Поддержка

Поддержка приложений для бизнеса

Kaspersky SD-WAN

Управление межсетевым экраном

Работа с зонами межсетевого экрана

Изменение зоны межсетевого экрана на устройстве CPE

Kaspersky SD-WAN
Нет результатов
Онлайн-справка
FAQ Форум Запрос в поддержку Утилиты для лечения

Изменение зоны межсетевого экрана на устройстве CPE

09 апреля 2024

ID 270269

Скачать PDF

Вы можете изменить ранее созданную на устройстве CPE зону межсетевого экрана.

Вы не можете изменить общую зону, так как она может использоваться большим количеством шаблонов CPE и устройств, и изменение такой зоны привело бы к массовому обновлению всех использующих ее компонентов и перегрузке оркестратора. Если вы хотите изменить общую зону, вам нужно создать новую общую зону. В созданную общую зону необходимо добавить сетевые интерфейсы и подсети, которые были добавлены в предыдущую общую зону.

Чтобы изменить зону межсетевого экрана на устройстве CPE:

  1. В меню перейдите в раздел SD-WAN → Устройства CPE.

    Отобразится таблица устройств CPE.

  2. Нажмите на устройство CPE.

    В нижней части страницы отобразится область настройки. Вы можете развернуть область настройки на всю страницу, нажав на значок развертывания . По умолчанию будет выбрана вкладка Конфигурация, на которой отображается основная информация об устройстве CPE. На этой вкладке также отображается таблица выполняемых оркестратором задач Внеполосное управление.

  3. Выберите вкладку Параметры межсетевого экрана → Зоны.

    Отобразится таблица зон межсетевого экрана.

  4. Установите флажок Переопределить.
  5. Нажмите на кнопку Изменить рядом с зоной, которую вы хотите изменить.
  6. В открывшемся окне в поле Имя введите имя зоны межсетевого экрана. Максимальная длина: 255 символов.
  7. В раскрывающемся списке Вход выберите действие, которое межсетевой экран должен выполнять со входящими пакетами трафика:
    • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
    • DROP – отбрасывать пакеты трафика.
    • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
  8. В раскрывающемся списке Выход выберите действие, которое межсетевой экран должен выполнять с исходящими пакетами трафика:
    • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
    • DROP – отбрасывать пакеты трафика.
    • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
  9. В раскрывающемся списке Передача выберите действие, которое межсетевой экран должен выполнять с пакетами трафика, перенаправляемым между сетевыми интерфейсами и подсетями:
    • ACCEPT – принимать пакеты трафика. Значение по умолчанию.
    • DROP – отбрасывать пакеты трафика.
    • REJECT – отклонять пакеты трафика с сообщением icmp-reject.
  10. Если вы хотите заменять IP-адрес источника исходящих из зоны пакетов трафика на IP-адрес, назначенный исходящему (англ. egress) сетевому интерфейсу, выполните следующие действия:
    1. Установите флажок Маскарадинг. По умолчанию флажок снят.
    2. Если вы хотите заменять IP-адрес источника только пакетов трафика с указанной подсетью источника, выполните следующие действия:
      1. В блоке Маскарадинг подсетей источника нажмите на кнопку + Добавить.
      2. В отобразившемся поле введите IPv4-префикс.

      Подсеть будет указана и отобразится в блоке Маскарадинг подсетей источника. Вы можете указать несколько подсетей и удалить подсеть, нажав рядом с ней на значок удаления .

    3. Если вы хотите заменять IP-адрес источника только пакетов трафика с указанной подсетью назначения, выполните следующие действия:
      1. В блоке Маскарадинг подсетей назначения нажмите на кнопку + Добавить.
      2. В отобразившемся поле введите IPv4-префикс.

      Подсеть будет указана и отобразится в блоке Маскарадинг подсетей назначения. Вы можете указать несколько подсетей и удалить подсеть, нажав рядом с ней на значок удаления .

  11. Если вы не хотите, чтобы межсетевой экран ограничивал значение MSS (Maximum Segment Size) передающихся через зону пакетов трафика до значения PMTU (Path Maximum Transmission Unit), после чего отнимал от него значение 40, снимите флажок Ограничивать MSS до PMTU. Значение 40 отнимается для исключения размера TCP-заголовка. По умолчанию флажок установлен.
  12. Если вы хотите, чтобы межсетевой экран вел журнал отброшенных в зоне пакетов трафика, установите флажок Журналировать drop-ы. Если созданные на устройстве CPE журналы отправляются на Syslog-сервер, вы можете просмотреть журналы на этом сервере. Если созданные на устройстве CPE журналы хранятся локально, вы можете просмотреть журналы, запросив диагностическую информацию. По умолчанию флажок снят.
  13. Если сетевые интерфейсы устройств CPE подключены к коммутаторам или маршрутизаторам L3, и вы хотите передавать через зону межсетевого экрана пакеты трафика из подсетей этих коммутаторов или маршрутизаторов, добавьте в зону подсеть, выполнив следующие действия:
    1. В блоке Сети нажмите на кнопку + Добавить.
    2. В отобразившемся поле введите IPv4-префикс подсети.

    Подсеть будет добавлена и отобразится в блоке Сети. Вы можете добавить несколько подсетей и удалить подсеть, нажав рядом с ней на значок удаления .

  14. Нажмите на кнопку Сохранить.

    Зона межсетевого экрана будет изменена и обновится в таблице.

  15. В верхней части области настройки нажмите на кнопку Сохранить, чтобы сохранить параметры устройства CPE.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!