Kaspersky SD-WAN

Настройка основных параметров межсетевого экрана

Вы можете настроить основные параметры межсетевого экрана в шаблоне межсетевого экрана или на устройстве CPE. Основные параметры межсетевого экрана, указанные в шаблоне межсетевого экрана, автоматически распространяются на все устройства CPE, которые используют шаблон межсетевого экрана.

Межсетевой экран применяет к пакетам трафика действия, указанные в основных параметрах межсетевого экрана. Это происходит, если к пакетам трафика не было применено ни одно из правил межсетевого экрана, и пакеты не были переданы ни в одну из зон межсетевого экрана.

Чтобы настроить основные параметры межсетевого экрана:

  1. Перейдите к настройке основных параметров межсетевого экрана одним из следующих способов:
    • Если вы хотите настроить основные параметры межсетевого экрана в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана и нажмите на шаблон межсетевого экрана.
    • Если вы хотите настроить основные параметры межсетевого экрана на устройстве CPE, в меню перейдите в раздел SD-WAN → CPE, нажмите на устройство CPE, выберите вкладку Межсетевой экран и установите флажок Переопределить.

    По умолчанию выбрана вкладка Основные параметры, на которой отображаются основные параметры межсетевого экрана.

  2. Если вы хотите выключить защиту от SYN-флуда, снимите флажок Защита от Syn-flood. Этот флажок установлен по умолчанию. Когда защита от SYN-флуда включена, на устройство CPE раз в секунду может передаваться не более 25 пакетов трафика с флагами SYN, ACK, RST и FIN.
  3. Если вы хотите, чтобы межсетевой экран отбрасывал входящие на устройство CPE пакеты трафика, отмеченные функцией conntrack как неправильные, установите флажок DROP неправильных пакетов. Этот флажок снят по умолчанию.
  4. Если вы хотите выключить использование технологии DPI (Deep Packet Inspection), снимите флажок Включить DPI. Этот флажок установлен по умолчанию. С помощью технологии DPI вы можете создавать правила межсетевого экрана, которые применяются только к пакетам трафика указанного приложения.

    Когда использование технологии DPI выключено, вы не можете настроить маркировку DPI, и правила межсетевого экрана, которые используют технологию DPI, автоматически выключаются.

  5. В раскрывающемся списке INPUT-действие по умолчанию выберите действие, которое межсетевой экран выполняет со входящими пакетами трафика:
    • ACCEPT – принимать пакеты трафика. Это значение выбрано по умолчанию.
    • DROP – отбрасывать пакеты трафика.
    • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
  6. В раскрывающемся списке OUTPUT-действие по умолчанию выберите действие, которое межсетевой экран выполняет с исходящими пакетами трафика:
    • ACCEPT – принимать пакеты трафика. Это значение выбрано по умолчанию.
    • DROP – отбрасывать пакеты трафика.
    • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
  7. В раскрывающемся списке FORWAD-действие по умолчанию выберите действие, которое межсетевой экран выполняет с пакетами трафика, пересылаемыми между сетевыми интерфейсами и подсетями:
    • ACCEPT – принимать пакеты трафика. Это значение выбрано по умолчанию.
    • DROP – отбрасывать пакеты трафика.
    • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
  8. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.