Добавление интерфейсов в зоны безопасности

Вы можете добавить интерфейс в одну зону безопасности типа L2 или L3 при создании или изменении соответствующего сетевого интерфейса. Перед добавлением интерфейса в зону безопасности убедитесь, что необходимые зоны созданы.

Устройство получает из глобальной конфигурации только те зоны, в которые добавлены его интерфейсы.

К трафику, полученному на устройство, могут применяться все функции безопасности, доступные в Kaspersky NGFW, которые вы настроили для зоны безопасности соответствующего типа – L2 или L3. Таким образом, вы можете настроить обработку трафика, поступающего на L2- и L3-интерфейсы, без необходимости внесения изменений в сетевую инфраструктуру компании.

Если в зону, которая используется в правиле, не добавлено ни одного интерфейса, то такое правило будет игнорироваться на устройстве. Политики, в которых используются такие зоны, перестанут синхронизироваться с устройством.

Правила фильтрации применяются к трафику, только если при передаче он остается в рамках зоны безопасности одного типа.

Вы можете добавить интерфейс в зону безопасности типа L2, если для этого интерфейса выполняются все следующие условия:

• Интерфейс является сабинтерфейсом, агрегированным или физическим интерфейсом.
• Интерфейс имеет роль интерфейса плоскости передачи данных.
• Интерфейс входит в виртуальную таблицу маршрутизации VRF Main и не входит в пользовательские виртуальные таблицы маршрутизации или в VRF Management.
• Интерфейс не имеет протоколов и сабинтерфейсов.
• Интерфейс не входит в состав маршрута, кластера, DHCP Relay и агрегированного интерфейса.

Если вы добавили интерфейс в зону безопасности типа L2, вы не сможете изменить для него параметры, описанные выше (например, изменить тип или роль, переместить его в другую виртуальную таблицу маршрутизации, добавить сабинтерфейсы).

Для следующих интерфейсов не доступен выбор зоны безопасности:

• для физических интерфейсов, если у них есть сабинтерфейсы;
• для агрегированных интерфейсов, если у них есть сабинтерфейсы;
• для физических интерфейсов, которые входят в агрегированные интерфейсы;
• для интерфейсов, выполняющих роль интерфейсов синхронизации в кластерах;
• для интерфейсов с ролью выделенного интерфейса управления.

Также имеются следующие ограничения:

• Если интерфейс используется в OSPF-маршруте, вы не можете добавить его в L2-зону.
• Интерфейсы, входящие в сетевой мост, могут быть добавлены только в зону безопасности типа L2.
• Если у интерфейса в качестве протокола выбран статический IP-адрес или DHCP-клиент, и он не входит в L2-мост, такой интерфейс можно добавить только в зону типа L3.
• Вы не можете добавить интерфейс в зону L2, если есть использующие его сущности.

В начало