إدارة سياسة جدار الحماية LAN للجهاز Socket الجيل التالي

تشرح هذه المقالة كيفية تكوين قواعد جدار الحماية LAN للجهاز Socket الجيل التالي لتوجيه والتحكم في حركة مرور الموقع محلياً في الجهاز Socket. لمعرفة المزيد عن جدار الحماية المحلي Socket Next Gen، راجع ما هو جدار الحماية المحلي Socket Next Gen.

نظرة عامة

قم بتكوين قواعد شبكة LAN لتحديد حركة المرور التي سيتم توجيهها محليًا باستخدام نقل LAN، ثم قم بإنشاء قواعد جدار الحماية LAN ذات الصلة لتطبيق سياسة الأمن للمرور.

هذا هو مثال سير عمل عالي المستوى لتكوين السياسة:

  1. حدد أي المواقع تتطلب قدرات فرض الطبقة 7 وقم بتكوينها في السياسة.

    هذا يمكن من فرض الطبقة 7 لقواعد جدار الحماية LAN، بالإضافة إلى الأحداث مع بيانات الطبقة 7 للموقع.

  2. مراقبة أداء وحدة المعالجة المركزية للمقبس والأحداث للمواقع لتقييم تأثير تمكين الطبقة 7.

  3. قم بإنشاء قواعد شبكة LAN لتحديد حركة مرور الموقع التي يتم توجيهها محليًا عبر المقبس بدلاً من عبر شبكة WAN.

  4. لكل قاعدة شبكة LAN، قم بإنشاء قواعد جدار الحماية LAN لتطبيق سياسة الأمن لحركة المرور.

تمكين قدرة الطبقة 7 للموقع

تمكين قدرات فحص الطبقة 7 لحركة مرور الموقع. بعد التمكين، يقوم المقبس بفحص عميق للحزم في المرور سواء تم تكوين قاعدة جدار الحماية للشبكة المحلية أم لا، طالما تم تعريف المرور لاستخدام نقل الشبكة المحلية (انظر ما هو جدار الحماية للشبكة المحلية في الجيل القادم من المقبس). هذا يعني أن بيانات الطبقة 7 تظهر في الأحداث على حركة مرور الموقع، بما في ذلك حقول مثل التطبيق، خطر التطبيق، وتطبيق مخصص. يؤثر هذا أيضًا على استخدام وحدة المعالجة المركزية للجهاز Socket.

LAN_Firewall_L7_Sites.png

لتمكين قدرة الطبقة 7 لموقع:

  1. من قائمة التنقل، انقر فوق الأمان > جدار الحماية LAN.

    تفتح صفحة جدار الحماية LAN على النسخة غير المنشورة الحالية لديك، أو على أحدث نسخة منشورة.

  2. حدد علامة التبويب مواقع الطبقة 7.

  3. انقر على جديد. تفتح لوحة إضافة موقع.

  4. تحت الموقع، اختر واحدًا أو أكثر من المواقع من القائمة المنسدلة لمواقع المقبس.

  5. انقر على تطبيق. يتم إضافة الموقع إلى قائمة مواقع الطبقة 7.

  6. انقر على حفظ. تم تكوين وظيفة الطبقة 7 للموقع.

إنشاء قواعد شبكة LAN

أنشئ قاعدة شبكة LAN جديدة وقم بتكوين الإعدادات لتعريف النقل للحركة. بالنسبة للقواعد المحددة مع نقل LAN، يمكنك إضافة قواعد جدار الحماية LAN لإدارة التحكم في الوصول للحركة. لمزيد من المعلومات، راجع إنشاء قواعد جدار حماية LAN.

LAN_Firewall.png

لإنشاء قاعدة شبكة LAN:

  1. من قائمة التنقل، انقر فوق الأمان > جدار الحماية LAN.

    تفتح صفحة جدار الحماية LAN على النسخة غير المنشورة الحالية لديك، أو على أحدث نسخة منشورة.

