تلعب الجدران النارية دورًا رئيسيًا في تأمين شبكات الشركات وحماية الموارد الداخلية. تحتوي هذه المقالة على توصيات وأفضل الممارسات لمساعدتك في إنشاء أحدث سياسة أمان لمؤسستك. كما نشرح كيفية إبقاء سياسات الجدار الناري نظيفة وقابلة للإدارة.
يساعدك جدار الحماية للإنترنت في إدارة الوصول للمستخدمين والأجهزة في شبكتك لعدد كبير من الخدمات الإلكترونية والتطبيقات والمحتوى. جدار الحماية WAN يتيح لك إدارة حركة المرور WAN للموارد الداخلية وبين المستخدمين والمواقع. يساعدك هذا الدليل في تكوين وتعديل القواعد في كل جدار حماية لزيادة فعالية سياسة الأمان.
لمزيد من المعلومات حول إعدادات القواعد المحددة، راجع مرجع كائنات القواعد.
تعرض صفحة الممارسات الأفضل في تطبيق إدارة Cato (CMA) عددًا من فحوصات الجدار الناري، وإذا كان حسابك يتوافق معها، لمزيد من المعلومات، انظر مراجعة الممارسات الأفضل لحسابك في CMA.
هناك نهجان لأساسيات قواعد جدار الحماية: قائمة السماح وقائمة الحظر. يعني السماح للقائمة البيضاء لقاعدة الجدار الناري أن القواعد تحدد حركة المرور التي يسمح بها الجدار الناري. تُحظَر جميع حركات المرور الأخرى بواسطة الجدار الناري. القائمة السوداء لعناصر القواعد الجدار الناري هي العكس، تحدد القواعد حركة المرور المحظورة. تُسمح جميع حركات المرور الأخرى بواسطة الجدار الناري. تختار المؤسسات النهج الذي يناسب احتياجاتها وظروفها المحددة بشكل أفضل.
- لدى سياسة الأمان للقائمة السموحية قاعدة بلوك ANY ANY كقاعدة نهائية لحظر كل المرور الذي لا يطابق قاعدة السموحية
- لدى سياسة الأمان للقائمة التقييدية قاعدة سماحية ANY ANY كقاعدة نهائية للسماح بكل المرور الذي لا يطابق قاعدة التقييد
تتم مناقشة التوصيات لكل نهج أدناه في الأقسام الخاصة بالجدران النارية للإنترنت وWAN.
تستخدم الجدران النارية لCato للإنترنت وWAN نوعين مختلفين من قواعد الجدار الناري:
- قواعد الجدار الناري التقليدية (المعروفة أيضًا بالقواعد البسيطة)
- قواعد الجدار الناري من الجيل التالي (NG) (معروفة أيضًا بالقواعد المعقدة)
يصف هذا القسم الفروقات بين أنواع هذه القواعد والمنطق الذي يستخدمه الجدار الناري لتطبيقها على حركة المرور للشبكة.
تتيح لك Cato تعريف سياسة أمان الشبكة وتكوين قواعد الجدار الناري التقليدية للسيطرة على حركة المرور الداخلية والخارجية في شبكتك. قواعد الجدار الناري التقليدية في Cato تحتوي فقط على واحد أو أكثر من الإعدادات التالية:
يقيم محرك الجدار الناري التقليدي حركة المرور في الحزمة الأولى. على سبيل المثال، يمكن لمسؤولي الشبكة تكوين قواعد الجدار الناري بناءً على البروتوكولات والمنافذ. بالنسبة لهذا النوع من القواعد، يقرر الجدار الناري السماح أو حظر حركة المرور بناءً على الحزمة الأولى.
تُظهر لقطة الشاشة التالية مثالًا على قاعدة جدار حماية WAN تقليدية تحظر حركة مرور TCP على المنفذ 80:
توضح الصورة التالية مثالًا على اتصال TCP من المضيف A إلى المضيف B والنقطة التي يقيم عندها محرك الجدار الناري التقليدي قاعدة الحظر:
ملاحظة
ملاحظة: لا يسقط محرك الجدار الناري التقليدي الحزم. يكمل PoP مصافحة TCP دون إرسال أي حزم إلى الوجهة (المضيف B). السبب في ذلك هو عرض صفحة إعادة توجيه الإنترنت للإجراءات الحظر أو التوجيه. لمزيد من المعلومات حول صفحة إعادة التوجيه، راجع تخصيص صفحة التحذير / الحظر.
