экрана сетевые интерфейсы. Это можно сделать при создании или изменении сетевого интерфейса. Если вы создали зону межсетевого экрана на устройстве CPE, вы можете добавить в зону межсетевого экрана только созданные на этом устройстве CPE сетевые интерфейсы.

Изменение имени общей зоны межсетевого экрана

Вы можете изменить имя созданной общей зоны межсетевого экрана. Изменение имени зоны межсетевого экрана на устройстве CPE, описано в инструкции по изменению зоны межсетевого экрана на устройстве CPE.

Чтобы изменить имя общей зоны межсетевого экрана:

1. В меню перейдите в раздел SD-WAN → Зоны межсетевого экрана.

   Отобразится таблица общих зон межсетевого экрана.

2. Нажмите на общую зону межсетевого экрана, имя которой вы хотите изменить.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания .

3. В верхней части области настройки в блоке Действия нажмите на кнопку Переименовать зону.
4. В открывшемся окне измените имя общей зоны межсетевого экрана.
5. Нажмите на кнопку Переименовать.

Имя общей зоны межсетевого экрана будет изменено и обновится в таблице.

Клонирование общей зоны межсетевого экрана

Вы можете клонировать созданную общую зону межсетевого экрана, чтобы создать такую же общую зону межсетевого экрана с другим именем. Клонирование зоны межсетевого экрана на устройстве CPE не поддерживается.

Чтобы клонировать общую зону межсетевого экрана:

1. В меню перейдите в раздел SD-WAN → Зоны межсетевого экрана.

   Отобразится таблица общих зон межсетевого экрана.

2. Нажмите на общую зону межсетевого экрана, которую вы хотите клонировать.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания .

3. В верхней части области настройки в блоке Действия нажмите на кнопку Клонировать.
4. В открывшемся окне введите имя новой общей зоны межсетевого экрана.
5. Нажмите на кнопку Клонировать.

Копия общей зоны межсетевого экрана с новым именем будет создана и отобразится в таблице.

Просмотр использования общей зоны межсетевого экрана

Вы можете просмотреть, какие шаблоны межсетевого экрана, а также шаблоны CPE и устройства CPE используют созданную общую зону межсетевого экрана. Если общая зона межсетевого экрана используется, ее невозможно удалить.

Чтобы просмотреть использование общей зоны межсетевого экрана:

1. В меню перейдите в раздел SD-WAN → Зоны межсетевого экрана.

   Отобразится таблица общих зон межсетевого экрана.

2. Нажмите на общую зону межсетевого экрана, использование которой вы хотите просмотреть.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания .

3. В верхней части области настройки в блоке Действия нажмите на кнопку Показать использование.

Откроется окно с таблицей шаблонов межсетевого экрана, шаблонов CPE и устройств CPE, использующих общую зону межсетевого экрана.

Изменение зоны межсетевого экрана на устройстве CPE

Вы можете изменить зону межсетевого экрана на устройстве CPE. Вы не можете изменить общую зону межсетевого экрана, так как она может использоваться большим количеством шаблонов CPE и устройств CPE, и изменение такой зоны межсетевого экрана привело бы к массовому обновлению всех использующих ее шаблонов CPE и устройств CPE и перегрузке оркестратора. Если вы хотите изменить общую зону межсетевого экрана, вам нужно создать новую общую зону межесетевого экрана. В созданную общую зону межсетевого экрана необходимо добавить сетевые интерфейсы и подсети, которые были добавлены в предыдущую общую зону межсетевого экрана.

Чтобы изменить зону межсетевого экрана на устройстве CPE:

1. В меню перейдите в раздел SD-WAN → Устройства CPE.

   Отобразится таблица устройств CPE.

2. Нажмите на устройство CPE, на котором вы хотите изменить зону межсетевого экрана.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания . По умолчанию выбрана вкладка Конфигурация, на которой отображается основная информация об устройстве CPE. На этой вкладке также отображается таблица выполняемых оркестратором задач Внеполосное управление.

3. Выберите вкладку Параметры межсетевого экрана → Зоны.

   Отобразится таблица зон межсетевого экрана.

4. Установите флажок Переопределить.
5. Нажмите на кнопку Изменить рядом с зоной межсетевого экрана, которую вы хотите изменить.
6. В открывшемся окне при необходимости измените параметры зоны межсетевого экрана. Описание параметров см. в инструкции по созданию зоны межсетевого экрана.
7. Нажмите на кнопку Сохранить.

   Зона межсетевого экрана будет изменена и обновится в таблице.

8. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры устройства CPE.

Удаление зоны межсетевого экрана

Вы можете удалить общую зону межсетевого экрана или зону межсетевого экрана на устройстве CPE.

Удаленные зоны межсетевого экрана невозможно восстановить.

Удаление общей зоны межсетевого экрана

Вы не можете удалить общую зону межсетевого экрана, если она используется хотя бы одним шаблоном межсетевого экрана, шаблоном CPE или устройством CPE. Вам нужно просмотреть использование общей зоны межсетевого экрана и убедиться, что она не используется.

Чтобы удалить общую зону межсетевого экрана:

1. В меню перейдите в раздел SD-WAN → Зоны межсетевого экрана.

   Отобразится таблица общих зон межсетевого экрана.

2. Нажмите на общую зону межсетевого экрана, которую вы хотите удалить.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания .

3. В верхней части области настройки в блоке Действия нажмите на кнопку Удалить.
4. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Общая зона межсетевого экрана будет удалена и перестанет отображаться в таблице.

Удаление зоны межсетевого экрана на устройстве CPE

Чтобы удалить зону межсетевого экрана на устройстве CPE:

1. В меню перейдите в раздел SD-WAN → Устройства CPE.

   Отобразится таблица устройств CPE.

2. Нажмите на устройство CPE, на котором вы хотите удалить зону межсетевого экрана.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания . По умолчанию выбрана вкладка Конфигурация, на которой отображается основная информация об устройстве CPE. На этой вкладке также отображается таблица выполняемых оркестратором задач Внеполосное управление.

3. Выберите вкладку Параметры межсетевого экрана → Зоны.

   Отобразится таблица зон межсетевого экрана.

4. Установите флажок Переопределить.
5. Нажмите на кнопку Удалить рядом с зоной межсетевого экрана, которую вы хотите удалить.
6. В открывшемся окне подтверждения нажмите на кнопку Удалить.

   Зона межсетевого экрана будет удалена и перестанет отображаться в таблице.

7. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры устройства CPE.