  2. انقر على جديد ومن القائمة المنسدلة اختر قاعدة شبكة LAN جديدة. تفتح لوحة قاعدة شبكة جديدة.

  3. أدخل الاسم للقانون.

  4. تمكين أو تعطيل القاعدة باستخدام المنزلق (الأخضر مفعّل، الرمادي مُعطّل).

  5. قم بتكوين الموضع والاتجاه للقاعدة الجديدة.

    • افتراضيًا، يتم تطبيق القاعدة في اتجاه واحد، من المصدر إلى الوجهة. انقر على قائمة الاتجاه المنسدلة لتعيين القاعدة للعمل في كلا الاتجاهين.

  6. قم بتوسيع قسم الموقع واختر واحدًا أو أكثر من المواقع أو مجموعات المواقع التي تطبق عليها القاعدة. القيمة الافتراضية هي أي.

  7. قم بتوسيع قسم المصدر واختر واحدًا أو أكثر من الكائنات لمصدر المرور لهذه القاعدة.

    1. اختر النوع (على سبيل المثال: المضيف، واجهة الشبكة، IP، المستخدم، مجموعة المستخدم، أي). القيمة الافتراضية هي أي.

    2. عند الحاجة، اختر كائنًا محددًا من القائمة المنسدلة لذلك النوع.

  8. قم بتوسيع قسم الوجهة واختر واحدًا أو أكثر من كائنات الوجهة لهذه القاعدة.

    1. اختر النوع (على سبيل المثال: المضيف، واجهة الشبكة، IP، المستخدم، مجموعة المستخدم، أي). القيمة الافتراضية هي أي.

    2. عندما تحتاج، اختر كائنًا محددًا من القائمة المنسدلة لذلك النوع.

  9. قم بتوسيع قسم المعايير وأضف شروط الجهاز إلى القاعدة. لمزيد من المعلومات، راجع إضافة شروط الجهاز لقواعد جدار الحماية. القيم الافتراضية هي أي.

  10. قم بتوسيع قسم الخدمة/المنفذ، وحدد البروتوكولات التي تنطبق عليها القاعدة بإحدى الخيارات التالية:

    • الخدمة البسيطة - حدد الخدمات ذات الطبقة 4 المناسبة من القائمة.

      تعتمد قائمة الخدمات المحددة مسبقًا على تعريف كل خدمة من RFC.

    • الخدمة المخصصة - أدخل المنفذ والبروتوكول المناسبين بتنسيق "بروتوكول/منفذ" (مثل TCP/80-88، UDP/53، ICMP)

    القيمة الافتراضية هي أي.

  11. (اختياري) قم بتوسيع قسم NAT لتمكين NAT على الواجهة الصادرة. هذا يترجم جميع عناوين IP الأصلية إلى عنوان IP واحد لـ NAT.

    image.png

  12. حدد النقل لحركة المرور المطابقة للقاعدة. الخيارات هي:

    • LAN - يتم توجيه الحركة محليًا بواسطة الجهاز Socket ولا يتم إرسالها إلى PoP

    • WAN - يتم إرسال الحركة عبر WAN إلى PoP للفحص

  13. انقر فوق حفظ.

    يتم حفظ التغييرات في المراجعة غير المنشورة لديك وتكون متاحة للتحرير حتى يتم نشرها أو يتم التخلص منها.

إنشاء قواعد جدار الحماية LAN

أنشئ قاعدة جدار حماية LAN جديدة وقم بتكوين الإعدادات لإدارة التحكم في الوصول للحركة. يمكن تكوين قاعدة جدار الحماية LAN فقط بكائنات داخل نطاق قاعدة الشبكة LAN الأم الخاصة بها.

يمكن أن تشمل القواعد للمواقع المفعلة بقدرات الطبقة 7 شروطًا مع كائنات طبقة التطبيق مثل تطبيق ومجال. إذا كانت القواعد للمواقع بدون قدرات الطبقة 7 تشمل هذه الكائنات، فلن تعمل القواعد بشكل صحيح.

