Работа с зонами межсетевого экрана

Вы можете посмотреть таблицу общих зон межсетевого экрана или таблицу зон межсетевого экрана на устройстве CPE:

• Для просмотра таблицы общих зон межсетевого экрана вам нужно в меню перейти в раздел SD-WAN → Зоны межсетевого экрана.
• Для просмотра таблицы зон межсетевого экрана на устройстве CPE вам нужно в меню перейти в раздел SD-WAN → CPE, нажать на устройство CPE и выбрать вкладку Межсетевой экран → Зоны.

По умолчанию созданы следующие зоны межсетевого экрана:

• wan (WAN-зона межсетевого экрана) – зона межсетевого экрана для сетевых интерфейсов, которые подключены к WAN, например к интернету или сети оператора связи. В параметрах WAN-зоны межсетевого экрана включен маскарадинг, чтобы заменять IP-адрес источника исходящих из зоны межсетевого экрана пакетов трафика на IP-адрес, назначенный исходящему (англ. egress) сетевому интерфейсу.
• lan (LAN-зона межсетевого экрана) – зона межсетевого экрана для сетевых интерфейсов, которые подключены к LAN.
• mgmt (управляющая зона межсетевого экрана) – зона межсетевого экрана для сетевого интерфейса, который используется для пассивного мониторинга устройства CPE системой мониторинга Zabbix, а также для подключения оркестратора к устройству CPE по протоколу SSH.

Вы не можете удалить зоны межсетевого экрана по умолчанию или создать зоны межсетевого экрана с такими же именами.

Когда вы обновляете Kaspersky SD-WAN с версии 2.1 до 2.2, в параметрах всех шаблонов CPE происходят следующие изменения:

• в WAN-зону межсетевого экрана автоматически добавляются сетевые интерфейсы sdwan<0–4>;
• в LAN-зону межсетевого экрана автоматически добавляются сетевые интерфейсы lan, br-lan и overlay.

Информация об общих зонах межсетевого экрана отображается в следующих столбцах таблицы:

• Имя – имя зоны межсетевого экрана.
• Использование – использование зоны межсетевого экрана шаблонами межсетевого экрана, шаблонами CPE и устройствами CPE:
  • Да.
  • Нет.
• Автор – имя пользователя, который создал зону межсетевого экрана.
• Создан – дата и время создания зоны межсетевого экрана.

Действия, которые вы можете выполнить с таблицей, описаны в инструкции Работа с таблицами компонентов решения.

Информация о зонах межсетевого экрана на устройстве CPE отображается в следующих столбцах таблицы:

• Имя – имя зоны межсетевого экрана.
• Параметры – действия, которые межсетевой экран выполняет с пакетами трафика.
• Сетевые интерфейсы/Сети – сетевые интерфейсы и подсети, которые были добавлены в зону межсетевого экрана.

Создание зоны межсетевого экрана

Вы можете создать общую зону межсетевого экрана или зону межсетевого экрана на устройстве CPE.

Чтобы создать зону межсетевого экрана:

1. Перейдите к созданию зоны межсетевого экрана одним из следующих способов:
   • Если вы хотите создать общую зону межсетевого экрана, в меню перейдите в раздел SD-WAN → Зоны межсетевого экрана и в верхней части страницы нажмите на кнопку + Зона межсетевого экрана.
   • Если вы хотите создать зону межсетевого экрана на устройстве CPE, в меню перейдите в раздел SD-WAN → CPE, нажмите на устройство CPE, выберите вкладку Межсетевой экран → Зоны, установите флажок Переопределить и нажмите на кнопку + Зона межсетевого экрана.

   Отобразится таблица зон межсетевого экрана.

2. В открывшемся окне в поле Имя введите имя зоны межсетевого экрана. Максимальная длина имени: 255 символов.
3. В раскрывающемся списке Вход выберите действие, которое межсетевой экран выполняет со входящими пакетами трафика:
   • ACCEPT – принимать пакеты трафика. Это значение выбрано по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
4. В раскрывающемся списке Выход выберите действие, которое межсетевой экран выполняет с исходящими пакетами трафика:
   • ACCEPT – принимать пакеты трафика. Это значение выбрано по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
5. В раскрывающемся списке Передача выберите действие, которое межсетевой экран выполняет с пакетами трафика, пересылаемыми между сетевыми интерфейсами и подсетями:
   • ACCEPT – принимать пакеты трафика. Это значение выбрано по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
6. Если вы хотите включить маскарадинг, чтобы заменять IP-адрес источника исходящих из зоны межсетевого экрана пакетов трафика на IP-адрес, назначенный исходящему (англ. egress) сетевому интерфейсу, выполните следующие действия:
   1. Установите флажок Маскарадинг. Этот флажок снят по умолчанию.
   2. Если вы хотите заменять IP-адрес источника только пакетов трафика с указанной подсетью источника, в блоке Маскарадинг подсетей источника нажмите на кнопку + Добавить и введите IPv4-префикс подсети источника.

