Kaspersky SD-WAN

Создание зоны межсетевого экрана

Вы можете создать общую зону межсетевого экрана или зону межсетевого экрана на устройстве CPE.

Чтобы создать зону межсетевого экрана:

1. Перейдите к созданию зоны межсетевого экрана одним из следующих способов:
   • Если вы хотите создать общую зону межсетевого экрана, в меню перейдите в раздел SD-WAN → Зоны межсетевого экрана и в верхней части страницы нажмите на кнопку + Зона межсетевого экрана.
   • Если вы хотите создать зону межсетевого экрана на устройстве CPE, в меню перейдите в раздел SD-WAN → CPE, нажмите на устройство CPE, выберите вкладку Межсетевой экран → Зоны, установите флажок Переопределить и нажмите на кнопку + Зона межсетевого экрана.

   Отобразится таблица зон межсетевого экрана.

2. В открывшемся окне в поле Имя введите имя зоны межсетевого экрана. Максимальная длина имени: 255 символов.
3. В раскрывающемся списке Вход выберите действие, которое межсетевой экран выполняет со входящими пакетами трафика:
   • ACCEPT – принимать пакеты трафика. Это значение выбрано по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
4. В раскрывающемся списке Выход выберите действие, которое межсетевой экран выполняет с исходящими пакетами трафика:
   • ACCEPT – принимать пакеты трафика. Это значение выбрано по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
5. В раскрывающемся списке Передача выберите действие, которое межсетевой экран выполняет с пакетами трафика, пересылаемыми между сетевыми интерфейсами и подсетями:
   • ACCEPT – принимать пакеты трафика. Это значение выбрано по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
6. Если вы хотите включить маскарадинг, чтобы заменять IP-адрес источника исходящих из зоны межсетевого экрана пакетов трафика на IP-адрес, назначенный исходящему (англ. egress) сетевому интерфейсу, выполните следующие действия:
   1. Установите флажок Маскарадинг. Этот флажок снят по умолчанию.
   2. Если вы хотите заменять IP-адрес источника только пакетов трафика с указанной подсетью источника, в блоке Маскарадинг подсетей источника нажмите на кнопку + Добавить и введите IPv4-префикс подсети источника.

      Подсеть будет указана и отобразится в блоке Маскарадинг подсетей источника. Вы можете указать несколько подсетей и удалить подсети. Для удаления подсети нажмите рядом с ней на значок удаления .

   3. Если вы хотите заменять IP-адрес источника только пакетов трафика с указанной подсетью назначения, в блоке Маскарадинг подсетей назначения нажмите на кнопку + Добавить и введите IPv4-префикс подсети назначения.

      Подсеть будет указана и отобразится в блоке Маскарадинг подсетей назначения. Вы можете указать несколько подсетей и удалить подсети. Для удаления подсети нажмите рядом с ней на значок удаления .

7. Если вы не хотите, чтобы межсетевой экран ограничивал значение MSS (Maximum Segment Size) передающихся через зону межсетевого экрана пакетов трафика до значения PMTU (Path Maximum Transmission Unit), после чего отнимал от него значение 40, снимите флажок Ограничивать MSS до PMTU. Значение 40 отнимается для исключения размера TCP-заголовка. Этот флажок установлен по умолчанию.
8. Если вы хотите, чтобы межсетевой экран вел журнал отброшенных в зоне межсетевого экрана пакетов трафика, установите флажок Журналировать drop-ы. Если созданные на устройстве CPE журналы отправляются на Syslog-сервер, вы можете посмотреть журналы на Syslog-сервере. Если созданные на устройстве CPE журналы хранятся локально, вы можете посмотреть журналы, запросив диагностическую информацию. Этот флажок снят по умолчанию.
9. Если сетевые интерфейсы подключены к коммутаторам или маршрутизаторам L3, и вы хотите передавать через зону межсетевого экрана пакеты трафика из подсетей коммутаторов или маршрутизаторов L3, добавьте в зону межсетевого экрана подсеть. Для этого в блоке Сети нажмите на кнопку + Добавить и введите IPv4-префикс подсети.

   Подсеть будет добавлена и отобразится в блоке Сети. Вы можете добавить несколько подсетей и удалить подсети. Для удаления подсети нажмите рядом с ней на значок удаления .

10. Нажмите на кнопку Создать.

    Зона межсетевого экрана будет создана и отобразится в таблице.

11. Если вы создали зону межсетевого экрана на устройстве CPE, в верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры устройства CPE.

Вам нужно добавить в созданную зону межсетевого экрана сетевые интерфейсы. Это можно сделать при создании или изменении сетевого интерфейса. Если вы создали зону межсетевого экрана на устройстве CPE, вы можете добавить в зону межсетевого экрана только созданные на устройстве CPE сетевые интерфейсы.