Работа с зонами межсетевого экрана

Вы можете просмотреть таблицу общих зон межсетевого экрана или таблицу зон межсетевого экрана на устройстве CPE:

• Для отображения таблицы общих зон межсетевого экрана вам нужно в меню перейти в раздел SD-WAN → Зоны межсетевого экрана.
• Для отображения таблицы зон межсетевого экрана на устройстве CPE вам нужно в меню перейти в раздел SD-WAN → Устройства CPE, нажать на устройство CPE и выбрать вкладку Параметры межсетевого экрана → Зоны.

По умолчанию созданы следующие зоны межсетевого экрана:

• wan (WAN-зона межсетевого экрана) – зона межсетевого экрана для сетевых интерфейсов, которые подключены к WAN, например к интернету или сети оператора связи. В параметрах WAN-зоны межсетевого экрана включен маскарадинг, чтобы заменять IP-адрес источника исходящих из зоны межсетевого экрана пакетов трафика на IP-адрес, назначенный исходящему (англ. egress) сетевому интерфейсу.
• lan (LAN-зона межсетевого экрана) – зона межсетевого экрана для сетевых интерфейсов, которые подключены к LAN.
• mgmt (управляющая зона межсетевого экрана) – зона межсетевого экрана для сетевого интерфейса, который используется для пассивного мониторинга устройства CPE системой мониторинга Zabbix, а также для подключения оркестратора к устройству CPE по протоколу SSH.

Вы не можете удалить зоны межсетевого экрана по умолчанию или создать зоны межсетевого экрана с такими же именами.

Когда вы обновляете Kaspersky SD-WAN с версии 2.1 до 2.2, в параметрах всех шаблонов CPE происходят следующие изменения:

• в WAN-зону межсетевого экрана автоматически добавляются сетевые интерфейсы sdwan<0–4>;
• в LAN-зону межсетевого экрана автоматически добавляются сетевые интерфейсы lan, br-lan и overlay.

Информация об общих зонах межсетевого экрана отображается в следующих столбцах таблицы:

• Имя – имя зоны межсетевого экрана.
• Использование – зона межсетевого экрана используется шаблонами межсетевого экрана, шаблонами CPE и/или устройствами CPE:
  • Да.
  • Нет.
• Author – имя пользователя, который создал зону межсетевого экрана.
• Создан – дата и время создания зоны межсетевого экрана.

Действия, которые вы можете выполнить с таблицей, описаны в инструкции Работа с таблицами компонентов решения.

Информация о зонах межсетевого экрана на устройстве CPE отображается в следующих столбцах таблицы:

• Имя – имя зоны межсетевого экрана.
• Параметры – действия, которые межсетевой экран выполняет с пакетами трафика.
• Интерфейсы/Сети – сетевые интерфейсы и подсети, которые были добавлены в зону межсетевого экрана.

Создание зоны межсетевого экрана

Вы можете создать общую зону межсетевого экрана или зону межсетевого экрана на устройстве CPE.

Чтобы создать зону межсетевого экрана:

1. Перейдите к созданию зоны межсетевого экрана одним из следующих способов:
   • Если вы хотите создать общую зону межсетевого экрана, в меню перейдите в раздел SD-WAN → Зоны межсетевого экрана и в верхней части страницы нажмите на кнопку + Зона межсетевого экрана.
   • Если вы хотите создать зону межсетевого экрана на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство CPE, выберите вкладку Параметры межсетевого экрана → Зоны, установите флажок Переопределить и нажмите на кнопку + Зона межсетевого экрана.

   Отобразится таблица зон межсетевого экрана.

2. В открывшемся окне в поле Имя введите имя зоны межсетевого экрана. Максимальная длина: 255 символов.
3. В раскрывающемся списке Вход выберите действие, которое межсетевой экран выполняет со входящими пакетами трафика:
   • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
4. В раскрывающемся списке Выход выберите действие, которое межсетевой экран выполняет с исходящими пакетами трафика:
   • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
5. В раскрывающемся списке Передача выберите действие, которое межсетевой экран выполняет с пакетами трафика, пересылаемыми между сетевыми интерфейсами и подсетями:
   • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
6. Если вы хотите включить маскарадинг, чтобы заменять IP-адрес источника исходящих из зоны межсетевого экрана пакетов трафика на IP-адрес, назначенный исходящему (англ. egress) сетевому интерфейсу, выполните следующие действия:
   1. Установите флажок Маскарадинг. По умолчанию флажок снят.
   2. Если вы хотите заменять IP-адрес источника только пакетов трафика с указанной подсетью источника, в блоке Маскарадинг подсетей источника нажмите на кнопку + Добавить и введите IPv4-префикс.

      Подсеть будет указана и отобразится в блоке Маскарадинг подсетей источника. Вы можете указать несколько подсетей и удалить подсеть. Для удаления подсети нажмите рядом с ней на значок удаления .

   3. Если вы хотите заменять IP-адрес источника только пакетов трафика с указанной подсетью назначения, в блоке Маскарадинг подсетей назначения нажмите на кнопку + Добавить и введите IPv4-префикс.

      Подсеть будет указана и отобразится в блоке Маскарадинг подсетей назначения. Вы можете указать несколько подсетей и удалить подсеть. Для удаления подсети нажмите рядом с ней на значок удаления .

7. Если вы не хотите, чтобы межсетевой экран ограничивал значение MSS (Maximum Segment Size) передающихся через зону межсетевого экрана пакетов трафика до значения PMTU (Path Maximum Transmission Unit), после чего отнимал от него значение 40, снимите флажок Ограничивать MSS до PMTU. Значение 40 отнимается для исключения размера TCP-заголовка. По умолчанию флажок установлен.
8. Если вы хотите, чтобы межсетевой экран вел журнал отброшенных в зоне межсетевого экрана пакетов трафика, установите флажок Журналировать drop-ы. Если созданные на устройстве CPE журналы отправляются на Syslog-сервер, вы можете просмотреть журналы на этом сервере. Если созданные на устройстве CPE журналы хранятся локально, вы можете просмотреть журналы, запросив диагностическую информацию. По умолчанию флажок снят.
9. Если сетевые интерфейсы подключены к коммутаторам или маршрутизаторам L3, и вы хотите передавать через зону межсетевого экрана пакеты трафика из подсетей этих коммутаторов или маршрутизаторов L3, добавьте в зону межсетевого экрана подсеть. Для этого в блоке Сети нажмите на кнопку + Добавить и введите IPv4-префикс подсети.

   Подсеть будет добавлена и отобразится в блоке Сети. Вы можете добавить несколько подсетей и удалить подсеть. Для удаления подсети нажмите рядом с ней на значок удаления .

10. Нажмите на кнопку Создать.

    Зона межсетевого экрана будет создана и отобразится в таблице.

11. Если вы создали зону межсетевого экрана на устройстве CPE, в верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры устройства CPE.

Вам нужно добавить в созданную зону межсетевого экрана сетевые интерфейсы. Это можно сделать при создании или изменении сетевого интерфейса. Если вы создали зону межсетевого экрана на устройстве CPE, вы можете добавить в зону межсетевого экрана только созданные на этом устройстве CPE сетевые интерфейсы.

Изменение имени общей зоны межсетевого экрана

Вы можете изменить имя созданной общей зоны межсетевого экрана. Изменение имени зоны межсетевого экрана на устройстве CPE, описано в инструкции по изменению зоны межсетевого экрана на устройстве CPE.

Чтобы изменить имя общей зоны межсетевого экрана:

1. В меню перейдите в раздел SD-WAN → Зоны межсетевого экрана.

   Отобразится таблица общих зон межсетевого экрана.

2. Нажмите на общую зону межсетевого экрана, имя которой вы хотите изменить.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания .

3. В верхней части области настройки в блоке Действия нажмите на кнопку Переименовать зону.
4. В открывшемся окне измените имя общей зоны межсетевого экрана.
5. Нажмите на кнопку Переименовать.

Имя общей зоны межсетевого экрана будет изменено и обновится в таблице.

Клонирование общей зоны межсетевого экрана

Вы можете клонировать созданную общую зону межсетевого экрана, чтобы создать такую же общую зону межсетевого экрана с другим именем. Клонирование зоны межсетевого экрана на устройстве CPE не поддерживается.

Чтобы клонировать общую зону межсетевого экрана:

1. В меню перейдите в раздел SD-WAN → Зоны межсетевого экрана.

   Отобразится таблица общих зон межсетевого экрана.

2. Нажмите на общую зону межсетевого экрана, которую вы хотите клонировать.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания .

3. В верхней части области настройки в блоке Действия нажмите на кнопку Клонировать.
4. В открывшемся окне введите имя новой общей зоны межсетевого экрана.
5. Нажмите на кнопку Клонировать.

Копия общей зоны межсетевого экрана с новым именем будет создана и отобразится в таблице.