      Подсеть будет указана и отобразится в блоке Маскарадинг подсетей источника. Вы можете указать несколько подсетей и удалить подсети. Для удаления подсети нажмите рядом с ней на значок удаления .

   3. Если вы хотите заменять IP-адрес источника только пакетов трафика с указанной подсетью назначения, в блоке Маскарадинг подсетей назначения нажмите на кнопку + Добавить и введите IPv4-префикс подсети назначения.

      Подсеть будет указана и отобразится в блоке Маскарадинг подсетей назначения. Вы можете указать несколько подсетей и удалить подсети. Для удаления подсети нажмите рядом с ней на значок удаления .

7. Если вы не хотите, чтобы межсетевой экран ограничивал значение MSS (Maximum Segment Size) передающихся через зону межсетевого экрана пакетов трафика до значения PMTU (Path Maximum Transmission Unit), после чего отнимал от него значение 40, снимите флажок Ограничивать MSS до PMTU. Значение 40 отнимается для исключения размера TCP-заголовка. Этот флажок установлен по умолчанию.
8. Если вы хотите, чтобы межсетевой экран вел журнал отброшенных в зоне межсетевого экрана пакетов трафика, установите флажок Журналировать drop-ы. Если созданные на устройстве CPE журналы отправляются на Syslog-сервер, вы можете посмотреть журналы на Syslog-сервере. Если созданные на устройстве CPE журналы хранятся локально, вы можете посмотреть журналы, запросив диагностическую информацию. Этот флажок снят по умолчанию.
9. Если сетевые интерфейсы подключены к коммутаторам или маршрутизаторам L3, и вы хотите передавать через зону межсетевого экрана пакеты трафика из подсетей коммутаторов или маршрутизаторов L3, добавьте в зону межсетевого экрана подсеть. Для этого в блоке Сети нажмите на кнопку + Добавить и введите IPv4-префикс подсети.

   Подсеть будет добавлена и отобразится в блоке Сети. Вы можете добавить несколько подсетей и удалить подсети. Для удаления подсети нажмите рядом с ней на значок удаления .

10. Нажмите на кнопку Создать.

    Зона межсетевого экрана будет создана и отобразится в таблице.

11. Если вы создали зону межсетевого экрана на устройстве CPE, в верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры устройства CPE.

Вам нужно добавить в созданную зону межсетевого экрана сетевые интерфейсы. Это можно сделать при создании или изменении сетевого интерфейса. Если вы создали зону межсетевого экрана на устройстве CPE, вы можете добавить в зону межсетевого экрана только созданные на устройстве CPE сетевые интерфейсы.

Клонирование общей зоны межсетевого экрана

Вы можете клонировать созданную общую зону межсетевого экрана, чтобы создать такую же общую зону межсетевого экрана с другим именем. Клонирование зоны межсетевого экрана на устройстве CPE не поддерживается.

Чтобы клонировать общую зону межсетевого экрана:

1. В меню перейдите в раздел SD-WAN → Зоны межсетевого экрана.

   Отобразится таблица общих зон межсетевого экрана.

2. Нажмите на общую зону межсетевого экрана, которую вы хотите клонировать.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания .

3. В верхней части области настройки в блоке Действия нажмите на кнопку Клонировать.
4. В открывшемся окне введите имя новой общей зоны межсетевого экрана.
5. Нажмите на кнопку Клонировать.

Клон общей зоны межсетевого экрана с новым именем будет создан и отобразится в таблице.

Просмотр использования общей зоны межсетевого экрана

При необходимости вы можете посмотреть, какие шаблоны межсетевого экрана, а также шаблоны CPE и устройства CPE используют общую зону межсетевого экрана. Например, если общая зона межсетевого экрана используется, ее невозможно удалить.

Чтобы посмотреть, используется ли общая зона межсетевого экрана:

1. В меню перейдите в раздел SD-WAN → Зоны межсетевого экрана.

   Отобразится таблица общих зон межсетевого экрана.

2. Нажмите на общую зону межсетевого экрана, использование которой вы хотите посмотреть.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания .

3. В верхней части области настройки в блоке Действия нажмите на кнопку Показать использование.

Откроется окно с таблицей шаблонов межсетевого экрана, шаблонов CPE и устройств CPE, использующих общую зону межсетевого экрана.

