ما هو Socket Next Gen LAN Firewall

لدى Example Corp 200 فرع عالمي يستخدمون نفس تصميم شبكة LAN. هذا يشمل VLAN ID 10 للخوادم وVLAN ID 20 لأجهزة OT الحيوية للأعمال. تقرر فريق الشبكة توجيه حركة المرور بين هذه الVLANات محليًا، مما يمكن أجهزة OT والخوادم من الاستمرار في التواصل حتى في حالة حدوث انقطاع في خدمة ISP. بالإضافة إلى ذلك، يرغبون فقط في السماح ببروتوكولات محددة بين الVLANات.

يُنشئ فريق الشبكة قاعدة شبكة LAN مع تكوين الموقع ككائن مجموعة يحتوي على المواقع المهمة والبالغ عددها 200، ويكون تكوين الناقل كLAN لتوجيه حركة المرور محليًا. ثم يقومون بإنشاء قاعدة جدار الحماية LAN تحت قاعدة الشبكة LAN، مع تكوين VLAN 10 وVLAN 20 كالمصدر والوجهة، والاتجاه ككلاهما. تحت الخدمة/المنفذ، يقومون بتكوين البروتوكولات التي يرغبون في السماح بها، وتكوّن الإجراء كالسماح.

تطبق هذه القاعدة الواحدة لجدار الحماية LAN السياسة على كل واحدة من الشبكات المحلية البالغ عددها 200، دون الحاجة إلى تكوين قواعد منفصلة لجميع المواقع.

لفهم دور جدار الحماية LAN وعلاقته بسياسات Cato الأخرى، من المهم أن نفهم أن Cato تحدد حركة المرور كواحدة من ثلاثة أنواع مختلفة: LAN، WAN، أو إنترنت. فهم الفروقات والخصائص لهذه الأنواع من حركة المرور أمر أساسي لتخطيط السياسات بشكل أمثل والاستفادة من مختلف سياسات جدار الحماية Cato. للمزيد من المعلومات، انظر البدء مع جدران الحماية الخاصة بكاتو.

يمكن معالجة حركة المرور بين المضيفين داخل نفس الموقع كحركة مرور LAN (توجيهها بواسطة Socket وعدم إرسالها إلى PoP)، أو حركة مرور WAN (إرسالها إلى PoP ثم إعادتها إلى الموقع)، بناءً على تكوينك. السلوك الافتراضي للSocket هو توجيه جميع حركة المرور إلى PoP للفحص وPoP يقوم بحظر أو السماح لحركة المرور. ومع ذلك، حركة المرور التي تتوافق مع سياسة جدار الحماية LAN تتوجه محليًا ولا تُرسل إلى PoP.

عندما تصل حركة المرور من مضيف في LAN إلى Socket، يتحقق Socket لمعرفة ما إذا كانت حركة المرور تطابق قاعدة في سياسة جدار الحماية LAN.

لمزيد من المعلومات حول تعريف حركة مرور الشبكة المحلية، انظر أدناه، سياسة جدار الحماية الخاص بالشبكة المحلية.

فيما يلي رسم بياني لحالة الجهاز يوضح كيفية تعامل Socket LAN Firewall مع حركة المرور من مضيف على الشبكة المحلية.

يدعم جدار الحماية LAN الفحص للطبقات الثانية إلى الرابعة والطبقة السابعة (طبقة التطبيقات)، مما يمكن التحكم في حركة المرور بناءً على التطبيقات والخدمات والمحتوى المحدد داخل التطبيقات. بشكل افتراضي، تدعم المواقع وظائف الطبقة الثانية إلى الرابعة، وتقوم بتحديد السياسة التي يتم تفعيلها أيضًا مع قدرات الطبقة السابعة. يصف هذا القسم الفرق بين جدار الحماية الطبقة الثانية إلى الرابعة وجدار الحماية الطبقة السابعة.

تقوم جدران الحماية الطبقة الثانية إلى الرابعة بتصفية حركة المرور بناءً على معايير أساسية مثل عناوين IP، المنافذ، وبروتوكولات طبقة النقل مثل TCP أو UDP. بالنسبة لهذه المعايير، يمكن لجدار الحماية Socket اتخاذ قرار بالسماح أو حظر حركة المرور بناءً على الحزمة الأولى. بينما يكون فعالاً للتحكم الأساسي في حركة المرور، لا يقوم هذا النهج بتحليل البيانات الفعلية التي يتم نقلها داخل الحزم.

تفحص جدران الحماية الطبقة السابعة (طبقة التطبيقات) الحمولة للحزم لتحديد التطبيقات، المجالات، أو البروتوكولات المحددة. على سبيل المثال، يمكن لجدار الحماية الطبقة السابعة التفريق بين حركة مرور SMBv1 وSMBv3 أو تحديد التطبيق المحدد الذي تولد حركة المرور (مثل Office 365). يسمح هذا الفحص الأعمق بفرض السياسات بقدر أكبر من التفصيل وتحكم محسن في حركة مرور الشبكة المحلية. ومع ذلك، يتطلب الفحص الطبقة السابعة تحليل حزم إضافية لتحديد بيانات التطبيقات (مثل استخراج اسم المجال في حركة مرور HTTP)، وموارد Socket أكبر من معالجة الطبقة الرابعة. يجب أن يؤخذ هذا بعين الاعتبار عند تخطيط سياسة جدار الحماية LAN الخاصة بشركتك وتحديد المواقع التي يجب تفعيلها مع قدرات الطبقة السابعة.

عند تمكين موقع بقدرات الطبقة السابعة، يقوم Socket بفحص حزم البيانات بعمق على حركة المرور، سواء كانت هناك قاعدة لجدار الحماية الخاص بالشبكة المحلية أو لا، طالما تم تعريف حركة المرور لاستخدام النقل عبر الشبكة المحلية (انظر أدناه، سياسة جدار الحماية الخاص بالشبكة المحلية). هذا يعني أن بيانات الطبقة السابعة تظهر في الأحداث الخاصة بحركة مرور الموقع، بما في ذلك الحقول مثل التطبيق، مخاطر التطبيق، وتطبيق مخصص.

تتحكم قواعد الشبكة LAN في أي ناقل (LAN أو WAN) يُستخدم لتوجيه حركة المرور بين مختلف المضيفين أو الأجزاء الشبكية. هذه سياسة عامة مُعرفة لحساب كامل، وليس مواقع محددة. يعني ذلك أن كل قاعدة يمكن تكوينها لتطبيقها على مواقع متعددة في الحساب. على سبيل المثال، إذا قمت بإعداد مواقع متعددة باستخدام تكوين VLAN نفسه، يمكنك إنشاء قاعدة واحدة تنطبق على VLANات في كل موقع يعرفه القاعدة.

تقوم قواعد الشبكة LAN باتخاذ قرارات التوجيه الطبقة الرابعة ولا تستخدم وظائف الطبقة السابعة. على سبيل المثال، يمكنك تعريف قواعد الشبكة بشروط للمواقع، VLANات، أو بروتوكولات محددة، ولكن لا يمكنك إنشاء شرط بناءً على التطبيق.

يمكن أن تكون قاعدة الشبكة LAN أباً لعدة قواعد جدار الحماية LAN تحتها. هناك قاعدة الحظر الافتراضية ANY-ANY مُعرفة كآخر قاعدة تحت قاعدة الشبكة LAN. لذلك، إذا تطابقت حركة المرور مع قاعدة الشبكة LAN، ولكن لم تتطابق مع قاعدة جدار الحماية LAN، يتم حظرها.

تسمح قواعد جدار الحماية LAN أو تقوم بحظر أنواع محددة من حركة المرور، وتتبع هذه الأحداث لأغراض المراقبة والامتثال. كل قاعدة جدار حماية LAN ترتبط مباشرة بقاعدة الشبكة LAN الأب ومحدودة بنطاق المصدر والوجهة للقاعدة. الأب تدعم قواعد جدار الحماية LAN حتى التقسيم الطبقة الرابعة بشكل افتراضي، بما في ذلك التقسيم بناءً على عناوين MAC. بالإضافة إلى ذلك، بالنسبة للمواقع المصممة لوظائف الطبقة السابعة، يمكن أن تشمل قواعد جدار الحماية LAN تصفية حركة المرور الذكية بناءً على التطبيقات، المجالات، وظروف الطبقة السابعة الأخرى.

هناك قاعدة حظر LAN Firewall ANY-ANY الافتراضية معرفة كآخر قاعدة تحت كل قاعدة شبكة LAN. لذلك، إذا تطابقت حركة المرور مع قاعدة الشبكة LAN، ولكن لم تتطابق مع قاعدة جدار الحماية LAN، يتم حظرها. يفرض هذا السلوك الضمني نهج الثقة الصفراء الصحيح على التقسيم داخل المنشأة من خلال ضمان أن حركة المرور المسموح بها فقط بشكExpenseotya صر Explicitly يمكنها التنقل عبر الشبكة المحلية.