Изменение правила межсетевого экрана
Вы можете изменить правило межсетевого экрана в шаблоне межсетевого экрана или на устройстве CPE. Когда вы изменяете правило межсетевого экрана в шаблоне, это правило автоматически изменяется на всех использующих шаблон устройствах CPE.
Чтобы изменить правило межсетевого экрана:
- Перейдите к изменению правила межсетевого экрана одним из следующих способов:
- Если вы хотите изменить правило межсетевого экрана в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон и в отобразившейся области настройки выберите вкладку Правила.
- Если вы хотите изменить правило межсетевого экрана на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство, в отобразившейся области настройки выберите вкладку Параметры межсетевого экрана → Правила и установите флажок Переопределить.
Отобразится таблица правил межсетевого экрана.
- Нажмите на кнопку Изменить рядом с правилом межсетевого экрана, которое вы хотите изменить.
- В открывшемся окне в поле Имя введите имя правила межсетевого экрана. Максимальная длина: 255 символов.
- В раскрывающемся списке Действие выберите действие, которое правило межсетевого экрана должно выполнять с пакетами трафика:
- ACCEPT – принимать пакеты трафика. Значение по умолчанию.
- DROP – отбрасывать пакеты трафика.
- REJECT – отклонять пакеты трафика с сообщением
icmp-reject
. - ADJ-MSS – изменять значение в поле MSS в TCP-заголовке пакетов трафика на указанное значение. При выборе этого значения в поле Величина MSS введите значение MSS. Диапазон значений: от 68 до 10 000.
- Укажите критерии, согласно которым межсетевой экран должен применять правило к пакетам трафика:
- Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанными IP-адресами или подсетями источника или назначения, в раскрывающемся списке Набор IP выберите ранее созданный набор IP. При выборе значения в этом раскрывающемся списке становятся недоступны блоки IP источника и IP назначения.
- Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанной версией IP-адресов или подсетей источника или назначения, в раскрывающемся списке Версия IP выберите одно из следующих значений:
- IPv4.
- IPv6.
Если не выбрать значение, правило межсетевого экрана применяется к пакетам трафика с любой версией IP-адресов или подсетей источника или назначения.
- Если вы хотите применять правило межсетевого экрана только к пакетам трафика c указанной зоной источника, в раскрывающемся списке Зона источника выберите ранее созданную зону.
- Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанной зоной назначения, в раскрывающемся списке Зона назначения выберите ранее созданную зону.
- Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанным IPv4-адресом или префиксом источника, выполните следующие действия:
- В блоке IP источника нажмите на кнопку + Добавить.
- В отобразившемся поле введите IPv4-адрес или префикс.
IPv4-адрес или префикс источника будет указан и отобразится в блоке IP источника. Вы можете указать несколько IPv4-адресов или префиксов и удалить IPv4-адрес или префикс, нажав рядом с ним на значок удаления .
- Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанным IPv4-адресом или префиксом назначения, выполните следующие действия:
- В блоке IP назначения нажмите на кнопку + Добавить.
- В отобразившемся поле введите IPv4-адрес или префикс.
IPv4-адрес или префикс назначения будет указан и отобразится в блоке IP назначения. Вы можете указать несколько IPv4-адресов или префиксов и удалить IPv4-адрес или префикс, нажав рядом с ним на значок удаления .
- Если вы хотите применять правило межсетевого экрана только к пакетам трафика указанного протокола, в раскрывающемся списке Протокол выберите протокол. При выборе значения в этом раскрывающемся списке становится недоступным раскрывающийся список DPI протокол.
Если вы выбрали TCP или UDP, и вы хотите применять правило межсетевого экрана только к пакетам трафика с указанными портами источника и/или назначения, выполните следующие действия:
- В поле Порт источника введите номер порта источника или диапазон номеров порта источника.
- В поле Порт назначения введите номер порта назначения или диапазон номеров порта назначения.
Диапазон значений: от 0 до 65 535. Формат диапазона номеров портов:
<
первое значение
>-<
последнее значение
>
. Например, вы можете ввести10
или10-15
. - Если вы хотите применять правило межсетевого экрана только к пакетам трафика указанного приложения, в раскрывающемся списке DPI протокол выберите приложение.
Трафик приложения определяется с помощью технологии DPI, которая создает дополнительную нагрузку на процессор устройства CPE.
Вы можете указать марки DPI, на основании которых правило должно применяться к пакетам трафика. Если вы выключили использование технологии DPI при настройке основных параметров межсетевого экрана, правило автоматически выключается.
- Нажмите на кнопку Сохранить.
Правило межсетевого экрана будет изменено и обновится в таблице.
- В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.