ملاحظة
ملاحظة: يرجى التواصل مع cato-releases@catonetworks.com لمزيد من المعلومات حول تمكين واستخدام هذه الميزة.
بشكل افتراضي، يتم إرسال حركة مرور الشبكة المحلية خلف الموقع عبر الشبكة الواسعة إلى نقطة التواجد لمراقبة حركة المرور. هذا يعني أنه بالنسبة للمضيفين وراء نفس الموقع، يتم إرسال الحركة عبر الميل الأخير إلى PoP، ثم تعود إلى نفس الموقع. يمكنك أيضًا استخدام المقبس كجدار حماية للشبكة المحلية لتقسيم حركة المرور محليًا، دون الحاجة إلى جهاز جدار حماية تابع لجهة خارجية.
جدار الحماية لنظام الشبكة المحلية في المقبس الجيل التالي يتيح لك تطبيق سياسات التحكم من الطبقة 2 حتى الطبقة 7 (طبقة التطبيقات) على حركة المرور الأفقية أثناء توجيهها وتجزيئها خلف الموقع. توجيه الحركة محليًا يضمن أيضًا أن البيئات الحرجة مثل OT وIoT يمكن أن تستمر في العمل عبر الشبكة المحلية، حتى إذا كانت اتصال الإنترنت متوقف.
يعد جدار الحماية للشبكة المحلية سياسة على مستوى الحساب تتيح لك تكوين قواعد لتطبيق سياسات شاملة عبر الشركات على مواقع متعددة، دون تكوين كل موقع يدويًا.
شركة Example لديها 200 فرع عالمي تستخدم نفس تصميم شبكة LAN. يتضمن ذلك VLAN ID 10 للخوادم، و VLAN ID 20 لأجهزة OT الحرجة للأعمال. قررت فريق الشبكة توجيه الحركة بين هذه الVLANات محليًا، مما يتيح للأجهزة والخوادم OT الاستمرار في الاتصال حتى إذا حدث انقطاع في ISP. بالإضافة إلى ذلك، يريدون فقط السماح ببروتوكولات معينة بين الVLANات.
يقوم فريق الشبكة بإنشاء قاعدة شبكة LAN مع تكوين الموقع ككائن مجموعة يحتوي على المواقع الـ200 ذات الصلة، وتكوين النقل كـ LAN لتوجيه الحركة محليًا. ثم يقومون بإنشاء قاعدة جدار حماية الشبكة المحلية تحت قاعدة الشبكة المحلية، مع تكوين VLAN 10 و VLAN 20 كـ المصدر و الوجهة، و الاتجاه كـ كلاهما. تحت الخدمة/المنفذ، يقومون بتكوين البروتوكولات التي يريدون السماح بها، ويتم تكوين الإجراء كالآتي السماح.
تطبق قاعدة واحدة لجدار الحماية LAN السياسة على كل من الشبكات المحلية الـ200، دون الحاجة إلى تكوين قواعد منفصلة لجميع المواقع.
يستند الحد الأقصى لمعدل نقل جدار الحماية Socket Next Gen LAN على مجموعة من تطبيقات TCP و UDP المعرفة من قبل Cato.
|
نموذج المقبس |
عبر النطاق الترددي L4 Mbps |
عبر النطاق الترددي L7 Mbps |
|---|---|---|
|
X1500 |
1000 |
740 |
|
X1500B |
1000 |
1000 |
|
X1600 وX1600 LTE |
8000 |
2500 |
|
X1700 |
8000 |
8000 |
|
X1700B |
13000 |
10000 |
ملاحظة: يتم قياس الأداء ومعدل النقل تحت ظروف اختبار مثالية بناءً على MTU 1500 حزمة.
يشرح هذا القسم المفاهيم الأساسية لفهم دور وقدرات Firewall LAN الطبقة 7.
لفهم دور Firewall LAN وعلاقته بسياسات Cato الأخرى، من المهم أن نفهم أن Cato يحدد حركة المرور كواحدة من ثلاثة أنواع مختلفة: LAN، WAN، أو الإنترنت. فهم الفروقات والخصائص لهذه الأنواع من الحركة أمر حاسم لتخطيط السياسة المثلى واستخدام سياسات Firewall Cato المختلفة. لمزيد من المعلومات، راجع البدء باستخدام جدران الحماية Cato.