ملاحظة: المرور داخل نفس الموقع الذي لا يتطابق مع قاعدة جدار الحماية للشبكة المحلية يعتبر مرور WAN، حتى لو كان يسافر إلى PoP والعودة إلى نفس الموقع.

ملاحظة

ملاحظة: لاستخدام كائنات المستخدم ومجموعة المستخدم في حقول المصدر والوجهة، أو لاستخدام معايير الأجهزة في قاعدة، يُرجى الاتصال بـfeature-releases@catonetworks.com للحصول على مزيد من المعلومات حول تمكين واستخدام هذه الميزة.

لإنشاء قاعدة جدار الحماية LAN:

  1. من قائمة التنقل، انقر فوق الأمان > جدار الحماية LAN.

    تفتح صفحة جدار الحماية LAN على النسخة غير المنشورة الحالية لديك، أو على أحدث نسخة منشورة.

  2. انقر فوق جديد ومن القائمة المنسدلة حدد قاعدة جدار الحماية LAN جديدة. تفتح لوحة القاعدة الجديدة لجدار الحماية.

  3. أدخل الاسم للقاعدة.

  4. يمكنك تمكين أو تعطيل القاعدة باستخدام المفتاح (الأخضر يعني مفعلة، الرمادي يعني معطلة).

  5. قم بتكوين الموضع للقاعدة، ومن القائمة المنسدلة القواعد حدد القاعدة المرجعية المناسبة، على النحو التالي:

    • بالنسبة لخيار قبل القاعدة وخيار بعد القاعدة ، حدد من القائمة المنسدلة القواعد قاعدة جدار حماية LAN تحت القاعدة الشبكة LAN المناسبة.

    • بالنسبة لخيار الأول في القاعدة وخيار الأخير في القاعدة، حدد من القائمة المنسدلة القواعد القاعدة الشبكة LAN الأم لهذه القاعدة.

  6. قم بتكوين الاتجاه للقاعدة.

    • بشكل افتراضي، يتم تطبيق القاعدة في اتجاه واحد، من المصدر إلى الوجهة. انقر فوق القائمة المنسدلة الاتجاه لتعيين القاعدة لتعمل فيكلا الاتجاهين.

  7. قم بتوسيع قسم المصدر وحدد كائنًا أو أكثر لمصدر الحركة لهذه القاعدة.

    1. اختر النوع (على سبيل المثال: المضيف، واجهة الشبكة، IP، المستخدم، مجموعة المستخدم، أي). القيمة الافتراضية هي أي.

    2. عند الحاجة، حدد كائنًا محددًا من القائمة المنسدلة لذلك النوع.

  8. قم بتوسيع قسم الوجهة وحدد كائنًا أو أكثر كوجهة لهذه القاعدة.

    1. اختر النوع (على سبيل المثال: المضيف، واجهة الشبكة، IP، المستخدم، مجموعة المستخدم، أي). القيمة الافتراضية هي أي.

    2. عند الحاجة، حدد كائنًا محددًا من القائمة المنسدلة لذلك النوع.

  9. قم بتوسيع قسم التطبيق/الفئة وحدد تطبيقًا أو أكثر للقاعدة.

    عندما يكون هناك أكثر من كائن تطبيق/فئة في قاعدة، يوجد علاقة OR بينهم. القيمة الافتراضية هي أي.

    ملاحظة: قم بتكوين كائنات التطبيق/الفئة فقط للقواعد للمواقع المفعلة بقدرات الطبقة 7. غير ذلك لن تعمل القاعدة بشكل صحيح.

  10. قم بتوسيع قسم الخدمة/المنفذ، وحدد البروتوكولات التي تنطبق عليها القاعدة بإحدى الخيارات التالية:

    • الخدمة البسيطة - حدد الخدمات ذات الطبقة 4 المناسبة من القائمة

      تعتمد قائمة الخدمات المحددة مسبقًا على تعريف كل خدمة من RFC.

