السلوك الافتراضي لـ Socket هو توجيه كل حركة المرور WAN والإنترنت إلى PoP لفحص الأمان. يتضمن ذلك حركة مرور LAN بين قطاعات الشبكة المجاورة داخل الموقع (مثل VLANs). في بعض السيناريوهات، قد ترغب في تجاوز السلوك الافتراضي، وتهيئة Socket في موقع للسماح أو حظر الاتصال بين قطاعين من الشبكة أو المضيفين، مباشرةً على Socket، دون إرسال الحركة إلى Cato PoP. مع سياسة جدار الحماية LAN، يمكنك تهيئة القواعد للسماح بحركة مرور LAN أو حظرها مباشرةً على Socket. يمكنك اختياريًا تمكين التتبع (الأحداث) لكل قاعدة.
ملاحظة
ملاحظة: يعد جدار الحماية LAN تحسينًا لسياسة التوجيه المحلي. لمزيد من المعلومات، انظر أدناه متطلبات استخدام جدار الحماية المحلي وترقية سياسة التوجيه المحلية إلى جدار الحماية المحلي.
يتيح لك جدار الحماية LAN حظر أو السماح لأنواع معينة من حركة المرور على مستوى Socket، بإنشاء سياسات وفقًا لاحتياجاتك.
يظهر الشكل أدناه قاعدة جدار الحماية LAN التي تسمح بحركة المرور من LAN1 إلى LAN2.
يظهر هذا الشكل قاعدة جدار الحماية LAN التي تحظر حركة المرور من LAN1 إلى LAN2.
ما يلي هو عينة قاعدة تهيئة لجدار الحماية LAN. كل قاعدة يتم شرحها أدناه:
قاعدة 1 - 'حظر الضيف' - تمنع هذه القاعدة المضيفين الذين يستخدمون شبكة 'Guest-Wifi' من الوصول إلى أي مضيفين أو موارد داخلية أخرى في الموقع مع تتبع هذه الأحداث. لا يزال بإمكان المضيفين الوصول إلى الإنترنت.
قاعدة 2 - "السماح بمشاركة الملفات" - تسمح هذه القاعدة فقط للمضيفين المتصلين بالشبكة 'Corp-Users' بالاتصال بالخوادم في الشبكة المحلية 'File-Servers' عبر HTTPS أو SMB (TCP/445). يتم تتبع كل تدفق في الأحداث. مع هذه السياسة المحلية السماح، يتم تقليل حجم النفق لـ SMB و HTTPS بين الشبكات حيث يتم إدارة حركة المرور محليًا في الموقع ولا تمر عبر النفق.
قاعدة 3 - 'السماح بالخادم CCTV' - تسمح هذه القاعدة للمضيفين من شبكة 'IOT-Cameras' بالاتصال بالشبكة 'IOT-File-Servers' عبر HTTPS فقط. يتم تتبع كل تدفق في الأحداث.
سلوك ضمني - أي حركة مرور مضيف أخرى غير معرفة في قاعدة القواعد سيتم إرسالها إلى Cato PoP للفحص قبل العودة إلى 'File-Servers'. على سبيل المثال، يتم إرسال أي حركة مرور من 'Corp-Users' إلى 'File-Servers' عبر TCP/21 (FTP) لن تتطابق مع قاعدة العينة وتنطلق السلوك الافتراضي (إرسال حركة المرور إلى Cato PoP).
يتم معالجة سياسة جدار الحماية LAN بترتيب من أول قاعدة إلى الأخيرة. بمجرد مطابقة قاعدة يتم تطبيق إجراء. وإلا، يتم إرسال الحركة إلى Cato PoP افتراضيًا.
تحتوي القواعد في أعلى قاعدة القواعد على أولوية أعلى لأنها تُطبق على الاتصالات قبل القواعد الموجودة في الأسفل في قاعدة القواعد. على سبيل المثال، إذا تطابق الاتصال مع القاعدة رقم 3، يتم تطبيق الإجراء على الاتصال ويوقف جدار الحماية فحصه. لا يستمر جدار الحماية في تطبيق القاعدة رقم 4 وما دونها على الاتصال. يمكنك زيادة كفاءة جدار الحماية LAN وإعطاء أولوية عالية للقواعد التي تطابق أكبر عدد من الاتصالات.