Работа с передачами

Таблица передач отображается в шаблоне межсетевого экрана и на устройстве CPE:

• Для отображения таблицы передач в шаблоне межсетевого экрана вам нужно в меню перейти в раздел SD-WAN → Шаблоны межсетевого экрана, нажать на шаблон межсетевого экрана и выбрать вкладку Передачи между зонами.
• Для отображения таблицы передач на устройстве CPE вам нужно в меню перейти в раздел SD-WAN → Устройства CPE, нажать на устройство CPE, выбрать вкладку Параметры межсетевого экрана → Передачи между зонами.

Информация о передачах отображается в следующих столбцах таблицы:

• От – исходящая зона межсетевого экрана.
• До – входящая зона межсетевого экрана.

Создание передачи

Вы можете создать передачу в шаблоне межсетевого экрана или на устройстве CPE. Передача, созданная в шаблоне межсетевого экрана, автоматически создается на всех устройствах CPE, которые используют этот шаблон межсетевого экрана.

Чтобы создать передачу:

1. Перейдите к созданию передачи одним из следующих способов:
   • Если вы хотите создать передачу в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку Передачи между зонами.
   • Если вы хотите создать передачу на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → Передачи между зонами и установите флажок Переопределить.

   Отобразится таблица передач.

2. Нажмите на кнопку + Передача.
3. В открывшемся окне в раскрывающемся списке От выберите созданную исходящую зону межсетевого экрана.
4. В раскрывающемся списке До выберите созданную входящую зону межсетевого экрана.
5. Нажмите на кнопку Создать.

   Передача будет создана и отобразится в таблице.

6. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Удаление передачи

Вы можете удалить передачу в шаблоне межсетевого экрана или на устройстве CPE. Передача, удаленная в шаблоне межсетевого экрана, автоматически удаляется на всех устройствах CPE, которые используют этот шаблон межсетевого экрана.

Удаленные передачи невозможно восстановить.

Чтобы удалить передачу:

1. Перейдите к удалению передачи одним из следующих способов:
   • Если вы хотите удалить передачу в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку Передачи между зонами.
   • Если вы хотите удалить передачу на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → Передачи между зонами и установите флажок Переопределить.

   Отобразится таблица передач.

2. Нажмите на кнопку Удалить рядом с передачей, которую вы хотите удалить.
3. В открывшемся окне подтверждения нажмите на кнопку Удалить.

   Передача будет удалена и перестанет отображаться в таблице.

4. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Работа с шаблонами межсетевого экрана

Таблица шаблонов межсетевого экрана отображается в разделе SD-WAN → Шаблоны межсетевого экрана. Один из шаблонов межсетевого экрана является шаблоном по умолчанию – он предварительно выбран при добавлении и ручной регистрации устройства CPE. По умолчанию создан шаблон межсетевого экрана Default firewall template, на основании которого создаются остальные шаблоны межсетевого экрана. Информация о шаблонах межсетевого экрана отображается в следующих столбцах таблицы:

• Имя – имя шаблона межсетевого экрана.
• Использование – шаблон межсетевого экрана используется устройствами CPE:
  • Да.
  • Нет.
• Владелец – имя пользователя, который создал шаблон межсетевого экрана.
• Последнее обновление – дата и время последнего изменения параметров шаблона межсетевого экрана.

Действия, которые вы можете выполнить с таблицей, описаны в инструкции Работа с таблицами компонентов решения.

Параметры шаблона межсетевого экрана отображаются на следующих вкладках:

• Глобальные настройки – основные параметры межсетевого экрана.
• Правила – правила межсетевого экрана.
• NAT – параметры трансляции сетевых адресов. На этой вкладке отображаются следующие вкладки:
  • DNAT – DNAT-правила.
  • SNAT – SNAT-правила.
• Передачи между зонами – передачи между зонами межсетевого экрана.
• Наборы IP – наборы IP.

Создание шаблона межсетевого экрана

Чтобы создать шаблон межсетевого экрана:

1. Перейдите в раздел SD-WAN → Шаблоны межсетевого экрана.

   Отобразится таблица шаблонов межсетевых экранов.

2. В верхней части страницы нажмите на кнопку + Шаблон межсетевого экрана.
3. В открывшемся окне введите имя шаблона межсетевого экрана.
4. Нажмите на кнопку Создать.

Шаблон межсетевого экрана будет создан и отобразится в таблице.

Вам нужно настроить созданный шаблон межсетевого экрана. Описание вкладок шаблона межсетевого экрана см. в разделе Работа с шаблонами межсетевого экрана.

Назначение шаблона межсетевого экрана по умолчанию

Вы можете назначить шаблон межсетевого экрана шаблоном межсетевого экрана по умолчанию, чтобы он был предварительно выбран при добавлении и ручной регистрации устройства CPE.

Чтобы назначить шаблон межсетевого экрана по умолчанию:

1. Перейдите в раздел SD-WAN → Шаблоны межсетевого экрана.

   Отобразится таблица шаблонов межсетевого экрана.

2. Нажмите на шаблон межсетевого экрана, который вы хотите назначить шаблоном межсетевого экрана по умолчанию.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания . По умолчанию будет выбрана вкладка Глобальные настройки, на которой отображаются основные параметры шаблона межсетевого экрана.

3. В верхней части области настройки в блоке Действия нажмите на кнопку Назначить шаблоном по умолчанию.

Шаблон межсетевого экрана будет назначен шаблоном межсетевого экрана по умолчанию.

Экспорт шаблона межсетевого экрана

Вы можете экспортировать шаблон межсетевого экрана, чтобы затем импортировать его в другой шаблон межсетевого экрана.

Чтобы экспортировать шаблон межсетевого экрана:

1. Перейдите в раздел SD-WAN → Шаблоны межсетевого экрана.

   Отобразится таблица шаблонов межсетевого экрана.

2. Нажмите на шаблон межсетевого экрана, который вы хотите экспортировать.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания . По умолчанию будет выбрана вкладка Глобальные настройки, на которой отображаются основные параметры шаблона межсетевого экрана.

3. В верхней части области настройки в блоке Действия нажмите на кнопку Экспортировать.

На ваше локальное устройство сохранится архив в формате TAR.GZ. В архиве не содержится информация об устройствах CPE, использующих шаблон межсетевого экрана.

Импорт шаблона межсетевого экрана

Вы можете экспортировать шаблон межсетевого экрана, после чего импортировать его в другой шаблон межсетевого экрана. Параметры шаблона межсетевого экрана выстраиваются в соответствии с параметрами импортированного шаблона межсетевого экрана. При импорте можно выбрать вкладки, которые вы хотите оставить без изменений. Шаблон межсетевого экрана, в который был импортирован другой шаблон межсетевого экрана, остается примененным к устройствам CPE, но параметры этих устройств CPE не изменяются.

Чтобы импортировать шаблон межсетевого экрана:

1. Перейдите в раздел SD-WAN → Шаблоны межсетевого экрана.