محرك جدار الحماية NG من كاتو هو ذو حالة و يستخدم فحص البيانات في طبقة التطبيقات للوعي الكامل والسيطرة على التطبيقات والخدمات. يطبق فحص الحزمة العميق (DPI) ومحركات الأمان المتعددة لفحص حركة المرور. العنصر الرئيسي لمحرك الجدار الناري من الجيل التالي هو وعي التطبيقات، الذي يتيح لك تحديد قواعد تسمح أو تحظر حركة المرور بناءً على التطبيقات والخدمات. يقوم محرك الجدار الناري NG بفحص محتوى الحزمة استنادًا إلى التطبيقات، التطبيقات المخصصة، الفئات، الفئات المخصصة، الخدمات، FQDN، النطاق، وأكثر. على سبيل المثال، يمكنك تعريف قاعدة لحظر حركة المرور لتطبيق uTorrent في شبكتك. لفحص محتوى البيانات لتدفق الاتصال، يقيم الجدار الناري حزم متعددة في التدفق، بما في ذلك الحزم التي يمكن أن تساعد في تحديد التطبيق وصفات أخرى للحمولة.
توضح الصورة التالية مثالًا على اتصال TCP من المضيف A إلى المضيف B والنقطة التي يقيم عندها الجدار الناري NG قاعدة الحظر:
يحتوي هذا القسم على أفضل الممارسات لسياسة أمان قوية تتعلق بجدران النارية للإنترنت وWAN.
جدران الحماية للWAN والإنترنت في Cato Networks هي جدران نارية مرتبة. يفحص الجدار الناري الاتصالات بشكل متتالٍ ويتحقق لمعرفة ما إذا كانت الاتصالات تطابق قاعدة معينة. على سبيل المثال، إذا طابق اتصال القاعدة رقم 3، فسيتم تطبيق الإجراء على الاتصال ويتوقف الجدار الناري عن فحصه. لا يستمر الجدار الناري في تطبيق القواعد #4 وما يليها على الاتصال.
عندما تكون قواعد الجدار الناري بترتيب خاطئ، يمكن بطريق الخطأ منع أو السماح بحركة المرور. يمكن أن يؤدي ذلك إلى تجربة مستخدم سيئة أو يخلق مخاطر أمان. للمزيد حول ترتيب قواعد الجدار الناري، انظر مقالات قاعدة معارف الجدار الناري.
هذا هو ترتيب قاعدة القواعد الموصى به لمعظم الحالات:
- قواعد التقييد المحددة
- قواعد السماحية العامة
- قواعد السماحية المحددة
-
قاعدة أي أي
- تستخدم قائمة السماحية (الجدار الناري الافتراضي لـ WAN) قاعدة حظر نهائية
- يستخدمون قائمة التقييد (الجدار الناري الافتراضي للإنترنت) مع قاعدة سماحية نهائية
نظرًا لأن جدار الحماية لCato يتبع قاعدة قواعد مرتبة، إذا قمت بتكوين قواعد الجدار الناري NG قبل قواعد الجدار الناري التقليدية، يقوم محرك DPI بفحص حركة المرور لتحديد التطبيق أو الخدمة قبل تطبيق الفعل. هذا يعني أن الحزمة الأولى يمكن أن تمر وتصل إلى الوجهة. لذلك، لكي تحمي القواعد التقليدية شبكتك بشكل صحيح وتطبق الفعل على الحزمة الأولى، يجب أن يكون لها أولوية عالية وتوضع في أعلى القاعدة الأساسية (قبل أي من قواعد الجدار الناري NG). نوصي أن تضع جميع قواعد الجدار الناري التقليدية في أعلى القاعدة الأساسية قبل قواعد الجدار الناري NG.
لمزيد من المعلومات، راجع أعلاه الجدار الناري التقليدي مقابل قواعد الجيل التالي.
