Поддержка

Поддержка приложений для бизнеса

Kaspersky SD-WAN

Управление межсетевым экраном

Работа с зонами межсетевого экрана

Создание зоны межсетевого экрана

Kaspersky SD-WAN
Нет результатов
Онлайн-справка
FAQ Форум Запрос в поддержку Утилиты для лечения

Создание зоны межсетевого экрана

09 апреля 2024

ID 270039

Скачать PDF

Вы можете создать общую зону межсетевого экрана или зону на устройстве CPE.

Чтобы создать зону межсетевого экрана:

  1. Перейдите к созданию зоны межсетевого экрана одним из следующих способов:
    • Если вы хотите создать общую зону межсетевого экрана, в меню перейдите в раздел SD-WAN → Зоны межсетевого экрана и в верхней части страницы нажмите на кнопку + Зона межсетевого экрана.
    • Если вы хотите создать зону межсетевого экрана на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство, в отобразившейся области настройки выберите вкладку Параметры межсетевого экрана → Зоны, установите флажок Переопределить и нажмите на кнопку + Зона межсетевого экрана.

    Отобразится таблица зон межсетевого экрана.

  2. В открывшемся окне в поле Имя введите имя зоны межсетевого экрана. Максимальная длина: 255 символов.
  3. В раскрывающемся списке Вход выберите действие, которое межсетевой экран должен выполнять со входящими пакетами трафика:
    • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
    • DROP – отбрасывать пакеты трафика.
    • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
  4. В раскрывающемся списке Выход выберите действие, которое межсетевой экран должен выполнять с исходящими пакетами трафика:
    • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
    • DROP – отбрасывать пакеты трафика.
    • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
  5. В раскрывающемся списке Передача выберите действие, которое межсетевой экран должен выполнять с пакетами трафика, перенаправляемым между сетевыми интерфейсами и подсетями:
    • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
    • DROP – отбрасывать пакеты трафика.
    • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
  6. Если вы хотите заменять IP-адрес источника исходящих из зоны пакетов трафика на IP-адрес, назначенный исходящему (англ. egress) сетевому интерфейсу, выполните следующие действия:
    1. Установите флажок Маскарадинг. По умолчанию флажок снят.
    2. Если вы хотите заменять IP-адрес источника только пакетов трафика с указанной подсетью источника, выполните следующие действия:
      1. В блоке Маскарадинг подсетей источника нажмите на кнопку + Добавить.
      2. В отобразившемся поле введите IPv4-префикс.

      Подсеть будет указана и отобразится в блоке Маскарадинг подсетей источника. Вы можете указать несколько подсетей и удалить подсеть, нажав рядом с ней на значок удаления .

    3. Если вы хотите заменять IP-адрес источника только пакетов трафика с указанной подсетью назначения, выполните следующие действия:
      1. В блоке Маскарадинг подсетей назначения нажмите на кнопку + Добавить.
      2. В отобразившемся поле введите IPv4-префикс.

      Подсеть будет указана и отобразится в блоке Маскарадинг подсетей назначения. Вы можете указать несколько подсетей и удалить подсеть, нажав рядом с ней на значок удаления .

  7. Если вы не хотите, чтобы межсетевой экран ограничивал значение MSS (Maximum Segment Size) передающихся через зону пакетов трафика до значения PMTU (Path Maximum Transmission Unit), после чего отнимал от него значение 40, снимите флажок Ограничивать MSS до PMTU. Значение 40 отнимается для исключения размера TCP-заголовка. По умолчанию флажок установлен.
  8. Если вы хотите, чтобы межсетевой экран вел журнал отброшенных в зоне пакетов трафика, установите флажок Журналировать drop-ы. Если созданные на устройстве CPE журналы отправляются на Syslog-сервер, вы можете просмотреть журналы на этом сервере. Если созданные на устройстве CPE журналы хранятся локально, вы можете просмотреть журналы, запросив диагностическую информацию. По умолчанию флажок снят.
  9. Если сетевые интерфейсы устройств CPE подключены к коммутаторам или маршрутизаторам L3, и вы хотите передавать через зону межсетевого экрана пакеты трафика из подсетей этих коммутаторов или маршрутизаторов, добавьте в зону подсеть, выполнив следующие действия:
    1. В блоке Сети нажмите на кнопку + Добавить.
    2. В отобразившемся поле введите IPv4-префикс подсети.

    Подсеть будет добавлена и отобразится в блоке Сети. Вы можете добавить несколько подсетей и удалить подсеть, нажав рядом с ней на значок удаления .

  10. Нажмите на кнопку Создать.

    Зона межсетевого экрана будет создана и отобразится в таблице.

  11. Если вы создали зону межсетевого экрана на устройстве CPE, в верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры устройства.

Вам нужно добавить в созданную зону межсетевого экрана сетевые интерфейсы. Это можно сделать при создании или изменении сетевого интерфейса. Если вы создали зону межсетевого экрана на устройстве CPE, вы можете добавить в зону только созданные на этом устройстве сетевые интерфейсы.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!