Управление межсетевым экраном

Kaspersky SD-WAN поддерживает межсетевой экран (англ. firewall) для фильтрации пакетов трафика на устройстве CPE. Межсетевой экран может принимать (англ. accept), отбрасывать (англ. drop) и отклонять (англ. reject) пакеты трафика. При отклонении пакета трафика отправитель получает сообщение icmp-reject. Каждое из действий межсетевой экран может применять ко входящим и исходящим пакетам трафика, а также к пакетам трафика, перенаправляемым между сетевыми интерфейсами и подсетями.

Вам нужно указать параметры межсетевого экрана в шаблоне межсетевого экрана, после чего применить его к устройствам CPE при добавлении или ручной регистрации устройств, чтобы не настраивать каждое отдельное устройство. Если вы изменяете параметр межсетевого экрана в шаблоне, этот параметр автоматически изменяется на всех использующих шаблон устройствах CPE. Если вы изменяете параметр межсетевого экрана на устройстве CPE, этот параметр перестает зависеть от шаблона межсетевого экрана. При изменении в шаблоне межсетевого экрана такой параметр не изменяется на устройстве CPE.

Для выполнения действий с пакетами трафика, передающимися через сетевые интерфейсы и подсети, вам нужно поместить эти сетевые интерфейсы и подсети в зону межсетевого экрана (англ. firewall zone, далее также зона). Вы можете создать общие зоны, которые могут использовать несколько устройств CPE, и зоны на отдельном устройстве. При создании зоны вы указываете, какие действия должны выполняться с пакетами трафика и добавляете в нее подсети. Сетевые интерфейсы можно добавить в зону при создании или изменении этих интерфейсов. Для разрешения или запрета передачи трафика между двумя зонами можно создать передачу (англ. forwarding).

Вы не можете изменить общую зону, так как она может использоваться большим количеством шаблонов CPE и устройств, и изменение такой зоны привело бы к массовому обновлению всех использующих ее компонентов и перегрузке оркестратора. Если вы хотите изменить общую зону, вам нужно создать новую общую зону. В созданную общую зону необходимо добавить сетевые интерфейсы и подсети, которые были добавлены в предыдущую общую зону.

Для выполнения действий с пакетами трафика на основании указанных критериев вам нужно создать правила межсетевого экрана. Например, вы можете создать правило межсетевого экрана, которое отклоняет пакеты трафика с указанной вами зоной источника. При необходимости указать в нескольких правилах межсетевого экрана одинаковые IP-адреса или подсети можно создать набор IP (англ. IP set).

Когда пакет трафика передается на устройство CPE, к этому пакету трафика применяется одно из правил межсетевого экрана. Если ни одно из правил межсетевого экрана не может быть применено, с пакетом трафика выполняется действие, указанное в параметрах зоны, в которую был передан этот пакет. Если пакет трафика не был передан ни в одну из зон, с ним выполняется действие по умолчанию, которое вы указываете при настройке основных параметров межсетевого экрана.

Межсетевой экран поддерживает следующие механизмы трансляции сетевых адресов (англ. network address translation, NAT):

• DNAT-правила – могут заменять следующие элементы пакетов трафика указанными вами значениями:
  • IP-адреса или префиксы назначения;
  • зоны назначения;
  • порты назначения (Port Address Translation, PAT).
• SNAT-правила – могут заменять IP-адреса или префиксы источника пакетов трафика указанными вами значениями.

DNAT-правила и SNAT-правила применяются к пакетам трафика на основании указанных критериев. Например, вы можете создать DNAT-правило, которое заменяет IP-адрес назначения пакетов трафика протокола TCP.