Работа с правилами межсетевого экрана

Вы можете посмотреть таблицу правил межсетевого экрана в шаблоне межсетевого экрана и на устройстве CPE:

• Для просмотра таблицы правил межсетевого экрана в шаблоне межсетевого экрана вам нужно в меню перейти в раздел SD-WAN → Шаблоны межсетевого экрана, нажать на шаблон межсетевого экрана и выбрать вкладку Правила.
• Для просмотра таблицы правил межсетевого экрана на устройстве CPE вам нужно в меню перейти в раздел SD-WAN → CPE, нажать на устройство CPE и выбрать вкладку Межсетевой экран → Правила.

По умолчанию созданы следующие правила межсетевого экрана:

• Allow-GENEVE – разрешает устройству CPE получать GENEVE-пакеты из WAN-зоны межсетевого экрана. GENEVE-пакеты являются инкапсулированным трафиком Kaspersky SD-WAN.
• Allow-DHCP-Renew – разрешает устройству CPE получать BOOTP-пакеты из WAN-зоны межсетевого экрана для правильной работы протокола DHCP.
• Allow-IGMP – разрешает устройству CPE получать IGMP-пакеты из WAN-зоны межсетевого экрана для правильной работы протоколов VRRP и multicast.
• Следующие правила межсетевого экрана временно выключены до появления полной поддержки протокола IPv6 в Kaspersky SD-WAN:
  • Allow-DHCPv6 – разрешает устройству CPE получать DHCPv6-пакеты из WAN-зоны межсетевого экрана для правильной работы протокола IPv6.
  • Allow-MLD – разрешает устройству CPE получать MLD-пакеты из WAN-зоны межсетевого экрана для правильной работы протокола IPv6.
  • Allow-ICMPv6-Input – разрешает устройству CPE получать ICMPv6-пакеты из WAN-зоны межсетевого экрана для правильной работы протокола IPv6.
  • Allow-ICMPv6-Forward-From-Wan – разрешает устройству CPE получать ICMPv6-пакеты из WAN-зоны межсетевого экрана, которые пересылаются в LAN-зону межсетевого экрана, для правильной работы протокола IPv6.
  • Allow-ICMPv6-Forward-From-Lan – разрешает устройству CPE получать ICMPv6-пакеты из LAN-зоны межсетевого экрана, которые пересылаются в WAN-зону межсетевого экрана, для правильной работы протокола IPv6.
• Explicit-deny-http(s)-on-wan – запрещает устройству CPE получать пакеты трафика протокола TCP с портами назначения 80 или 443 для предотвращения доступа из WAN-зоны межсетевого экрана к веб-серверу устройства CPE.

Для правильной работы правил межсетевого экрана по умолчанию вам нужно добавить сетевые интерфейсы sd-wan<0–4> в WAN-зону межсетевого экрана. Вы можете добавить сетевые интерфейсы в зону межсетевого экрана при создании или изменении сетевых интерфейсов.

Информация о правилах межсетевого экрана отображается в следующих столбцах таблицы:

• Имя – имя правила межсетевого экрана.
• Детали – критерии, согласно которым межсетевой экран применяет правило к пакетам трафика.
• Действие – действие, которое правило межсетевого экрана выполняет с пакетами трафика.

Создание правила межсетевого экрана

Вы можете создать правило межсетевого экрана в шаблоне межсетевого экрана или на устройстве CPE. Правило межсетевого экрана, созданное в шаблоне межсетевого экрана, автоматически создается на всех устройствах CPE, которые используют шаблон межсетевого экрана.

Чтобы создать правило межсетевого экрана:

1. Перейдите к созданию правила межсетевого экрана одним из следующих способов:
   • Если вы хотите создать правило межсетевого экрана в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку Правила.
   • Если вы хотите создать правило межсетевого экрана на устройстве CPE, в меню перейдите в раздел SD-WAN → CPE, нажмите на устройство CPE, выберите вкладку Межсетевой экран → Правила и установите флажок Переопределить.

   Отобразится таблица правил межсетевого экрана.

