Настройка основных параметров межсетевого экрана

Вы можете настроить основные параметры межсетевого экрана в шаблоне межсетевого экрана или на устройстве CPE. Когда вы настраиваете основные параметры межсетевого экрана в шаблоне, эти параметры автоматически распространяются на все использующие шаблон устройства CPE.

Межсетевой экран применяет к пакетам трафика действия, указанные в основных параметрах. Это происходит, если к пакетам трафика не было применено ни одно из правил межсетевого экрана, и пакеты не были переданы ни в одну из зон межсетевого экрана.

Чтобы настроить основные параметры межсетевого экрана:

1. Перейдите к настройке основных параметров межсетевого экрана одним из следующих способов:
   • Если вы хотите настроить основные параметры экрана в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана и нажмите на шаблон.
   • Если вы хотите настроить основные параметры межсетевого экрана на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство, в отобразившейся области настройки выберите вкладку Параметры межсетевого экрана → Глобальные настройки и установите флажок Переопределить.

   Отобразятся основные параметры межсетевого экрана.

2. Если вы хотите выключить защиту от SYN-флуда, снимите флажок Защита от Syn-flood. По умолчанию флажок установлен. Когда защита от SYN-флуда включена, на устройство CPE раз в секунду может передаваться не более 25 пакетов трафика с флагами SYN, ACK, RST и FIN.
3. Если вы хотите, чтобы межсетевой экран отбрасывал входящие на устройство CPE пакеты трафика, отмеченные функцией conntrack как неправильные, установите флажок DROP неправильных пакетов. По умолчанию флажок снят.
4. Если вы хотите выключить использование технологии DPI (Deep Packet Inspection), снимите флажок Включить DPI. По умолчанию флажок установлен. С помощью технологии DPI вы можете создавать правила межсетевого экрана, которые применяются только к пакетам трафика указанного вами приложения.

   Когда использование технологии DPI выключено, вы не можете настроить маркировку DPI, и правила межсетевого экрана, которые используют эту технологию, автоматически выключаются.

5. В раскрывающемся списке INPUT-действие по умолчанию выберите действие, которое межсетевой экран должен выполнять со входящими пакетами трафика:
   • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
6. В раскрывающемся списке OUTPUT-действие по умолчанию выберите действие, которое межсетевой экран должен выполнять с исходящими пакетами трафика:
   • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
7. В раскрывающемся списке FORWAD-действие по умолчанию выберите действие, которое межсетевой экран должен выполнять с пакетами трафика, перенаправленными между сетевыми интерфейсами и подсетями:
   • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
   • DROP – отбрасывать пакеты трафика.
   • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
8. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.