يمثل الجدول التالي دعم تمرير البيانات عبر جدار الحماية LAN لكل نموذج من نماذج Socket.
ملاحظة: تمثل القيم المذكورة أدناه بناءً على اختبارات Socket v19.0 أحادية البعد في بيئة مختبر.
|
نموذج Socket |
عرض النطاق الترددي TCP |
عرض النطاق الترددي UDP |
|---|---|---|
|
X1500 |
حتى 1Gb/sec |
حتى 2Gb/sec |
|
X1600 |
حتى 8Gb/sec |
حتى 8.5Gb/sec |
|
X1700 |
حتى 10Gb/sec |
حتى 12Gb/sec |
يعد جدار الحماية LAN تحسينًا لسياسة التوجيه المحلي الحالية. يتم تمكين هذه الميزة لكل موقع.
تأكد من أن جميع Sockets في الموقع تعمل بإصدارات Socket 18.0 أو أعلى.
-
إذا لم يتم تكوين قواعد التوجيه المحلي للموقع، يمكنك ترقيته فورًا إلى سياسة جدار الحماية LAN
-
إذا كانت هناك قواعد توجيه محلية مكوّنة للموقع، نقل قواعد التوجيه المحلية إلى جدار الحماية المحلي، راجع ترقية سياسة التوجيه المحلية إلى جدار الحماية المحلي
-
بعد الترقية إلى جدار الحماية LAN، قم بتمكين الميزة (تمكين جدار الحماية LAN التبديل في أعلى يمين الشاشة).
عندما تكون هذه الميزة معطلة، يتم إرسال كل الحركة إلى PoP.
يوضح هذا القسم كيفية تعريف القواعد لجدار الحماية LAN والكائنات والمنافذ والخدمات التي يمكنك تكوينها.
أنشئ قاعدة جديدة لجدار الحماية LAN وتهيئة الإعدادات للقاعدة لإدارة التوجيه لحركة مرور LAN. استخدم الخيار إضافة قاعدة أدناه بسهولة لإضافة قاعدة إلى المكان الصحيح في قاعدة القواعد.
ملاحظة
ملاحظة: قد يستغرق تطبيق التكوين الجديد على Socket دقيقة واحدة.
لتعريف قاعدة جدار الحماية LAN:
-
من قائمة التنقل، انقر على الشبكة > المواقع وحدد الموقع.
-
من قائمة التنقل، انقر على تهيئة الموقع > جدار الحماية LAN.
-
انقر على جديد. يفتح لوحة إضافة قاعدة.
-
في قسم عام:
-
أدخل اسم للقاعدة الجديدة.
-
افتراضيًا، تكون القاعدة ممكنة. يمكنك تعطيل القاعدة باستخدام التبديل ممكنة.
-
تحت الاتجاه، حدد إلى لتمكين حركة المرور في اتجاه واحد فقط، أو كلا لتمكين حركة المرور ثنائية الاتجاه.
-
اختر ترتيب القاعدة. نوصي بتعريف ترتيب قاعدة عالي للقواعد الأكثر دقة وترتيب قاعدة منخفض للقواعد الأقل دقة.
ملاحظة: يرجى الاطلاع على قسم "العمل مع قاعدة جدار الحماية LAN" لمزيد من المعلومات حول تكوين ترتيب القاعدة.
-
-
توسيع الأقسام المصدر و الوجهة، تعريف الكيانات المصدر والوجهة لحركة المرور لهذه القاعدة.
-
توسيع قسم الخدمة/المنفذ، اختر البروتوكولات التي تنطبق عليها القاعدة.
-
إذا تم اختيار المنفذ/البروتوكول، حدد المنفذ والبروتوكول المعني بالطريقة التي تريدها في شكل "البروتوكول/المنفذ" (مثلًا. TCP/80-88, UDP/53, ICMP إلخ)
-
إذا تم تحديد خدمة بسيطة، اختر خدمات الطبقة 4 المعنية كما هو متوقع.
تستند قائمة الخدمات المعرفة مسبقًا إلى تعريف RFC لكل خدمة.
-
-
قسم NAT:
-
تمكين NAT - اختياريًا، تمكين NAT على واجهة الخروج. يترجم هذا كل عناوين IP المصدر إلى عنوان IP NAT واحد.
-
-
في قسم الإجراءات:
-
السماح محليًا - يسمح هذا الإجراء بمطابقة حركة المرور المحلية بين شبكات Socket LAN.