2. Нажмите на кнопку + Правило.
3. В открывшемся окне в поле Имя введите имя правила межсетевого экрана. Максимальная длина имени: 255 символов.
4. В раскрывающемся списке Действие выберите действие, которое правило межсетевого экрана выполняет с пакетами трафика:
   • ACCEPT – принимать пакеты трафика. Это значение выбрано по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
   • ADJ-MSS – изменять значение в поле MSS в TCP-заголовке пакетов трафика на указанное значение MSS. При выборе этого значения в поле Величина MSS введите значение MSS. Диапазон значений: от 68 до 10 000.
5. Укажите критерии, согласно которым межсетевой экран применяет правило межсетевого экрана к пакетам трафика:
   1. Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанными IP-адресами или подсетями источника или назначения, в раскрывающемся списке Набор IP выберите созданный набор IP. При выборе значения в этом раскрывающемся списке становятся недоступны блоки IP источника и IP назначения.
   2. Если вы хотите применять правило межсетевого экрана только к пакетам трафика с версией IP-адресов или подсетей источника или назначения IPv4, в раскрывающемся списке Версия IP выберите IPv4. Если не выбрать значение, правило межсетевого экрана применяется к пакетам трафика с любой версией IP-адресов или подсетей источника или назначения.
   3. Если вы хотите применять правило межсетевого экрана только к пакетам трафика c указанной зоной межсетевого экрана источника, в раскрывающемся списке Зона источника выберите созданную зону межсетевого экрана.
   4. Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанной зоной межсетевого экрана назначения, в раскрывающемся списке Зона назначения выберите созданную зону межсетевого экрана.
   5. Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанным IPv4-адресом или префиксом источника, в блоке IP источника нажмите на кнопку + Добавить и введите IPv4-адрес или префикс источника.

      IPv4-адрес или префикс будет указан и отобразится в блоке IP источника. Вы можете указать несколько IPv4-адресов или префиксов и удалить IPv4-адреса или префиксы. Для удаления IPv4-адреса или префикса нажмите рядом с ним на значок удаления .

   6. Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанным IPv4-адресом или префиксом назначения, в блоке IP назначения нажмите на кнопку + Добавить и введите IPv4-адрес или префикс назначения.

      IPv4-адрес или префикс будет указан и отобразится в блоке IP назначения. Вы можете указать несколько IPv4-адресов или префиксов и удалить IPv4-адреса или префиксы. Для удаления IPv4-адреса или префикса нажмите рядом с ним на значок удаления .

   7. Если вы хотите применять правило межсетевого экрана только к пакетам трафика указанного протокола, в раскрывающемся списке Протокол выберите протокол. При выборе значения в этом раскрывающемся списке становится недоступным раскрывающийся список DPI протокол.

      Если вы выбрали TCP или UDP и хотите применять правило межсетевого экрана только к пакетам трафика с указанными портами источника и/или назначения, выполните следующие действия:

      1. В поле Порт источника введите номер порта источника или диапазон номеров порта источника.
      2. В поле Порт назначения введите номер порта назначения или диапазон номеров порта назначения.

      Диапазон значений: от 0 до 65 535. Формат диапазона номеров портов: <первое значение>-<последнее значение>. Например, вы можете ввести 10 или 10-15.

   8. Если вы хотите применять правило межсетевого экрана только к пакетам трафика указанного приложения, в раскрывающемся списке DPI протокол выберите приложение.

      Трафик приложения определяется с помощью технологии DPI, которая создает дополнительную нагрузку на процессор устройства CPE.

      Вы можете указать марки DPI, на основании которых правило межсетевого экрана применяется к пакетам трафика. Если вы выключили использование технологии DPI при настройке основных параметров межсетевого экрана, правило межсетевого экрана автоматически выключается.

6. Нажмите на кнопку Создать.

   Правило межсетевого экрана будет создано и отобразится в таблице.

7. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

По умолчанию правило межсетевого экрана выключено. Вам нужно включить правило межсетевого экрана, чтобы оно применялось к пакетам трафика.

Настройка порядка применения правил межсетевого экрана

Правила межсетевого экрана применяются к пакетам трафика по порядку, начиная с первого правила межсетевого экрана в верхней части таблицы. По умолчанию правила межсетевого экрана отображаются в таблице в порядке создания. Чем раньше правило межсетевого экрана было создано, тем выше оно отображается в таблице.

Вы можете настроить порядок применения правил межсетевого экрана в шаблоне межсетевого экрана или на устройстве CPE. Порядок применения правил межсетевого экрана, указанный в шаблоне межсетевого экрана, автоматически распространяется на все устройства CPE, которые используют шаблон межсетевого экрана.