   Отобразится таблица шаблонов межсетевого экрана.

2. Нажмите на шаблон межсетевого экрана, который вы хотите экспортировать.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания . По умолчанию будет выбрана вкладка Глобальные настройки, на которой отображаются основные параметры шаблона межсетевого экрана.

3. В верхней части области настройки в блоке Действия нажмите на кнопку Экспортировать.

   На ваше локальное устройство сохранится архив в формате TAR.GZ. В архиве не содержится информация об устройствах CPE, использующих шаблон межсетевого экрана.

4. Нажмите на шаблон межсетевого экрана, в который вы хотите импортировать шаблон межсетевого экрана.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания . По умолчанию будет выбрана вкладка Глобальные настройки, на которой отображаются основные параметры шаблона межсетевого экрана.

5. В верхней части области настройки в блоке Действия нажмите на кнопку Импортировать.
6. В открывшемся окне снимите флажки рядом с вкладками шаблона межсетевого экрана, которые вы хотите оставить без изменения после импорта.
7. В поле Файл укажите путь к архиву в формате TAR.GZ.
8. Нажмите на кнопку Импортировать.

Параметры шаблона межсетевого экрана будут изменены в соответствии с параметрами импортированного шаблона межсетевого экрана.

Клонирование шаблона межсетевого экрана

Вы можете клонировать шаблон межсетевого экрана, чтобы создать такой же шаблон межсетевого экрана с другим именем.

Чтобы клонировать шаблон межсетевого экрана:

1. Перейдите в раздел SD-WAN → Шаблоны межсетевого экрана.

   Отобразится таблица шаблонов межсетевого экрана.

2. Нажмите на шаблон межсетевого экрана, который вы хотите клонировать.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания . По умолчанию будет выбрана вкладка Глобальные настройки, на которой отображаются основные параметры шаблона межсетевого экрана.

3. В верхней части области настройки в блоке Действия нажмите на кнопку Клонировать.
4. В открывшемся окне введите имя нового шаблона межсетевого экрана.
5. Нажмите на кнопку Клонировать.

Копия шаблона межсетевого экрана с новым именем будет создана и отобразится в таблице.

Просмотр использования шаблона межсетевого экрана

Вы можете просмотреть, какие устройства CPE используют шаблон межсетевого экрана. Если шаблон межсетевого экрана используется, его невозможно удалить.

Чтобы просмотреть использование шаблона межсетевого экрана:

1. Перейдите в раздел SD-WAN → Шаблоны межсетевого экрана.

   Отобразится таблица шаблонов межсетевого экрана.

2. Нажмите на шаблон межсетевого экрана, использование которого вы хотите просмотреть.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания . По умолчанию будет выбрана вкладка Глобальные настройки, на которой отображаются основные параметры шаблона межсетевого экрана.

3. В верхней части области настройки в блоке Действия нажмите на кнопку Показать связанные CPE.

Откроется окно с таблицей устройств CPE, использующих шаблон межсетевого экрана.

Удаление шаблона межсетевого экрана

Вы не можете удалить шаблон межсетевого экрана, если он используется. Вам нужно просмотреть использование шаблона межсетевого экрана и убедиться, что он не используется.

Удаленные шаблоны межсетевого экрана невозможно восстановить.

Чтобы удалить шаблон межсетевого экрана:

1. Перейдите в раздел SD-WAN → Шаблоны межсетевого экрана.

   Отобразится таблица шаблонов межсетевого экрана.

2. Нажмите на шаблон межсетевого экрана, который вы хотите удалить.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания . По умолчанию будет выбрана вкладка Глобальные настройки, на которой отображаются основные параметры шаблона межсетевого экрана.

3. В верхней части области настройки в блоке Действия нажмите на кнопку Удалить.
4. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Шаблон межсетевого экрана будет удален и перестанет отображаться в таблице.

Настройка основных параметров межсетевого экрана

Вы можете настроить основные параметры межсетевого экрана в шаблоне межсетевого экрана или на устройстве CPE. Основные параметры межсетевого экрана, указанные в шаблоне межсетевого экрана, автоматически распространяются на все устройства CPE, которые используют этот шаблон межсетевого экрана.

Межсетевой экран применяет к пакетам трафика действия, указанные в основных параметрах межсетевого экрана. Это происходит, если к пакетам трафика не было применено ни одно из правил межсетевого экрана, и пакеты не были переданы ни в одну из зон межсетевого экрана.

Чтобы настроить основные параметры межсетевого экрана:

1. Перейдите к настройке основных параметров межсетевого экрана одним из следующих способов:
   • Если вы хотите настроить основные параметры межсетевого экрана в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана и нажмите на шаблон межсетевого экрана.
   • Если вы хотите настроить основные параметры межсетевого экрана на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → Глобальные настройки и установите флажок Переопределить.

   Отобразятся основные параметры межсетевого экрана.

2. Если вы хотите выключить защиту от SYN-флуда, снимите флажок Защита от Syn-flood. По умолчанию флажок установлен. Когда защита от SYN-флуда включена, на устройство CPE раз в секунду может передаваться не более 25 пакетов трафика с флагами SYN, ACK, RST и FIN.
3. Если вы хотите, чтобы межсетевой экран отбрасывал входящие на устройство CPE пакеты трафика, отмеченные функцией conntrack как неправильные, установите флажок DROP неправильных пакетов. По умолчанию флажок снят.
4. Если вы хотите выключить использование технологии DPI (Deep Packet Inspection), снимите флажок Включить DPI. По умолчанию флажок установлен. С помощью технологии DPI вы можете создавать правила межсетевого экрана, которые применяются только к пакетам трафика указанного приложения.

   Когда использование технологии DPI выключено, вы не можете настроить маркировку DPI, и правила межсетевого экрана, которые используют технологию DPI, автоматически выключаются.

5. В раскрывающемся списке INPUT-действие по умолчанию выберите действие, которое межсетевой экран выполняет со входящими пакетами трафика:
   • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
6. В раскрывающемся списке OUTPUT-действие по умолчанию выберите действие, которое межсетевой экран выполняет с исходящими пакетами трафика:
   • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
7. В раскрывающемся списке FORWAD-действие по умолчанию выберите действие, которое межсетевой экран выполняет с пакетами трафика, пересылаемыми между сетевыми интерфейсами и подсетями:
   • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
8. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Настройка маркировки DPI

Kaspersky SD-WAN поддерживает создание правил межсетевого экрана, которые применяются только к пакетам трафика указанного приложения. Вы можете указать марки DPI, на основании которых правила межсетевого экрана применяются к пакетам трафика. Вы не можете настроить маркировку DPI, если вы выключили использование технологии DPI при настройке основных параметров межсетевого экрана.

