Поддержка

Поддержка приложений для бизнеса

Kaspersky SD-WAN

Управление межсетевым экраном

Работа с правилами межсетевого экрана

Создание правила межсетевого экрана

Kaspersky SD-WAN
Нет результатов
Онлайн-справка
FAQ Форум Запрос в поддержку Утилиты для лечения

Создание правила межсетевого экрана

09 апреля 2024

ID 270206

Скачать PDF

Вы можете создать правило межсетевого экрана в шаблоне межсетевого экрана или на устройстве CPE. Когда вы создаете правило межсетевого экрана в шаблоне, это правило автоматически создается на всех использующих шаблон устройствах CPE.

Чтобы создать правило межсетевого экрана:

  1. Перейдите к созданию правила межсетевого экрана одним из следующих способов:
    • Если вы хотите создать правило межсетевого экрана в шаблоне межсетевого экрана, в меню перейдите в раздел SD-WAN → Шаблоны межсетевого экрана, нажмите на шаблон и в отобразившейся области настройки выберите вкладку Правила.
    • Если вы хотите создать правило межсетевого экрана на устройстве CPE, в меню перейдите в раздел SD-WAN → Устройства CPE, нажмите на устройство, в отобразившейся области настройки выберите вкладку Параметры межсетевого экрана → Правила и установите флажок Переопределить.

    Отобразится таблица правил межсетевого экрана.

  2. Нажмите на кнопку + Правило.
  3. В открывшемся окне в поле Имя введите имя правила межсетевого экрана. Максимальная длина: 255 символов.
  4. В раскрывающемся списке Действие выберите действие, которое правило межсетевого экрана должно выполнять с пакетами трафика:
    • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
    • DROP – отбрасывать пакеты трафика.
    • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
    • ADJ-MSS – изменять значение в поле MSS в TCP-заголовке пакетов трафика на указанное значение. При выборе этого значения в поле Величина MSS введите значение MSS. Диапазон значений: от 68 до 10 000.
  5. Укажите критерии, согласно которым межсетевой экран должен применять правило к пакетам трафика:
    1. Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанными IP-адресами или подсетями источника или назначения, в раскрывающемся списке Набор IP выберите ранее созданный набор IP. При выборе значения в этом раскрывающемся списке становятся недоступны блоки IP источника и IP назначения.
    2. Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанной версией IP-адресов или подсетей источника или назначения, в раскрывающемся списке Версия IP выберите одно из следующих значений:
      • IPv4.
      • IPv6.

      Если не выбрать значение, правило межсетевого экрана применяется к пакетам трафика с любой версией IP-адресов или подсетей источника или назначения.

    3. Если вы хотите применять правило межсетевого экрана только к пакетам трафика c указанной зоной источника, в раскрывающемся списке Зона источника выберите ранее созданную зону.
    4. Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанной зоной назначения, в раскрывающемся списке Зона назначения выберите ранее созданную зону.
    5. Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанным IPv4-адресом или префиксом источника, выполните следующие действия:
      1. В блоке IP источника нажмите на кнопку + Добавить.
      2. В отобразившемся поле введите IPv4-адрес или префикс.

      IPv4-адрес или префикс источника будет указан и отобразится в блоке IP источника. Вы можете указать несколько IPv4-адресов или префиксов и удалить IPv4-адрес или префикс, нажав рядом с ним на значок удаления .

    6. Если вы хотите применять правило межсетевого экрана только к пакетам трафика с указанным IPv4-адресом или префиксом назначения, выполните следующие действия:
      1. В блоке IP назначения нажмите на кнопку + Добавить.
      2. В отобразившемся поле введите IPv4-адрес или префикс.

      IPv4-адрес или префикс назначения будет указан и отобразится в блоке IP назначения. Вы можете указать несколько IPv4-адресов или префиксов и удалить IPv4-адрес или префикс, нажав рядом с ним на значок удаления .

    7. Если вы хотите применять правило межсетевого экрана только к пакетам трафика указанного протокола, в раскрывающемся списке Протокол выберите протокол. При выборе значения в этом раскрывающемся списке становится недоступным раскрывающийся список DPI протокол.

      Если вы выбрали TCP или UDP, и вы хотите применять правило межсетевого экрана только к пакетам трафика с указанными портами источника и/или назначения, выполните следующие действия:

      1. В поле Порт источника введите номер порта источника или диапазон номеров порта источника.
      2. В поле Порт назначения введите номер порта назначения или диапазон номеров порта назначения.

      Диапазон значений: от 0 до 65 535. Формат диапазона номеров портов: <первое значение>-<последнее значение>. Например, вы можете ввести 10 или 10-15.

    8. Если вы хотите применять правило межсетевого экрана только к пакетам трафика указанного приложения, в раскрывающемся списке DPI протокол выберите приложение.

      Трафик приложения определяется с помощью технологии DPI, которая создает дополнительную нагрузку на процессор устройства CPE.

      Вы можете указать марки DPI, на основании которых правило должно применяться к пакетам трафика. Если вы выключили использование технологии DPI при настройке основных параметров межсетевого экрана, правило автоматически выключается.

  6. Нажмите на кнопку Создать.

    Правило межсетевого экрана будет создано и отобразится в таблице.

  7. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры шаблона межсетевого экрана или устройства CPE.

По умолчанию правило межсетевого экрана выключено. Вам нужно включить правило межсетевого экрана, чтобы оно применялось к пакетам трафика.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!