Чтобы настроить порядок применения правил межсетевого экрана:

1. Перейдите к настройке порядка применения правил межсетевого экрана одним из следующих способов:
   • Если вы хотите настроить порядок применения правил межсетевого экрана в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку Правила.
   • Если вы хотите настроить порядок применения правил межсетевого экрана на устройстве CPE, в меню перейдите в раздел SD-WAN → CPE, нажмите на устройство CPE, выберите вкладку Межсетевой экран → Правила и установите флажок Переопределить.

   Отобразится таблица правил межсетевого экрана.

2. Настройте порядок применения правил межсетевого экрана, нажимая рядом с ними на кнопки Вверх и Вниз.
3. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Включение и выключение правила межсетевого экрана

По умолчанию созданные правила межсетевого экрана выключены. Вам нужно включить правило межсетевого экрана, чтобы оно применялось к пакетам трафика.

Вы можете включить или выключить правило межсетевого экрана в шаблоне межсетевого экрана или на устройстве CPE. Правило межсетевого экрана, включенное или выключенное в шаблоне межсетевого экрана, автоматически включается или выключается на всех устройствах CPE, которые используют шаблон межсетевого экрана.

Чтобы включить или выключить правило межсетевого экрана:

1. Перейдите к включению или выключению правила межсетевого экрана одним из следующих способов:
   • Если вы хотите включить или выключить правило межсетевого экрана в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку Правила.
   • Если вы хотите включить или выключить правило межсетевого экрана на устройстве CPE, в меню перейдите в раздел SD-WAN → CPE, нажмите на устройство CPE, выберите вкладку Межсетевой экран → Правила и установите флажок Переопределить.

   Отобразится таблица правил межсетевого экрана.

2. Нажмите на кнопку Включить или Выключить рядом с правилом межсетевого экрана, которое вы хотите включить или выключить.

   Правило межсетевого экрана будет включено или выключено.

3. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Изменение правила межсетевого экрана

Вы можете изменить правило межсетевого экрана в шаблоне межсетевого экрана или на устройстве CPE. Правило межсетевого экрана, измененное в шаблоне межсетевого экрана, автоматически изменяется на всех устройствах CPE, которые используют шаблон межсетевого экрана.

Чтобы изменить правило межсетевого экрана:

1. Перейдите к изменению правила межсетевого экрана одним из следующих способов:
   • Если вы хотите изменить правило межсетевого экрана в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку Правила.
   • Если вы хотите изменить правило межсетевого экрана на устройстве CPE, в меню перейдите в раздел SD-WAN → CPE, нажмите на устройство CPE, выберите вкладку Межсетевой экран → Правила и установите флажок Переопределить.

   Отобразится таблица правил межсетевого экрана.

2. Нажмите на кнопку Изменить рядом с правилом межсетевого экрана, которое вы хотите изменить.
3. В открывшемся окне при необходимости измените параметры правила межсетевого экрана. Описание параметров см. в инструкции по созданию правила межсетевого экрана.
4. Нажмите на кнопку Сохранить.

   Правило межсетевого экрана будет изменено и обновится в таблице.

5. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

Удаление правила межсетевого экрана

Вы можете удалить правило межсетевого экрана в шаблоне межсетевого экрана или на устройстве CPE. Правило межсетевого экрана, удаленное в шаблоне межсетевого экрана, автоматически удаляется на всех устройствах CPE, которые используют шаблон межсетевого экрана.

Удаленные правила межсетевого экрана невозможно восстановить.

Чтобы удалить правило межсетевого экрана:

1. Перейдите к удалению правила межсетевого экрана одним из следующих способов:
   • Если вы хотите удалить правило межсетевого экрана в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон межсетевого экрана и выберите вкладку Правила.
   • Если вы хотите удалить правило межсетевого экрана на устройстве CPE, в меню перейдите в раздел SD-WAN → CPE, нажмите на устройство CPE, выберите вкладку Межсетевой экран → Правила и установите флажок Переопределить.

   Отобразится таблица правил межсетевого экрана.

2. Нажмите на кнопку Удалить рядом с правилом межсетевого экрана, которое вы хотите удалить.
3. В открывшемся окне подтверждения нажмите на кнопку Удалить.

   Правило межсетевого экрана будет удалено и перестанет отображаться в таблице.

4. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.