توصي Cato أيضًا بهذه التكوينات لجدار الحماية WAN والإنترنت للتخفيف من المخاطر المتعلقة بحركة مرور DNS:
- حظر الاستخدامات المخادعة لـ DNS عن طريق تقييد خدمة DNS عبر HTTPS - DoH في سياسات الجدار الناري
-
في جدار الحماية للإنترنت، قم بحظر فئة تطبيق النطاق المتوقفة لحركة مرور DNS
- تعريف تقسيمات WAN بشكل صحيح لحظر هجمات إعادة توجيه DNS
سياسات جدار الحماية WAN والإنترنت تدعم ما يصل إلى 128 من الشروط لكل قاعدة.
المحددات هي أنواع الإعدادات المعرفة لقاعدة، والعناصر هي العدد الكلي للعناصر. على سبيل المثال، قاعدة تحتوي على 100 مستخدم و10 مواقع تحتوي على 110 عناصر و2 محددات (المستخدم والموقع).
المجموعات والمجموعات المتقدمة تُعتبر كل منها كشرط واحد.
يمكن لخيار المسار لقواعد الجدار الناري مساعدتك في مراقبة وتحليل أحداث حركة مرور الجدار الناري والإشعارات. نوصي بتكوين القواعد لإنشاء أحداث لفعل حظر لمراقبة المصادر التي تحاول الوصول إلى محتوى مقيد بسهولة. يمكنك أيضًا تكوين الأحداث والإشعارات للقواعد التي تتعامل مع حركة المرور التي تحمل مخاطر أمنية كبيرة.
كتطبيق لأفضل الممارسات، نوصي باستخدام المراقبة لتوثيق كل حركة المرور على الإنترنت. لتنفيذ ذلك، أضف قاعدة سماح لأي أي صريحة كقاعدة جدار الحماية للإنترنت النهائية وكوّنها لإنشاء أحداث. يوفر ذلك الرؤية لكافة حركة المرور على الإنترنت في شبكتك حتى تتمكن من فهم كيفية حماية الشبكة والمستخدمين بشكل أفضل مع الحفاظ على قابلية الاستخدام.
لمزيد من المعلومات حول إشعارات البريد الإلكتروني والأحداث، راجع تنبيهات مستوى الحساب وإشعارات النظام.
تتيح لك إعدادات الوقت تحديد نطاق زمني معين لقاعدة الجدار الناري. خارج النطاق الزمني، يتجاهل الجدار الناري هذه القاعدة. تتيح لك هذه الميزة تقييد الوصول إلى الإنترنت وتحسين التحكم في الوصول في شبكتك. على سبيل المثال، يمكنك تعريف قاعدة في جدار الحماية للإنترنت تحظر الوصول فقط إلى الفئة الاجتماعية خلال ساعات العمل العادية. أو يمكنك إنشاء قاعدة في جدار الحماية WAN تسمح فقط بالدخول إلى مركز بيانات سحابي خلال ساعات العمل. يوفر قسم الإجراءات لقاعدة خيارات محددة مسبقًا لـتقييد لوقت العمل.
يمكنك أيضًا جدولة قيود زمنية مخصصة وتقييد القاعدة للساعات المحددة. تأكد من ضبط وقت من ليكون أسبق من وقت إلى، وإلا لن تعمل القاعدة بشكل صحيح. إذا كنت ترغب في إنشاء قيد يمتد إلى نهاية يوم وبداية اليوم التالي، أنشئ قاعدتين وحدد قيد الساعات ذات الصلة لكل يوم. على سبيل المثال، قاعدة واحدة مع قيد محدد من 23:00-23:59 في يوم الاثنين، وقاعدة ثانية مع قيد محدد من 00:00 إلى 01:00 في يوم الثلاثاء.
ملاحظة
ملاحظة: قواعد جدار الحماية المقيدة زمنيًا لها تصنيفات مختلفة بناءً على نوع المستخدم:
- بالنسبة للمواقع، سيتم استخدام المنطقة الزمنية المكوّنة لفرض قواعد الجدار الناري المقيدة بالوقت
- بالنسبة لمستخدمي ZTNA، ستكون قواعد الجدار الناري المقيدة بالوقت مستندة إلى الموقع الجغرافي لعنوان IP العام الخاص بهم. إذا لم يكن هذا متاحًا، يتم استخدام الموقع الجغرافي للمنطقة الزمنية للحساب.
قاعدة جدار ناري بسيطة ونظيفة تساعد في تنفيذ سياسة أمان قوية لأنها أسهل في الإدارة وتقلل من الارتباك. تساعدك التوصيات في هذا القسم على إنشاء سياسة أمان واضحة ومتسقة وتفادي الأخطاء.
عند إنشاء قاعدة، امنحها اسمًا محددًا وفريدًا. أسماء القواعد التفسيرية الذاتية تسمح للمسؤولين الآخرين في الفريق بفهم هدف القاعدة بسهولة. يمكن أن تتسبب القواعد التي تحمل أسماء غير جيدة في أخطاء وتخلق الارتباك.
على سبيل المثال، سمِّ قاعدة جدار حماية الإنترنت التي تحظر مواقع القمار حظر القمار بدلاً من المواقع المحظورة الغامض.
يمكن تعطيل أو تمكين كل قاعدة جدار ناري فردية. ومع ذلك، نوصي بعدم تعطيل القواعد إلا لفترة قصيرة من الوقت. بالنسبة للقواعد القديمة التي لم تعد قيد الاستخدام، قم بحذفها من قاعدة القواعد بدلاً من تعطيلها. تجعل القواعد المعطلة قاعدة القواعد أكثر تعقيدًا وصعوبة في الإدارة.
عند إنشاء قاعدة جدار ناري، استخدم مجموعة من المستخدمين أو المواقع وحدد الوصول الشبكي لأعضاء هذه المجموعة. على سبيل المثال، يمكنك إنشاء مجموعة من المستخدمين (الموارد > المجموعات) وحظر الوصول إلى الإنترنت لهذه المجموعة فقط.
تعتبر الاستثناءات أدوات قوية لقواعد الجدار الناري، ولكنها قد تجعل قاعدة القواعد صعبة القراءة. في الحالات التي تستخدم فيها استثناءات في القواعد، منذ الاسماء بحيث يكون من الواضح أنها تحتوي على استثناءات. على سبيل المثال، حظر الاجتماعي (مع استثناء).
جدار الحماية للإنترنت من كاتو يفحص حركة مرور الإنترنت ويسمح لك بإنشاء قواعد للتحكم في الوصول إلى الإنترنت. يستند جدار الحماية للإنترنت على مجموعة من القواعد الأمنية التي تتيح لك السماح أو حظر الوصول من المواقع والمستخدمين إلى المواقع الإلكترونية والفئات والتطبيقات وما إلى ذلك. النهج الافتراضي لجدار الحماية للإنترنت هو القائمة السوداء (أي أي سماح).
لقطة الشاشة التالية تُظهر مثالاً لسياسة جدار الحماية للإنترنت في CMA (الأمان > جدار الحماية للإنترنت):
ملاحظة: قاعدة نظام في أعلى قاعدة قواعد الجدار الناري للإنترنت. تقوم هذه القاعدة تلقائيًا بحظر المرور الذي يحتمل أن يكون غير قانوني أو ضار كما هو معرّف في اتفاقية خدمة الماستر لـ Cato Networks.
أفضل الممارسات لسياسة جدار ناري الإنترنت لكتو
يحتوي القسم على أفضل الممارسات لمساعدتك في تأمين الوصول إلى الإنترنت لحسابك.
QUIC هو نظام نقل متعدد جديد مبني على UDP. تم تصميم HTTP/3 للاستفادة من ميزات QUIC، بما في ذلك عدم وجود حجب على مستوى السطر بين التدفقات. بدأ مشروع QUIC كبديل لـTCP+TLS+HTTP/2، بهدف تحسين تجربة المستخدم، خاصةً في أوقات تحميل الصفحات. يمكن لCato تحديد حركة مرور QUIC وحظرها، بالإضافة إلى حركة مرور GQUIC (Google QUIC).
لإدارة حركة مرور QUIC في جدار الحماية أو قاعدة الشبكة، استخدم الخدمة QUIC والتطبيق GQUIC في القواعد المعنية. هذه أمثلة على قواعد جدار الحماية للإنترنت التي تحظر حركة مرور QUIC لحساب:
نظرًا لأن بروتوكول QUIC يعمل عبر UDP 443، فإن حركة مرور HTTP المغلفة لا يتم تحليلها. هذا يعني أن شاشة تحليلات التطبيقات تعرض فقط إدخالات حركة مرور QUIC بدلاً من التطبيق نفسه.
لذا نوصي بإنشاء قواعد محددة لحظر حركة المرور QUIC وGQUIC، بحيث يستخدم المتصفح إصدار HTTP الافتراضي بدلاً من HTTP 3.0 وQUIC. هذا يوفر تحليلات مفصلة للتطبيقات المستخدمة، بدلاً من مجرد الإبلاغ عن استخدام خدمة QUIC أو تطبيق GQUIC.
بالنسبة للقواعد التي تسمح بالوصول إلى الإنترنت، نوصي بتحديد موقع، مضيف أو مستخدم محدد في عمود المصدر، بدلاً من استخدام الخيار أي. القواعد التي تسمح بأي حركة مرور إلى الإنترنت تعتبر خطر أمني محتملاً لأنك تسمح بحركة مرور من مصادر غير متوقعة.
تُظهر لقطة الشاشة التالية قاعدة حيث تم تعيين عمود المصدر إلى المجموعات جميع المواقع وجميع مستخدمي SDP بدلاً من أي:
يمكن أن تولد قواعد جدار الحماية للإنترنت التي تستخدم أي في بعض الإعدادات أحداثاً لا تشمل المعلومات الهامة والمفيدة. على سبيل المثال، قد تقوم قاعدة مكونة مع أي تطبيق بإحداث أحداث لا تحدد التطبيق في تدفق الحركة. يحدث هذا لأن جدار الحماية يطلق القاعدة قبل أن يكمل تحديد التطبيق، حيث أن أي تطبيق يتطابق مع القاعدة. ثم، عندما يكمل مكدس الأمان لـ Cato عملية تحديد التطبيقات، يتم تضمين بيانات استخدام التطبيق هذه في شاشة تحليلات التطبيقات. ومع ذلك، لا تتضمن الأحداث جميع المعلومات نفسها، وبالتالي قد يكون من الصعب متابعة التحقيق في استخدام التطبيق.
لمساعدة في تحسين تحليل استخدام التطبيقات، نوصي بتقليل استخدام أي في شروط القواعد واستخدام القواعد التفصيلية مع التطبيقات والخدمات والمنافذ المحددة وما إلى ذلك.
عندما يكون من الضروري تكوين قواعد الجدار الناري التي تسمح بأي حركة مرور إلى الخارج للإنترنت لخدمة أو منفذ معين، نوصي بحظر الفئات أو التطبيقات التي تشكل مخاطر أمنية محتملة.
على سبيل المثال، إذا كان لديك قاعدة تسمح بكل حركة HTTP، فأضف استثناء للقواعد للفئات مثل: الغش، القمار، العنف والكراهية، المجالات المركونة، العري، الأسلحة، التعليم الجنسي، الطوائف، والمجهلون. هذه أمثلة على الفئات التي يمكن أن تحتوي على محتوى ضار، ويقوم الاستثناء بحظر الوصول إلى الإنترنت لهذه الفئات.
بشكل عام، نوصي أنه في الحالات التي تسمح فيها القواعد بحركة مرور الإنترنت، استخدم البروتوكولات الآمنة والمشفرة بدلاً من بروتوكولات النص العادي. على سبيل المثال، استخدام FTPS بدلاً من FTP، أو SSH بدلاً من Telnet أو SNMP. حركة المرور التي يتم السماح بها عبر بروتوكولات آمنة تكون مشفرة، مما يجعل من الصعب للغاية على المتسللين اعتراض وفك تشفيرها.
إذا كانت لديك قاعدة تسمح بالوصول إلى مواقع الويب ذات المخاطر الأمنية الطفيفة، نوصي باستخدام الإجراء طلب بدلاً من السماح. عندما يحاول المستخدمون الوصول إلى أحد هذه المواقع، يقوم الإجراء طلب بإعادة توجيه المستخدمين إلى صفحة ويب حيث يقررون ما إذا كانوا سيستمرون أم لا. نظرًا لأن هذه المواقع تضيف خطراً أمنياً لشبكتك، نوصي بتتبع الأحداث لحركة المرور التي تتطابق مع هذه القاعدة.