-
الحظر محليًا - يحظر هذا الإجراء المطابقة المحلية بين شبكات Socket LAN.
ملاحظة: إذا لم تتطابق الحركة مع أي من القواعد فإن الإجراء الافتراضي هو إرسال إلى PoP.
-
-
في قسم الإجراءات تحت التتبع:
-
اختياريًا، تمكين خانة الحدث. عند المطابقة، يتم إنشاء حدث لهذه القاعدة.
-
-
انقر على تطبيق، ثم انقر على حفظ.
هناك سيناريوهات تتطلب استخدام NAT بين شبكات LAN داخل الموقع، يمكن أن تكون بين شبكتين (أو أكثر) متصلتين مباشرةً، أو بين الشبكات الموجهة (مسارات ثابتة أو مسارات BGP).
-
يمكن تكوين NAT فقط في اتجاه إلى.
-
بعد حفظ التكوين للقاعدة، تقوم تطبيق إدارة Cato تلقائيًا بحساب الشبكة الصادرة و IP الصادر للقاعدة.
يمكن تعريف الكائنات المصدر والوجهة التالية:
-
النطاق العالمي - النطاق الأصلي لواجهة LAN للموقع.
-
المضيف - المضيفون والخوادم المعرفة في الموقع.
-
واجهة الشبكة الفرعية - نطاقات VLAN، موجهة أو مباشرة، أو نطاق vSocket ثانوي لـ AWS.
-
واجهة الشبكة - الشبكات الفرعية ونطاقات الشبكة المعرفة لواجهات LAN للموقع.
-
أي - أي مصدر أو وجهة داخل الموقع.
يمكنك تمكين تتبع الأحداث لقاعدة محددة في جدار حماية الشبكة المحلية.
ملاحظة
ملاحظة: لن يكون مرور المرور لجدار حماية الشبكة المحلية مرئيًا في لوحات معلومات تطبيقات وشبكة التحليل.
تظهر الأحداث تحت مراقبة الموقع > الأحداث.
-
نوع الحدث - الأمن
-
النوع الفرعي - جدار الحماية المحلي
لتصفية أحداث جدار الحماية المحلي:
-
اذهب إلى الصفحة الرئيسية > الأحداث.
-
انقر على فلتر وحدد الحقل المناسب، المشغل والقيمة.
-
حقل - يمكن اختيار حقول متعددة كفلتر. على سبيل المثال، قد نختار التصفية لـ "الموقع المصدر" أو "النوع الفرعي" (جدار الحماية المحلي)
-
المشغل - اختر تضمين أو استبعاد قيم محددة (هو, ليس) أو قيم متعددة (ضمن, ليس ضمن), على سبيل المثال "الموقع المصدر" مع مشغل "ضمن" يسمح بتحديد مواقع مصدر متعددة كقيم.
-
القيمة - القيمة للحقل.
-
-
انقر أضف فلتر.
في المثال التالي، يمكنك رؤية التفاصيل لحدث جدار حماية الشبكة المحلية.
-
الإجراء - حظر أو مراقبة. (تم حظر المرور أو السماح به محليًا بواسطة جدار حماية الشبكة المحلية)
-
اسم المضيف المُهيأ - معلومات إضافية للمضيف حول عنوان IP المصدر، إذا كانت متوفرة.
-
النوع الفرعي - جدار الحماية المحلي. كل الأحداث التي يتم إنشاؤها بواسطة جدار الحماية المحلي سيكون لها هذا النوع الفرعي.
-
القاعدة - اسم القاعدة المُحددة التي أنشأت هذا الحدث.
على عكس جدار حماية الشبكة الواسعة أو الإنترنت، حيث يتم إنشاء الأحداث بواسطة Cato PoP، يتم إنشاء أحداث جدار حماية الشبكة المحلية على الجهاز نفسه. يتم إرسال هذه الأحداث عبر نفق الموقع ليتم تخزينها في تطبيق إدارة Cato.
يتم إعطاء الأولوية لكل حركة المرور عبر النفق قبل أحداث جدار حماية الشبكة المحلية، التي لها أولوية QoS افتراضية تبلغ 255 وقد تولد عبء إضافي.
توصي Cato بتتبع قواعد جدار حماية الشبكة المحلية ذات الأولوية العالية فقط لتجنب عبء إضافي عبر النفق.
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.