Настройка основных параметров межсетевого экрана
Вы можете настроить основные параметры межсетевого экрана в шаблоне межсетевого экрана или на устройстве CPE. Когда вы настраиваете основные параметры межсетевого экрана в шаблоне, эти параметры автоматически распространяются на все использующие шаблон устройства CPE.
Межсетевой экран применяет к пакетам трафика действия, указанные в основных параметрах. Это происходит, если к пакетам трафика не было применено ни одно из правил межсетевого экрана, и пакеты не были переданы ни в одну из зон межсетевого экрана.
Чтобы настроить основные параметры межсетевого экрана:
- Перейдите к настройке основных параметров межсетевого экрана одним из следующих способов:
- Если вы хотите настроить основные параметры экрана в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана и нажмите на шаблон.
- Если вы хотите настроить основные параметры межсетевого экрана на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство, в отобразившейся области настройки выберите вкладку Параметры межсетевого экрана → Глобальные настройки и установите флажок Переопределить.
Отобразятся основные параметры межсетевого экрана.
- Если вы хотите выключить защиту от SYN-флуда, снимите флажок Защита от Syn-flood. По умолчанию флажок установлен. Когда защита от SYN-флуда включена, на устройство CPE раз в секунду может передаваться не более 25 пакетов трафика с флагами
SYN
,ACK
,RST
иFIN
. - Если вы хотите, чтобы межсетевой экран отбрасывал входящие на устройство CPE пакеты трафика, отмеченные функцией conntrack как неправильные, установите флажок DROP неправильных пакетов. По умолчанию флажок снят.
- Если вы хотите выключить использование технологии DPI (Deep Packet Inspection), снимите флажок Включить DPI. По умолчанию флажок установлен. С помощью технологии DPI вы можете создавать правила межсетевого экрана, которые применяются только к пакетам трафика указанного вами приложения.
Когда использование технологии DPI выключено, вы не можете настроить маркировку DPI, и правила межсетевого экрана, которые используют эту технологию, автоматически выключаются.
- В раскрывающемся списке INPUT-действие по умолчанию выберите действие, которое межсетевой экран должен выполнять со входящими пакетами трафика:
- ACCEPT – принимать пакеты трафика. Значение по умолчанию.
- DROP – отбрасывать пакеты трафика.
- REJECT – отклонять пакеты трафика с сообщением
icmp-reject
.
- В раскрывающемся списке OUTPUT-действие по умолчанию выберите действие, которое межсетевой экран должен выполнять с исходящими пакетами трафика:
- ACCEPT – принимать пакеты трафика. Значение по умолчанию.
- DROP – отбрасывать пакеты трафика.
- REJECT – отклонять пакеты трафика с сообщением
icmp-reject
.
- В раскрывающемся списке FORWAD-действие по умолчанию выберите действие, которое межсетевой экран должен выполнять с пакетами трафика, перенаправленными между сетевыми интерфейсами и подсетями:
- ACCEPT – принимать пакеты трафика. Значение по умолчанию.
- DROP – отбрасывать пакеты трафика.
- REJECT – отклонять пакеты трафика с сообщением
icmp-reject
.
- В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.