يمكن التعامل مع الحركة بين المضيفين داخل نفس الموقع إما كحركة LAN (توجيهها بواسطة Socket وليس إرسالها إلى PoP) أو حركة WAN (إرسالها إلى PoP ثم العودة إلى الموقع)، وذلك اعتمادًا على التكوين لديك. السلوك الافتراضي لـ Socket هو توجيه جميع الحركة إلى PoP للفحص وPoP يقوم بحظر أو السماح للحركة. ومع ذلك، فإن الحركة التي تطابق سياسة جدار الحماية LAN تُوجّه محليًا ولا تُرسل إلى PoP.
عندما تصل حركة المرور من مضيف في الشبكة المحلية إلى المقبس، يتحقق المقبس لمعرفة ما إذا كانت حركة المرور تطابق قاعدة في سياسة جدار الحماية للشبكة المحلية.
-
إذا تطابقت مع قاعدة، يقوم Socket بتوجيه الحركة إلى الوجهة المحلية دون إرسالها إلى PoP.
-
إذا لم تتطابق الحركة مع قاعدة جدار الحماية LAN، يتم إرسالها إلى PoP للتعامل معها بواسطة جدار الحماية WAN أو الإنترنت.
لمزيد من المعلومات حول تعريف حركة LAN، انظر أدناه، سياسة جدار الحماية للشبكة المحلية.
التالية هي مخطط حالة لتظهر كيفية تعامل جدار الحماية LAN Socket مع الحركة من مضيف على الشبكة المحلية.
يدعم جدار الحماية للشبكة المحلية فحص الطبقات 2 إلى 4 والطبقة 7 (طبقة التطبيقات)، مما يمكنك من التحكم في الحركة بناءً على التطبيقات والخدمات والمحتوى المحدد داخل التطبيقات. بشكل افتراضي، تدعم المواقع وظيفة الطبقات 2-4، وتحدد في السياسة أي المواقع مُمَكّنة أيضاً بقدرات الطبقة 7. يصف هذا القسم الفرق بين جدران الحماية من الطبقات 2-4 والطبقة 7.
تقوم جدران الحماية من الطبقات 2-4 بتصفية الحركة بناءً على معايير أساسية مثل عناوين IP وبروتوكولات المنافذ والطبقة الناقلة مثل TCP أو UDP. لكل هذه المعايير، يمكن لجدار الحماية في المقبس أن يقرر السماح أو حظر حركة المرور بناءً على الحزمة الأولى. في حين أن هذا الأسلوب فعال للسيطرة على الحركة الأساسية، فإنه لا يقوم بتحليل البيانات الفعلية المرسلة داخل الحزم.
تقوم جدران الحماية الطبقة 7 (طبقة التطبيقات) بفحص حمولة الحزمة للتعرف على التطبيقات، النطاقات، أو البروتوكولات المحددة. على سبيل المثال، يمكن لجدار الحماية من الطبقة 7 التمييز بين حركة المرور SMBv1 وSMBv3 أو تحديد التطبيق المحدد الذي ينتج عنه حركة المرور (مثل Office 365). يسمح هذا الفحص الأعمق بإنفاذ سياسة أكثر دقة وتحسين التحكم في حركة المرور على الشبكة المحلية. مع ذلك، نظرًا لأن فحص الطبقة 7 يتطلب تحليل حزم إضافية لتحديد بيانات التطبيق (مثلاً، استخراج اسم النطاق في حركة مرور HTTP)، ويتطلب موارد مقبس أكبر من معالجة الطبقة 4. يجب أخذ هذا بعين الاعتبار عند تخطيط سياسة جدار الحماية LAN لشركتك وتحديد المواقع لتمكينها بقدرات الطبقة 7.
عند تمكين موقع باستخدام قدرات الطبقة 7، يقوم المقبس بفحص عميق للحزم في حركة المرور، سواء تم تكوين قاعدة جدار الحماية للشبكة المحلية أم لا، طالما تم تعريف حركة المرور لاستخدام النقل عبر الشبكة المحلية (انظر أدناه، سياسة جدار الحماية للشبكة المحلية). هذا يعني أن بيانات الطبقة 7 تظهر في الأحداث لحركة مرور الموقع، بما في ذلك الحقول مثل التطبيق، مخاطرة التطبيق، والتطبيق المخصص.
يقوم Socket بتطبيق سياسة جدار الحماية LAN من خلال تحديد قرار التوجيه لحركة LAN أولاً - سواء لإرسال الحركة إلى PoP أو توجيهها محليًا. ثانيًا، يتم تطبيق قواعد جدار الحماية للشبكة المحلية لتحديد ما إذا كانت حركة المرور محظورة أو مسموح بها.
لتنفيذ ذلك، تتضمن سياسة جدار الحماية للشبكة المحلية قواعد الشبكة المحلية وقواعد جدار الحماية للشبكة المحلية. تعرف قواعد الشبكة المحلية كيف يقوم المقبس بتوجيه حركة المرور، محليًا عبر الشبكة المحلية، أو كحركة مرور WAN مرسلة لنقطة التواجد. بمجرد تطابق قاعدة شبكة LAN وتحديد النقل كـ LAN، تحدد قواعد جدار الحماية LAN ذات الصلة ما إذا كانت الحركة مسموح بها أو محظورة، وSocket ينفذ القاعدة. إذا لم تتطابق الحركة مع أي قاعدة شبكة LAN، يتم التعامل معها كحركة WAN وإرسالها إلى PoP.
تربط قواعد جدار الحماية LAN بقواعد شبكة LAN واحدة، مما يضمن أن تكون إجراءات الجدار الحماية محددة إلى الحركة المحددة بتلك القاعدة.
تصف الأقسام التالية الخصائص لقواعد شبكة وجدار الحماية LAN.
قواعد شبكة LAN تتحكم في أي وسيلة (LAN أو WAN) تُستخدم لتوجيه الحركة بين المضيفين أو الأقسام المختلفة في الشبكة. هذه سياسة عالمية تم تكوينها لكامل الحساب، وليس لكل مواقع محددة. هذا يعني أن كل قاعدة يمكن تكوينها لتطبق على مواقع متعددة في الحساب. على سبيل المثال، إذا قمت بإعداد مواقع متعددة باستخدام نفس تكوين VLAN، يمكنك إنشاء قاعدة واحدة تنطبق على VLANs في كل موقع محدد في القاعدة.
تتخذ قواعد شبكة LAN قرارات توجيه الطبقة 4 ولا تستخدم وظائف الطبقة 7. على سبيل المثال، يمكنك تعريف قواعد الشبكة بشرط للمواقع، أو VLANs، أو بروتوكولات محددة، لكن لا يمكنك وضع شرط بناءً على التطبيق.
يمكن أن تكون قاعدة شبكة LAN والد إلى قواعد جدار الحماية LAN متعددة تحتها. يوجد قاعدة الحظر الافتراضية ANY-ANY تحت كل قاعدة شبكة LAN. لذلك، إذا تطابقت الحركة مع قاعدة شبكة LAN لكنها لم تطابق قاعدة جدار الحماية LAN، فسيتم حظرها.
تسمح قواعد جدار الحماية للشبكة المحلية برصد أنواع معينة من حركة المرور أو حظرها، وتتابع هذه الأحداث لأغراض المراقبة والامتثال. كل قاعدة من قواعد جدار الحماية للشبكة المحلية مرتبطة مباشرة بقاعدة شبكة محلية محددة للأصل ومحددة بنطاق المصدر والوجهة للقاعدة الأصلية. تدعم قواعد جدار الحماية LAN تجزئة حتى الطبقة 4 افتراضيًا، بما في ذلك التجزئة بناءً على عناوين MAC. بالإضافة إلى ذلك، بالنسبة للمواقع التي تم تكوينها لوظائف الطبقة 7، يمكن أن تتضمن قواعد جدار الحماية للشبكة المحلية تصفية ذكية لحركة المرور بناءً على التطبيقات، النطاقات، وغيرها من شروط الطبقة 7.
هناك قاعدة الحظر الافتراضية لأي شيء-أي شيء لجدار الحماية LAN تم تكوينها كآخر قاعدة تحت كل قاعدة شبكة LAN. لذلك، إذا تطابقت الحركة مع قاعدة شبكة LAN ولكن لم تطابق قاعدة جدار الحماية LAN، فسيتم حظرها. يفرض هذا السلوك الضمني نهج عدم الثقة الحقيقية للتجزئة داخل المواقع بضمأنه أن الحركة المسموح بها بصراحة فقط يمكنها أن تعبر الشبكة المحلية.
لا توجد تعليقات
المقال مغلق أمام التعليقات.