    • الخدمة - حدد الخدمات ذات الطبقة 7 المناسبة من القائمة

    • الخدمة المخصصة - أدخل المنفذ والبروتوكول المناسبين بتنسيق "بروتوكول/منفذ" (مثل TCP/80-88، UDP/53، ICMP)

    القيمة الافتراضية هي أي.

  11. حدد الإجراء لهذه القاعدة. الخيارات هي السماح والحظر.

  12. (اختياري) قم بتكوين خيارات التتبع لتوليد الأحداث وإرسال الإشعار. تبدأ التردد في العد بعد إرسال الإشعار الأول.

    لمزيد من المعلومات حول الإشعارات، راجع المقالة ذات الصلة بمجموعات الاشتراك، قوائم البريد، ودمج التنبيهات في قسم التنبيهات.

  13. انقر فوق حفظ.

    يتم حفظ التغييرات في المراجعة غير المنشورة لديك وتكون متاحة للتحرير حتى يتم نشرها أو يتم التخلص منها.

المراقبة والأحداث

يمكنك اختيارياً تمكين تتبع الأحداث لكل قاعدة محددة في سياسة جدار الحماية للجيل القادم للـ LAN.

ملاحظة

ملاحظة: لن يكون مرور جدار الحماية لـ LAN مرئيًا في لوحات تحليلات التطبيق والشبكة.

تظهر الأحداث تحت مراقبة الموقع > الأحداث.

  • نوع الحدث - الأمن

  • النوع الفرعي - جدار الحماية LAN

لتصفية أحداث جدار الحماية LAN:

  1. اذهب إلى الرئيسية > الأحداث.

  2. انقر على تصفية واختر الحقل المناسب، والمشغل والقيمة.

    1. الحقل - يمكن اختيار حقول متعددة كعامل تصفية. على سبيل المثال، قد نختار تصفية بناءً على "موقع المصدر" أو "النوع الفرعي" (جدار الحماية LAN)

    2. المشغل - اختر تضمين أو استبعاد قيم معينة (يكون, ليس) أو قيم متعددة (في, ليس في), مثلاً "موقع المصدر" مع المشغل "في" يسمح باختيار مواقع مصادر متعددة كقيم.

    3. القيمة - القيمة للحقل.

  3. انقر على إضافة تصفية.

    image.png
image.png

في المثال التالي، يمكنك رؤية التفاصيل لحدث جدار الحماية LAN.

  • الإجراء - يحظر أو يراقب. (تم حظر أو السماح للمرور محلياً بواسطة جدار الحماية LAN)

  • اسم المضيف المهيأ - معلومات إضافية عن المضيف على عنوان IP المصدر، إن كان متاحاً.

  • النوع الفرعي - جدار الحماية LAN.  جميع الأحداث التي يتم إنشاؤها بواسطة جدار الحماية LAN ستحمل هذا النوع الفرعي.

  • قاعدة الشبكة - القاعدة الشبكية الأبوية لقاعدة جدار الحماية LAN التي أنشأت الحدث.

  • اسم القاعدة - اسم قاعدة جدار الحماية LAN التي أنشأت الحدث.

LAN_FW_L7_Event.png

على عكس جدار الحماية للـ WAN أو الإنترنت، حيث يتم إنشاء الأحداث بواسطة Cato PoP، فإن أحداث جدار الحماية LAN تُنشأ على المقبس نفسه. تُرسل هذه الأحداث عبر نفق الموقع ليتم تخزينها في تطبيق إدارة Cato. 

جميع حركة المرور عبر النفق لها أولوية قبل أحداث جدار الحماية LAN، والتي لها أولوية QoS افتراضية قدرها 255 وقد تولد حملاً إضافياً. 

توصي Cato بتتبع القواعد ذات الأولوية العالية لجدار الحماية LAN لتفادي الحمل الإضافي عبر النفق.

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات