Управление межсетевым экраном

Kaspersky SD-WAN поддерживает межсетевой экран (англ. firewall) для фильтрации пакетов трафика на устройстве CPE. Межсетевой экран может принимать (англ. accept), отбрасывать (англ. drop) и отклонять (англ. reject) пакеты трафика. При отклонении пакета трафика его отправитель получает сообщение icmp-reject. Каждое из действий межсетевой экран может применять ко входящим и исходящим пакетам трафика, а также к пакетам трафика, пересылаемыми между сетевыми интерфейсами и подсетями устройств CPE. При настройке основных параметров межсетевого экрана требуется указать действия по умолчанию, которые межсетевой экран выполняет с пакетами трафика.

Для централизованной настройки межсетевого экрана устройств CPE используются шаблоны межсетевого экрана вам нужно указать параметры в шаблоне межсетевого экрана, после чего указать шаблон межсетевого экрана при добавлении или ручной регистрации устройств CPE, чтобы не настраивать каждое отдельное устройство CPE. Если вы измените параметр в шаблоне межсетевого экрана, параметр автоматически изменится на всех устройствах CPE, которые используют шаблон межсетевого экрана. Если вы измените параметр на устройстве CPE, параметр перестанет зависеть от шаблона межсетевого экрана и при изменении в шаблоне межсетевого экрана не будет изменяться на устройстве CPE.

Зоны межсетевого экрана

Вы можете добавить сетевые интерфейсы и подсети в зону межсетевого экрана (англ. firewall zone, далее также зона), чтобы принимать, отбрасывать или отклонять пакеты трафика, передающиеся через сетевые интерфейсы и подсети. Когда вы создаете или изменяете зону межсетевого экрана, вам нужно указать действия, которые выполняются с пакетами трафика, а также при необходимости добавить подсети. Вы можете добавить сетевые интерфейсы в зону межсетевого экрана при создании или изменении сетевых интерфейсов.

Если вы хотите разрешить передачу пакетов трафика из одной зоны межсетевого экрана в другую, вам нужно создать передачу (англ. forwarding). При создании передачи требуется указать исходящую и входящую зоны межсетевого экрана.

Поддерживается создание общих зон межсетевого экрана, которые могут использовать несколько устройств CPE, а также зон межсетевого экрана на отдельном устройстве CPE.

Правила межсетевого экрана

Вы можете создавать правила межсетевого экрана, чтобы принимать, отбрасывать или отклонять пакеты трафика на основании указанных критериев. Например, вы можете создать правило межсетевого экрана, которое отклоняет пакеты трафика с указанной зоной межсетевого экрана источника.

Если вы хотите указать в параметрах нескольких правил межсетевого экрана одинаковые IP-адреса или подсети, вы можете создать набор IP (англ. IP set). При создании набора IP требуется указать, относятся ли IP-адреса или подсети к источнику или назначению. Вы можете указать созданный набор IP при создании или изменении правила межсетевого экрана.

Когда пакет трафика передается на устройство CPE, с пакетом трафика выполняется действие, указанное в параметрах одного из правил межсетевого экрана. Если ни одно из правил межсетевого экрана не может быть применено, с пакетом трафика выполняется действие, указанное в параметрах зоны межсетевого экрана, в которую пакет трафика был передан. Если пакет трафика не был передан ни в одну из зон межсетевого экрана, с пакетом трафика выполняется действие по умолчанию, которое вы указали при настройке основных параметров межсетевого экрана.

Трансляция сетевых адресов

Межсетевой экран поддерживает следующие механизмы трансляции сетевых адресов (англ. network address translation, NAT):

• DNAT-правила – могут заменять следующие компоненты пакетов трафика указанными значениями:
  • IP-адреса или префиксы назначения;
  • зоны межсетевого экрана назначения;
  • порты назначения (Port Address Translation, PAT).
• SNAT-правила – могут заменять IP-адреса или префиксы источника пакетов трафика указанными значениями.

DNAT-правила и SNAT-правила применяются к пакетам трафика на основании указанных критериев. Например, вы можете создать DNAT-правило, которое заменяет IP-адрес назначения пакетов трафика протокола TCP.