Вы можете настроить маркировку DPI в шаблоне межсетевого экрана или на устройстве CPE. Параметры маркировки DPI, указанные в шаблоне межсетевого экрана, автоматически распространяются на все устройства CPE, которые используют этот шаблон межсетевого экрана.

Чтобы настроить маркировку DPI:

1. Перейдите к настройке маркировки DPI для межсетевого экрана одним из следующих способов:
   • Если вы хотите настроить маркировку DPI в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку Маркировка DPI.
   • Если вы хотите настроить маркировку DPI на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → Маркировка DPI и установите флажок Переопределить.

   Отобразятся параметры маркировки DPI.

2. Установите флажки рядом с марками DPI, на основании которых правила межсетевого экрана применяются к пакетам трафика.
3. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Работа с правилами межсетевого экрана

Таблица правил межсетевого экрана отображается в шаблоне межсетевого экрана и на устройстве CPE:

• Для отображения таблицы правил межсетевого экрана в шаблоне межсетевого экрана вам нужно в меню перейти в раздел SD-WAN → Шаблоны межсетевого экрана, нажать на шаблон межсетевого экрана и выбрать вкладку Правила.
• Для отображения таблицы правил межсетевого экрана на устройстве CPE вам нужно в меню перейти в раздел SD-WAN → Устройства CPE, нажать на устройство CPE и выбрать вкладку Параметры межсетевого экрана → Правила.

По умолчанию созданы следующие правила межсетевого экрана:

• Allow-GENEVE – разрешает устройству CPE получать GENEVE-пакеты из WAN-зоны межсетевого экрана. GENEVE-пакеты являются инкапсулированным трафиком Kaspersky SD-WAN.
• Allow-DHCP-Renew – разрешает устройству CPE получать BOOTP-пакеты из WAN-зоны межсетевого экрана для правильной работы протокола DHCP.
• Allow-IGMP – разрешает устройству CPE получать IGMP-пакеты из WAN-зоны межсетевого экрана для правильной работы протоколов VRRP и multicast.
• Следующие правила межсетевого экрана временно выключены до появления полной поддержки протокола IPv6 в Kaspersky SD-WAN:
  • Allow-DHCPv6 – разрешает устройству CPE получать DHCPv6-пакеты из WAN-зоны межсетевого экрана для правильной работы протокола IPv6.
  • Allow-MLD – разрешает устройству CPE получать MLD-пакеты из WAN-зоны межсетевого экрана для правильной работы протокола IPv6.
  • Allow-ICMPv6-Input – разрешает устройству CPE получать ICMPv6-пакеты из WAN-зоны межсетевого экрана для правильной работы протокола IPv6.
  • Allow-ICMPv6-Forward-From-Wan – разрешает устройству CPE получать ICMPv6-пакеты из WAN-зоны межсетевого экрана, которые пересылаются в LAN-зону межсетевого экрана, для правильной работы протокола IPv6.
  • Allow-ICMPv6-Forward-From-Lan – разрешает устройству CPE получать ICMPv6-пакеты из LAN-зоны межсетевого экрана, которые пересылаются в WAN-зону межсетевого экрана, для правильной работы протокола IPv6.
• Explicit-deny-http(s)-on-wan – запрещает устройству CPE получать пакеты трафика протокола TCP с портами назначения 80 или 443 для предотвращения доступа из WAN-зоны межсетевого экрана к веб-серверу устройства CPE.

Для правильной работы правил межсетевого экрана по умолчанию вам нужно добавить сетевые интерфейсы sd-wan<0–4> в WAN-зону межсетевого экрана. Вы можете добавить сетевые интерфейсы в зону межсетевого экрана при создании или изменении сетевых интерфейсов.

Информация о правилах межсетевого экрана отображается в следующих столбцах таблицы:

• Имя – имя правила межсетевого экрана.
• Детали – критерии, согласно которым межсетевой экран применяет правило к пакетам трафика.
• Действие – действие, которое правило межсетевого экрана выполняет с пакетами трафика.

Создание правила межсетевого экрана

Вы можете создать правило межсетевого экрана в шаблоне межсетевого экрана или на устройстве CPE. Правило межсетевого экрана, созданное в шаблоне межсетевого экрана, автоматически создается на всех устройствах CPE, которые используют этот шаблон межсетевого экрана.

Чтобы создать правило межсетевого экрана:

1. Перейдите к созданию правила межсетевого экрана одним из следующих способов:
   • Если вы хотите создать правило межсетевого экрана в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку Правила.
   • Если вы хотите создать правило межсетевого экрана на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → Правила и установите флажок Переопределить.

   Отобразится таблица правил межсетевого экрана.

2. Нажмите на кнопку + Правило.
3. В открывшемся окне в поле Имя введите имя правила межсетевого экрана. Максимальная длина: 255 символов.
4. В раскрывающемся списке Действие выберите действие, которое правило межсетевого экрана выполняет с пакетами трафика:
   • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
   • ADJ-MSS – изменять значение в поле MSS в TCP-заголовке пакетов трафика на указанное значение MSS. При выборе этого значения в поле Величина MSS введите значение MSS. Диапазон значений: от 68 до 10 000.
5. Укажите критерии, согласно которым межсетевой экран применяет правило межсетевого экрана к пакетам трафика:
   1. Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанными IP-адресами или подсетями источника или назначения, в раскрывающемся списке Набор IP выберите созданный набор IP. При выборе значения в этом раскрывающемся списке становятся недоступны блоки IP источника и IP назначения.
   2. Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанной версией IP-адресов или подсетей источника или назначения, в раскрывающемся списке Версия IP выберите одно из следующих значений:
      • IPv4.
      • IPv6.

      Если не выбрать значение, правило межсетевого экрана применяется к пакетам трафика с любой версией IP-адресов или подсетей источника или назначения.

   3. Если вы хотите применять правило межсетевого экрана только к пакетам трафика c указанной зоной межсетевого экрана источника, в раскрывающемся списке Зона источника выберите созданную зону межсетевого экрана.
   4. Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанной зоной межсетевого экрана назначения, в раскрывающемся списке Зона назначения выберите созданную зону межсетевого экрана.
   5. Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанным IPv4-адресом или префиксом источника, в блоке IP источника нажмите на кнопку + Добавить и введите IPv4-адрес или префикс.

      IPv4-адрес или префикс будет указан и отобразится в блоке IP источника. Вы можете указать несколько IPv4-адресов или префиксов и удалить IPv4-адрес или префикс. Для удаления IPv4-адреса или префикса нажмите рядом с ним на значок удаления .

   6. Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанным IPv4-адресом или префиксом назначения, в блоке IP назначения нажмите на кнопку + Добавить и введите IPv4-адрес или префикс.