Изменение зоны межсетевого экрана

Вы можете изменить общую зону межсетевого экрана или зону межсетевого экрана на устройстве CPE.

Изменение общей зоны межсетевого экрана

Когда вы изменяете общую зону межсетевого экрана, новые параметры применяются ко всем устройствам CPE, которые используют общую зону межсетевого экрана. Это может привести к перегрузке оркестратора при наличии большого количества устройств CPE.

Чтобы изменить общую зону межсетевого экрана:

1. В меню перейдите в раздел SD-WAN → Зоны межсетевого экрана.

   Отобразится таблица общих зон межсетевого экрана.

2. Нажмите на общую зону межсетевого экрана, которую вы хотите изменить.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания .

3. При необходимости измените параметры общей зоны межсетевого экрана. Описание параметров см. в инструкции по созданию зоны межсетевого экрана.
4. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры общей зоны межсетевого экрана.

   Откроется окно подтверждения с количеством устройств CPE, к которым будут применены новые параметры общей зоны межсетевого экрана.

5. Нажмите на кнопку Да, изменить.

Общая зона межсетевого экрана будет изменена и обновится в таблице.

Изменение зоны межсетевого экрана на устройстве CPE

Чтобы изменить зону межсетевого экрана на устройстве CPE:

1. В меню перейдите в раздел SD-WAN → CPE.

   Отобразится таблица устройств CPE.

2. Нажмите на устройство CPE, на котором вы хотите изменить зону межсетевого экрана.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания . По умолчанию выбрана вкладка Конфигурация, на которой отображается основная информация об устройстве CPE. На этой вкладке также отображается таблица выполняемых оркестратором задач Внеполосное управление.

3. Выберите вкладку Межсетевой экран → Зоны.

   Отобразится таблица зон межсетевого экрана.

4. Установите флажок Переопределить.
5. Нажмите на кнопку Изменить рядом с зоной межсетевого экрана, которую вы хотите изменить.
6. В открывшемся окне при необходимости измените параметры зоны межсетевого экрана. Описание параметров см. в инструкции по созданию зоны межсетевого экрана.
7. Нажмите на кнопку Сохранить.

   Зона межсетевого экрана будет изменена и обновится в таблице.

8. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры устройства CPE.

Удаление зоны межсетевого экрана

Вы можете удалить общую зону межсетевого экрана или зону межсетевого экрана на устройстве CPE.

Удаленные зоны межсетевого экрана невозможно восстановить.

Удаление общей зоны межсетевого экрана

Вы не можете удалить общую зону межсетевого экрана, если она используется хотя бы одним шаблоном межсетевого экрана, шаблоном CPE или устройством CPE. Для удаления общей зоны межсетевого экрана, которая используется шаблонами межсетевого экрана, шаблонами CPE или устройствами CPE, вам нужно сначала убрать общую зону межсетевого экрана из их параметров. Вы можете посмотреть, какие шаблоны межсетевого экрана, шаблоны CPE и устройства CPE используют общую зону межсетевого экрана.

Чтобы удалить общую зону межсетевого экрана:

1. В меню перейдите в раздел SD-WAN → Зоны межсетевого экрана.

   Отобразится таблица общих зон межсетевого экрана.

2. Нажмите на общую зону межсетевого экрана, которую вы хотите удалить.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания .

3. В верхней части области настройки в блоке Действия нажмите на кнопку Удалить.
4. В открывшемся окне подтверждения нажмите на кнопку Удалить.

Общая зона межсетевого экрана будет удалена и перестанет отображаться в таблице.

Удаление зоны межсетевого экрана на устройстве CPE

Чтобы удалить зону межсетевого экрана на устройстве CPE:

1. В меню перейдите в раздел SD-WAN → CPE.

   Отобразится таблица устройств CPE.

2. Нажмите на устройство CPE, на котором вы хотите удалить зону межсетевого экрана.

   В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания . По умолчанию выбрана вкладка Конфигурация, на которой отображается основная информация об устройстве CPE. На этой вкладке также отображается таблица выполняемых оркестратором задач Внеполосное управление.

3. Выберите вкладку Межсетевой экран → Зоны.

   Отобразится таблица зон межсетевого экрана.

4. Установите флажок Переопределить.
5. Нажмите на кнопку Удалить рядом с зоной межсетевого экрана, которую вы хотите удалить.
6. В открывшемся окне подтверждения нажмите на кнопку Удалить.

   Зона межсетевого экрана будет удалена и перестанет отображаться в таблице.

7. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры устройства CPE.