Просмотр использования общей зоны межсетевого экрана

Вы можете просмотреть, какие шаблоны межсетевого экрана, а также шаблоны CPE и устройства CPE используют созданную общую зону межсетевого экрана. Если общая зона межсетевого экрана используется, ее невозможно удалить.

Чтобы просмотреть использование общей зоны межсетевого экрана:

1. В меню перейдите в раздел SD-WAN → Зоны межсетевого экрана.

   Отобразится таблица общих зон межсетевого экрана.

2. Нажмите на общую зону межсетевого экрана, использование которой вы хотите просмотреть.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания .

3. В верхней части области настройки в блоке Действия нажмите на кнопку Показать использование.

Откроется окно с таблицей шаблонов межсетевого экрана, шаблонов CPE и устройств CPE, использующих общую зону межсетевого экрана.

Изменение зоны межсетевого экрана на устройстве CPE

Вы можете изменить зону межсетевого экрана на устройстве CPE. Вы не можете изменить общую зону межсетевого экрана, так как она может использоваться большим количеством шаблонов CPE и устройств CPE, и изменение такой зоны межсетевого экрана привело бы к массовому обновлению всех использующих ее шаблонов CPE и устройств CPE и перегрузке оркестратора. Если вы хотите изменить общую зону межсетевого экрана, вам нужно создать новую общую зону межесетевого экрана. В созданную общую зону межсетевого экрана необходимо добавить сетевые интерфейсы и подсети, которые были добавлены в предыдущую общую зону межсетевого экрана.

Чтобы изменить зону межсетевого экрана на устройстве CPE:

1. В меню перейдите в раздел SD-WAN → Устройства CPE.

   Отобразится таблица устройств CPE.

2. Нажмите на устройство CPE, на котором вы хотите изменить зону межсетевого экрана.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания . По умолчанию выбрана вкладка Конфигурация, на которой отображается основная информация об устройстве CPE. На этой вкладке также отображается таблица выполняемых оркестратором задач Внеполосное управление.

3. Выберите вкладку Параметры межсетевого экрана → Зоны.

   Отобразится таблица зон межсетевого экрана.

4. Установите флажок Переопределить.
5. Нажмите на кнопку Изменить рядом с зоной межсетевого экрана, которую вы хотите изменить.
6. В открывшемся окне при необходимости измените параметры зоны межсетевого экрана. Описание параметров см. в инструкции по созданию зоны межсетевого экрана.
7. Нажмите на кнопку Сохранить.

   Зона межсетевого экрана будет изменена и обновится в таблице.

8. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры устройства CPE.

Удаление зоны межсетевого экрана

Вы можете удалить общую зону межсетевого экрана или зону межсетевого экрана на устройстве CPE.

Удаленные зоны межсетевого экрана невозможно восстановить.

Удаление общей зоны межсетевого экрана

Вы не можете удалить общую зону межсетевого экрана, если она используется хотя бы одним шаблоном межсетевого экрана, шаблоном CPE или устройством CPE. Вам нужно просмотреть использование общей зоны межсетевого экрана и убедиться, что она не используется.

Чтобы удалить общую зону межсетевого экрана:

1. В меню перейдите в раздел SD-WAN → Зоны межсетевого экрана.

   Отобразится таблица общих зон межсетевого экрана.

2. Нажмите на общую зону межсетевого экрана, которую вы хотите удалить.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания .

3. В верхней части области настройки в блоке Действия нажмите на кнопку Удалить.
4. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Общая зона межсетевого экрана будет удалена и перестанет отображаться в таблице.

Удаление зоны межсетевого экрана на устройстве CPE

Чтобы удалить зону межсетевого экрана на устройстве CPE:

1. В меню перейдите в раздел SD-WAN → Устройства CPE.

   Отобразится таблица устройств CPE.

2. Нажмите на устройство CPE, на котором вы хотите удалить зону межсетевого экрана.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания . По умолчанию выбрана вкладка Конфигурация, на которой отображается основная информация об устройстве CPE. На этой вкладке также отображается таблица выполняемых оркестратором задач Внеполосное управление.

3. Выберите вкладку Параметры межсетевого экрана → Зоны.

   Отобразится таблица зон межсетевого экрана.

4. Установите флажок Переопределить.
5. Нажмите на кнопку Удалить рядом с зоной межсетевого экрана, которую вы хотите удалить.
6. В открывшемся окне подтверждения нажмите на кнопку Удалить.

   Зона межсетевого экрана будет удалена и перестанет отображаться в таблице.

7. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры устройства CPE.