      IPv4-адрес или префикс будет указан и отобразится в блоке IP назначения. Вы можете указать несколько IPv4-адресов или префиксов и удалить IPv4-адрес или префикс. Для удаления IPv4-адреса или префикса нажмите рядом с ним на значок удаления .

   7. Если вы хотите применять правило межсетевого экрана только к пакетам трафика указанного протокола, в раскрывающемся списке Протокол выберите протокол. При выборе значения в этом раскрывающемся списке становится недоступным раскрывающийся список DPI протокол.

      Если вы выбрали TCP или UDP и хотите применять правило межсетевого экрана только к пакетам трафика с указанными портами источника и/или назначения, выполните следующие действия:

      1. В поле Порт источника введите номер порта источника или диапазон номеров порта источника.
      2. В поле Порт назначения введите номер порта назначения или диапазон номеров порта назначения.

      Диапазон значений: от 0 до 65 535. Формат диапазона номеров портов: <первое значение>-<последнее значение>. Например, вы можете ввести 10 или 10-15.

   8. Если вы хотите применять правило межсетевого экрана только к пакетам трафика указанного приложения, в раскрывающемся списке DPI протокол выберите приложение.

      Трафик приложения определяется с помощью технологии DPI, которая создает дополнительную нагрузку на процессор устройства CPE.

      Вы можете указать марки DPI, на основании которых правило межсетевого экрана применяется к пакетам трафика. Если вы выключили использование технологии DPI при настройке основных параметров межсетевого экрана, правило межсетевого экрана автоматически выключается.

6. Нажмите на кнопку Создать.

   Правило межсетевого экрана будет создано и отобразится в таблице.

7. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

По умолчанию правило межсетевого экрана выключено. Вам нужно включить правило межсетевого экрана, чтобы оно применялось к пакетам трафика.

Настройка порядка применения правил межсетевого экрана

Правила межсетевого экрана применяются к пакетам трафика по порядку, начиная с первого правила межсетевого экрана в верхней части таблицы. По умолчанию правила межсетевого экрана отображаются в таблице в порядке создания. Чем раньше правило межсетевого экрана было создано, тем выше оно отображается в таблице.

Вы можете настроить порядок применения правил межсетевого экрана в шаблоне межсетевого экрана или на устройстве CPE. Порядок применения правил межсетевого экрана, указанный в шаблоне межсетевого экрана, автоматически распространяется на все устройства CPE, которые используют этот шаблон межсетевого экрана.

Чтобы настроить порядок применения правил межсетевого экрана:

1. Перейдите к настройке порядка применения правил межсетевого экрана одним из следующих способов:
   • Если вы хотите настроить порядок применения правил межсетевого экрана в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку Правила.
   • Если вы хотите настроить порядок применения правил межсетевого экрана на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → Правила и установите флажок Переопределить.

   Отобразится таблица правил межсетевого экрана.

2. Настройте порядок применения правил межсетевого экрана, нажимая рядом с ними на кнопки UP и DOWN.
3. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Включение и выключение правила межсетевого экрана

По умолчанию созданные правила межсетевого экрана выключены. Вам нужно включить правило межсетевого экрана, чтобы оно применялось к пакетам трафика.

Вы можете включить или выключить правило межсетевого экрана в шаблоне межсетевого экрана или на устройстве CPE. Правило межсетевого экрана, включенное или выключенное в шаблоне межсетевого экрана, автоматически включается или выключается на всех устройствах CPE, которые используют этот шаблон межсетевого экрана.

Чтобы включить или выключить правило межсетевого экрана:

1. Перейдите к включению или выключению правила межсетевого экрана одним из следующих способов:
   • Если вы хотите включить или выключить правило межсетевого экрана в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку Правила.
   • Если вы хотите включить или выключить правило межсетевого экрана на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → Правила и установите флажок Переопределить.

   Отобразится таблица правил межсетевого экрана.

2. Нажмите на кнопку Включить или Выключить рядом с правилом межсетевого экрана, которое вы хотите включить или выключить.

   Правило межсетевого экрана будет включено или выключено.

3. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Изменение правила межсетевого экрана

Вы можете изменить правило межсетевого экрана в шаблоне межсетевого экрана или на устройстве CPE. Правило межсетевого экрана, измененное в шаблоне межсетевого экрана, автоматически изменяется на всех устройствах CPE, которые используют этот шаблон межсетевого экрана.

Чтобы изменить правило межсетевого экрана:

1. Перейдите к изменению правила межсетевого экрана одним из следующих способов:
   • Если вы хотите изменить правило межсетевого экрана в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку Правила.
   • Если вы хотите изменить правило межсетевого экрана на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → Правила и установите флажок Переопределить.

   Отобразится таблица правил межсетевого экрана.

2. Нажмите на кнопку Изменить рядом с правилом межсетевого экрана, которое вы хотите изменить.
3. В открывшемся окне при необходимости измените параметры правила межсетевого экрана. Описание параметров см. в инструкции по созданию правила межсетевого экрана.
4. Нажмите на кнопку Сохранить.

   Правило межсетевого экрана будет изменено и обновится в таблице.

5. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Удаление правила межсетевого экрана

Вы можете удалить правило межсетевого экрана в шаблоне межсетевого экрана или на устройстве CPE. Правило межсетевого экрана, удаленное в шаблоне межсетевого экрана, автоматически удаляется на всех устройствах CPE, которые используют этот шаблон межсетевого экрана.

Удаленные правила межсетевого экрана невозможно восстановить.

Чтобы удалить правило межсетевого экрана:

1. Перейдите к удалению правила межсетевого экрана одним из следующих способов:
   • Если вы хотите удалить правило межсетевого экрана в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку Правила.
   • Если вы хотите удалить правило межсетевого экрана на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → Правила и установите флажок Переопределить.

   Отобразится таблица правил межсетевого экрана.

2. Нажмите на кнопку Удалить рядом с правилом межсетевого экрана, которое вы хотите удалить.
3. В открывшемся окне подтверждения нажмите на кнопку Удалить.

   Правило межсетевого экрана будет удалено и перестанет отображаться в таблице.

4. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Работа с наборами IP

Таблица наборов IP отображается в шаблоне межсетевого экрана и на устройстве CPE:

• Для отображения таблицы наборов IP в шаблоне межсетевого экрана вам нужно в меню перейти в раздел SD-WAN → Шаблоны межсетевого экрана, нажать на шаблон межсетевого экрана и выбрать вкладку Наборы IP.
• Для отображения таблицы наборов IP на устройстве CPE вам нужно в меню перейти в раздел SD-WAN → Устройства CPE, нажать на устройство CPE и выбрать вкладку Параметры межсетевого экрана → Наборы IP.

Информация о наборах IP отображается в следующих столбцах таблицы:

• Имя – имя набора IP.
• Совпадение – информация о том, относится ли набор IP к источнику или назначению пакетов трафика, а также содержит ли набор IP-адреса или подсети.
• Записи – IP-адреса или подсети, которые были добавлены в набор IP.

Создание набора IP

Вы можете создать набор IP в шаблоне межсетевого экрана или на устройстве CPE. Набор IP, созданный в шаблоне межсетевого экрана, автоматически создается на всех устройствах CPE, которые используют этот шаблон межсетевого экрана.

Чтобы создать набор IP:

1. Перейдите к созданию набора IP одним из следующих способов:
   • Если вы хотите создать набор IP в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку Наборы IP.
   • Если вы хотите создать набор IP на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → Наборы IP и установите флажок Переопределить.

   Отобразится таблица наборов IP.

2. Нажмите на кнопку + Набор IP.
3. В открывшемся окне в поле Имя введите имя набора IP. Максимальная длина: 255 символов.
4. В раскрывающемся списке Направление выберите, относится ли набор IP к источнику или назначению пакетов трафика:
   • Совпадает с источником – набор IP содержит IP-адреса или подсети источника.
   • Совпадает с назначением – набор IP содержит IP-адреса или подсети назначения.
5. В раскрывающемся списке Тип выберите, содержит ли набор IP-адреса или подсети.
   • Набор подсетей – набор IP содержит подсети.
   • Набор одиночных IP – набор IP содержит IP-адреса.
6. Если в раскрывающемся списке Тип вы выбрали Набор подсетей, укажите подсеть. Для этого в блоке Список записей нажмите на кнопку + Добавить и введите IPv4-префикс. Вы можете указать диапазоны октетов IPv4-префикса с помощью квадратных скобок, например 192.[165-168].2.0/24.

   Подсеть будет указана и отобразится в блоке Список записей. Вы можете указать несколько подсетей и удалить подсеть. Для удаления подсети нажмите рядом с ней на значок удаления .

7. Если в раскрывающемся списке Тип вы выбрали Набор одиночных IP, укажите IP-адрес. Для этого в блоке Список записей нажмите на кнопку + Добавить и введите IPv4-адрес. Вы можете указать диапазоны октетов IPv4-адреса с помощью квадратных скобок, например 192.[165-168].2.0.

   IP-адрес будет указан и отобразится в блоке Список записей. Вы можете указать несколько IP-адресов и удалить IP-адрес. Для удаления IP-адреса нажмите рядом с ним на значок удаления .

8. Нажмите на кнопку Создать.

   Набор IP будет создан и отобразится в таблице.

9. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Выключение и включение набора IP

Вы можете выключить или включить набор IP в шаблоне межсетевого экрана или на устройстве CPE. Набор IP, выключенный или включенный в шаблоне межсетевого экрана, автоматически выключается или включается на всех устройствах CPE, которые используют этот шаблон межсетевого экрана.

Чтобы выключить или включить набор IP:

1. Перейдите к выключению или включению набора IP одним из следующих способов:
   • Если вы хотите выключить или включить набор IP в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку Наборы IP.
   • Если вы хотите выключить или включить набор IP на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → Наборы IP и установите флажок Переопределить.

   Отобразится таблица наборов IP.

2. Нажмите на кнопку Выключить или Включить рядом с набором IP, который вы хотите выключить или включить.

   Набор IP будет выключен или включен.

3. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Изменение набора IP

Вы можете изменить набор IP в шаблоне межсетевого экрана или на устройстве CPE. Набор IP, измененный в шаблоне межсетевого экрана, автоматически изменяется на всех устройствах CPE, которые используют этот шаблон межсетевого экрана.

Чтобы изменить набор IP:

1. Перейдите к изменению набора IP одним из следующих способов:
   • Если вы хотите изменить набор IP в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку Наборы IP.
   • Если вы хотите изменить набор IP на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → Наборы IP и установите флажок Переопределить.

   Отобразится таблица наборов IP.

2. Нажмите на кнопку Изменить рядом с набором IP, который вы хотите изменить.
3. В открывшемся окне при необходимости измените параметры набора IP. Описание параметров см. в инструкции по созданию набора IP.
4. Нажмите на кнопку Сохранить.

   Набор IP будет изменен и обновится в таблице.

5. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Удаление набора IP

Вы можете удалить набор IP в шаблоне межсетевого экрана или на устройстве CPE. Набор IP, удаленный в шаблоне межсетевого экрана, автоматически удаляется на всех устройствах CPE, которые используют этот шаблон межсетевого экрана.

Удаленные наборы IP невозможно восстановить.

Чтобы удалить набор IP:

1. Перейдите к удалению набора IP одним из следующих способов:
   • Если вы хотите удалить набор IP в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку Наборы IP.
   • Если вы хотите удалить набор IP на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → Наборы IP и установите флажок Переопределить.

   Отобразится таблица наборов IP.

2. Нажмите на кнопку Удалить рядом с набором IP, который вы хотите удалить.
3. В открывшемся окне подтверждения нажмите на кнопку Удалить.

   Набор IP будет удален и перестанет отображаться в таблице.

4. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Работа с DNAT-правилами

Таблица DNAT-правил отображается в шаблоне межсетевого экрана и на устройстве CPE:

• Для отображения таблицы DNAT-правил в шаблоне межсетевого экрана вам нужно в меню перейти в раздел SD-WAN → Шаблоны межсетевого экрана, нажать на шаблон межсетевого экрана и выбрать вкладку NAT → DNAT.
• Для отображения таблицы DNAT-правил на устройстве CPE вам нужно в меню перейти в раздел SD-WAN → Устройства CPE, нажать на устройство CPE и выбрать вкладку Параметры межсетевого экрана → NAT → DNAT.

Информация о DNAT-правилах отображается в следующих столбцах таблицы:

• Имя – имя DNAT-правила.
• Входящий – критерии, согласно которым межсетевой экран применяет DNAT-правило к пакетам трафика.
• Перенаправленные – IP-адрес и порт назначения пакетов трафика после применения DNAT-правила.

Создание DNAT-правила

Вы можете создать DNAT-правило в шаблоне межсетевого экрана или на устройстве CPE. DNAT-правило, созданное в шаблоне межсетевого экрана, автоматически создается на всех устройствах CPE, которые используют этот шаблон межсетевого экрана.

Чтобы создать DNAT-правило:

1. Перейдите к созданию DNAT-правила одним из следующих способов:
   • Если вы хотите создать DNAT-правило в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку NAT → DNAT.
   • Если вы хотите создать DNAT-правило на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → NAT → DNAT и установите флажок Переопределить.

   Отобразится таблица DNAT-правил.

2. Нажмите на кнопку + DNAT.
3. В открывшемся окне в поле Имя введите имя DNAT-правила. Максимальная длина: 255 символов.
4. Укажите критерии, согласно которым межсетевой экран применяет DNAT-правило к пакетам трафика:
   1. В раскрывающемся списке Протокол выберите протокол пакетов трафика, к которым межсетевой экран применяет DNAT-правило:
      • IP.
      • TCP.
      • UDP.
      • # – пользовательский или нестандартный протокол. При выборе этого значения в отобразившемся поле Номер протокола введите номер протокола в соответствии со стандартом IANA.
   2. В поле IP назначения введите IPv4-адрес или префикс назначения пакетов трафика, к которым межсетевой экран применяет DNAT-правило.
   3. Если вы хотите применять DNAT-правило только к пакетам трафика с указанной зоной межсетевого экрана источника, в раскрывающемся списке Зона источника выберите созданную зону межсетевого экрана.
   4. Если в раскрывающемся списке Протокол вы выбрали TCP или UDP, и вы хотите применять DNAT-правило только к пакетам трафика с указанным портом назначения, в поле Порт назначения введите номер порта. Диапазон значений: от 1 до 65 535.
   5. Если вы хотите применять DNAT-правило только к пакетам трафика с указанным IPv4-адресом или префиксом источника, в поле IP источника введите IPv4-адрес или префикс.
5. Укажите, как DNAT-правило изменяет пакеты трафика:
   1. В поле IP назначения введите новый IPv4-адрес или префикс назначения.
   2. В раскрывающемся списке Зона назначения выберите новую зону межсетевого экрана назначения.
   3. Если в раскрывающемся списке Протокол вы выбрали TCP или UDP, и вы хотите изменять номер порта назначения пакетов трафика, в поле Порт назначения введите новый номер порта. Диапазон значений: от 1 до 65 535.
6. Нажмите на кнопку Создать.

   DNAT-правило будет создано и отобразится в таблице.

7. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Настройка порядка применения DNAT-правил

DNAT-правила применяются к пакетам трафика по порядку, начиная с первого DNAT-правила в верхней части таблицы. По умолчанию DNAT-правила отображаются в таблице в порядке создания. Чем раньше DNAT-правило было создано, тем выше оно отображается в таблице.

Вы можете настроить порядок применения DNAT-правил в шаблоне межсетевого экрана или на устройстве CPE. Порядок применения DNAT-правил, указанный в шаблоне межсетевого экрана, автоматически распространяется на все устройства CPE, которые используют этот шаблон межсетевого экрана.

Чтобы настроить порядок применения DNAT-правил:

1. Перейдите к настройке порядка применения DNAT-правил одним из следующих способов:
   • Если вы хотите настроить порядок применения DNAT-правил в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку NAT → DNAT.
   • Если вы хотите настроить порядок применения DNAT-правил на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → NAT → DNAT и установите флажок Переопределить.

   Отобразится таблица DNAT-правил.

2. Настройте порядок применения DNAT-правил, нажимая рядом с ними на кнопки UP и DOWN.
3. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Выключение и включение DNAT-правила

Вы можете выключить или включить DNAT-правило в шаблоне межсетевого экрана или на устройстве CPE. DNAT-правило, выключенное или включенное в шаблоне межсетевого экрана, автоматически выключается или включается на всех устройствах CPE, которые используют этот шаблон межсетевого экрана.

Чтобы выключить или включить DNAT-правило:

1. Перейдите к выключению или включению DNAT-правила одним из следующих способов:
   • Если вы хотите выключить или включить DNAT-правило в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и в отобразившейся области настройки выберите вкладку NAT → DNAT.
   • Если вы хотите выключить или включить DNAT-правило на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, в отобразившейся области настройки выберите вкладку Параметры межсетевого экрана → NAT → DNAT и установите флажок Переопределить.

   Отобразится таблица DNAT-правил.

2. Нажмите на кнопку Выключить или Включить рядом с DNAT-правилом, которое вы хотите выключить или включить.

   DNAT-правило будет выключено или включено.

3. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Изменение DNAT-правила

Вы можете изменить DNAT-правило в шаблоне межсетевого экрана или на устройстве CPE. DNAT-правило, измененное в шаблоне межсетевого экрана, автоматически изменяется на всех устройствах CPE, которые используют этот шаблон межсетевого экрана.

Чтобы изменить DNAT-правило:

1. Перейдите к изменению DNAT-правила одним из следующих способов:
   • Если вы хотите изменить DNAT-правило в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку NAT → DNAT.
   • Если вы хотите изменить DNAT-правило на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → NAT → DNAT и установите флажок Переопределить.

   Отобразится таблица DNAT-правил.

2. Нажмите на кнопку Изменить рядом с DNAT-правилом, которое вы хотите изменить.
3. В открывшемся окне при необходимости измените параметры DNAT-правила. Описание параметров см. в инструкции по созданию DNAT-правила.
4. Нажмите на кнопку Сохранить.

   DNAT-правило будет изменено и обновится в таблице.

5. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Удаление DNAT-правила

Вы можете удалить DNAT-правило в шаблоне межсетевого экрана или на устройстве CPE. DNAT-правило, удаленное в шаблоне межсетевого экрана, автоматически удаляется на всех устройствах CPE, которые используют этот шаблон межсетевого экрана.

Удаленные DNAT-правила невозможно восстановить.

Чтобы удалить DNAT-правило:

1. Перейдите к удалению DNAT-правила одним из следующих способов:
   • Если вы хотите удалить DNAT-правило в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку NAT → DNAT.
   • Если вы хотите удалить DNAT-правило на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → NAT → DNAT и установите флажок Переопределить.

   Отобразится таблица DNAT-правил.

2. Нажмите на кнопку Удалить рядом с DNAT-правилом, которое вы хотите удалить.
3. В открывшемся окне подтверждения нажмите на кнопку Удалить.

   DNAT-правило будет удалено и перестанет отображаться в таблице.

4. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Работа с SNAT-правилами

Таблица SNAT-правил отображается в шаблоне межсетевого экрана и на устройстве CPE:

• Для отображения таблицы SNAT-правил в шаблоне межсетевого экрана вам нужно в меню перейти в раздел SD-WAN → Шаблоны межсетевого экрана, нажать на шаблон межсетевого экрана и выбрать вкладку NAT → SNAT.
• Для отображения таблицы SNAT-правил на устройстве CPE вам нужно в меню перейти в раздел SD-WAN → Устройства CPE, нажать на устройство CPE, выбрать вкладку Параметры межсетевого экрана → NAT → SNAT и установить флажок Переопределить.

Информация об SNAT-правилах отображается в следующих столбцах таблицы:

• Имя – имя SNAT-правила.
• Исходящий – критерии, согласно которым межсетевой экран применяет SNAT-правило к пакетам трафика.
• Действие – действие, которое SNAT-правило выполняет с пакетами трафика.

Создание SNAT-правила

Вы можете создать SNAT-правило в шаблоне межсетевого экрана или на устройстве CPE. SNAT-правило, созданное в шаблоне межсетевого экрана, автоматически создается на всех устройствах CPE, которые используют этот шаблон межсетевого экрана.

Чтобы создать SNAT-правило:

1. Перейдите к созданию SNAT-правила одним из следующих способов:
   • Если вы хотите создать SNAT-правило в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку NAT → SNAT.
   • Если вы хотите создать SNAT-правило на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → NAT → SNAT и установите флажок Переопределить.

   Отобразится таблица SNAT-правил.

2. Нажмите на кнопку + SNAT.
3. В открывшемся окне в поле Имя введите имя SNAT-правила. Максимальная длина: 255 символов.
4. Укажите критерии, согласно которым межсетевой экран применяет SNAT-правило к пакетам трафика:
   1. В раскрывающемся списке Протокол выберите протокол пакетов трафика, к которым межсетевой экран применяет SNAT-правило:
      • TCP.
      • UDP.
   2. В раскрывающемся списке Зона назначения выберите созданную зону межсетевого экрана назначения пакетов трафика, к которым межсетевой экран применяет SNAT-правило.
   3. Если вы хотите применять SNAT-правило только к пакетам трафика с указанным IPv4-адресом или префиксом источника, в поле IP источника введите IPv4-адрес или префикс.
   4. Если вы хотите применять SNAT-правило только к пакетам трафика с указанным IPv4-адресом или префиксом назначения, в поле IP назначения введите IPv4-адрес или префикс.
5. В раскрывающемся списке Действие выберите SNAT.
6. В поле SNAT IP введите новый IP-адрес или префикс источника, который SNAT-правило указывает для пакетов трафика.
7. Нажмите на кнопку Создать.

   SNAT-правило будет создано и отобразится в таблице.

8. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Настройка порядка применения SNAT-правил

SNAT-правила применяются к пакетам трафика по порядку, начиная с первого SNAT-правила в верхней части таблицы. По умолчанию SNAT-правила отображаются в таблице в порядке создания. Чем раньше SNAT-правило было создано, тем выше оно отображается в таблице.

Вы можете настроить порядок применения SNAT-правил в шаблоне межсетевого экрана или на устройстве CPE. Порядок применения SNAT-правил, указанный в шаблоне межсетевого экрана, автоматически распространяется на все устройства CPE, которые используют этот шаблон межсетевого экрана.

Чтобы настроить порядок применения SNAT-правил:

1. Перейдите к настройке порядка применения SNAT-правил одним из следующих способов:
   • Если вы хотите настроить порядок применения SNAT-правил в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку NAT → SNAT.
   • Если вы хотите настроить порядок применения SNAT-правил на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → NAT → SNAT и установите флажок Переопределить.

   Отобразится таблица SNAT-правил.

2. Настройте порядок применения SNAT-правил, нажимая рядом с ними на кнопки UP и DOWN.
3. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Выключение и включение SNAT-правила

Вы можете выключить или включить SNAT-правило в шаблоне межсетевого экрана или на устройстве CPE. SNAT-правило, выключенное или включенное в шаблоне межсетевого экрана, автоматически выключается или включается на всех устройствах CPE, которые используют этот шаблон межсетевого экрана.

Чтобы выключить или включить SNAT-правило:

1. Перейдите к выключению или включению SNAT-правила одним из следующих способов:
   • Если вы хотите выключить или включить SNAT-правило в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку NAT → SNAT.
   • Если вы хотите выключить или включить SNAT-правило на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → NAT → SNAT и установите флажок Переопределить.

   Отобразится таблица SNAT-правил.

2. Нажмите на кнопку Выключить или Включить рядом со SNAT-правилом, которое вы хотите выключить или включить.

   SNAT-правило будет выключено или включено.

3. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Изменение SNAT-правила

Вы можете изменить SNAT-правило в шаблоне межсетевого экрана или на устройстве CPE. SNAT-правило, измененное в шаблоне межсетевого экрана, автоматически изменяется на всех устройствах CPE, которые используют этот шаблон межсетевого экрана.

Чтобы изменить SNAT-правило:

1. Перейдите к изменению SNAT-правила одним из следующих способов:
   • Если вы хотите изменить SNAT-правило в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку NAT → SNAT.
   • Если вы хотите изменить SNAT-правило на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → NAT → SNAT и установите флажок Переопределить.

   Отобразится таблица SNAT-правил.

2. Нажмите на кнопку Изменить рядом со SNAT-правилом, которое вы хотите изменить.
3. В отобразившемся окне при необходимости измените параметры SNAT-правила. Описание параметров см. в инструкции по созданию SNAT-правила.
4. Нажмите на кнопку Сохранить.

   SNAT-правило будет изменено и отобразится в таблице.

5. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Удаление SNAT-правила

Вы можете удалить SNAT-правило в шаблоне межсетевого экрана или на устройстве CPE. SNAT-правило, удаленное в шаблоне межсетевого экрана, автоматически удаляется на всех устройствах CPE, которые используют этот шаблон межсетевого экрана.

Удаленные SNAT-правила невозможно восстановить.

Чтобы удалить SNAT-правило:

1. Перейдите к удалению SNAT-правила одним из следующих способов:
   • Если вы хотите удалить SNAT-правило в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку NAT → SNAT.
   • Если вы хотите удалить SNAT-правило на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → NAT → SNAT и установите флажок Переопределить.

   Отобразится таблица SNAT-правил.

2. Нажмите на кнопку Удалить рядом со SNAT-правилом, которое вы хотите удалить.
3. В открывшемся окне подтверждения нажмите на кнопку Удалить.

   SNAT-правило будет удалено и перестанет отображаться в таблице.

4. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Изменение шаблона межсетевого экрана устройства CPE

Изменение шаблона межсетевого экрана устройства CPE может привести к потере связи с другими устройствами CPE, а также к потере передаваемых пакетов трафика.

Чтобы изменить шаблон межсетевого экрана устройства CPE:

1. В меню перейдите в раздел SD-WAN → Устройства CPE.

   Отобразится таблица устройств CPE.

2. Нажмите на устройство CPE, шаблон межсетевого экрана которого вы хотите изменить.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания . По умолчанию выбрана вкладка Конфигурация, на которой отображается основная информация об устройстве CPE. На этой вкладке также отображается таблица выполняемых оркестратором задач Внеполосное управление.

3. В раскрывающемся списке Шаблон межсетевого экрана выберите созданный шаблон межсетевого экрана.
4. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры устройства CPE.