لكي يعمل إجراء طلب بشكل صحيح، نوصي بتثبيت شهادة Cato على جميع الأجهزة المدعومة.
عند تضمين العديد من الفئات في قاعدة، يجعل ذلك قاعدة القواعد أكثر صعوبة في الإدارة. يمكنك بدلاً من ذلك تعريف فئة مخصصة تحتوي على جميع الفئات ذات الصلة، ومن ثم إضافة هذه الفئة المخصصة الفردية إلى القاعدة. تعريف قواعد بسيطة تستخدم فئة مخصصة واحدة يجعل قاعدة القواعد سهلة القراءة والبحث.
على سبيل المثال، يمكنك إنشاء فئة مخصصة تسمى ملف الإنترنت تحتوي على جميع الفئات، التطبيقات، والخدمات التي تريد السماح بالوصول إليها، ثم تضيف الفئة المخصصة إلى قاعدة جدار الحماية الخاصة بالإنترنت ذات الصلة. للحفاظ على قاعدة القواعد محدثة، يمكنك ببساطة تحرير الفئة المخصصة وحذف أو إضافة التحديثات الضرورية.
هذه توصيات إضافية للقواعد التي تنفذ أفضل ممارسات باستخدام الفئات المخصصة:
- أنشئ قاعدة لكل حركة مرور تريد تعريفها باستخدام إجراء طلب. ثم أنشئ فئة مخصصة باسم المواقع المستعجلة تحتوي على جميع عناوين URL والفئات ذات الصلة، وأضفها إلى القاعدة. تشمل الفئات الموصى بها لإجراء طلب: الغش، القمار، العنف والكراهية، المبتذل، النطاقات المتوقفة، الأسلحة، التعليم الجنسي، الطوائف، والأدوات المجهولة. قم بتكوين التتبع للقاعدة لإنشاء أحداث لحركة المرور المطابقة.
- أنشئ قاعدة لكل حركة مرور تريد تعريفها باستخدام إجراء حظر. ثم أنشئ فئة مخصصة باسم المواقع المحظورة تحتوي على جميع عناوين URL والفئات ذات الصلة، وأضفها إلى القاعدة. تشمل الفئات الموصى بها لإجراء حظر: بوت نت، مخترقة، إباحية، برامج تسجيل المفاتيح، برامج ضارة، تصيد احتيالي، برامج تجسس، مخدرات غير قانونية، اختراق، بريد عشوائي، مشكوك فيها. قم بتكوين التتبع للقاعدة لإنشاء أحداث لحركة المرور المطابقة.
القاعدة النهائية في جدار الحماية للإنترنت هي قاعدة سماح ضمنية Any - Any - ، ومع ذلك نوصي بإضافة قاعدة سماح صريحة Any - Any - كقاعدة نهائية. بهذه الطريقة، يمكنك بسهولة تسجيل جميع حركة مرور الإنترنت، فقط اختر تتبع الأحداث لجميع القواعد.
جدار الحماية للإنترنت في كاتو يجعله سهل وفعال لحظر نطاقات المستوى الأعلى (TLDs) بأكملها، مثل .shop، .info أو نطاقات البلدان مثل .cg (الكونغو). تعزز هذه القدرة الأمان من خلال تمكين المؤسسات من منع الوصول بشكل استباقي إلى TLDs عالية الخطورة أو غير المرغوبة عبر شبكاتها.
لحظر TLD، حدد النطاق لفئة التطبيق/الفئة في قاعدة جدار الحماية للإنترنت. لا حاجة لاستخدام wildcards (مثل، *.info); يتم تضمين المجالات الفرعية تلقائيًا. هذا يعني أن إضافة info سيحظر example.info، subdomain.example.info، وأي نطاق آخر تحت TLD .info.
يحظر جدار الحماية للإنترنت حركة المرور الصادرة إلى النطاقات تحت TLD المحدد. لا يحظر الحركة الداخلية. حظر دولة باستخدام النطاق يعتمد على اسم النطاق نفسه بدلاً من التصفية المعتمدة على العنوان IP.
يوضح المثال أعلاه النطاقات التي يمكن إضافتها إلى قاعدة الحظر بهذا السلوك:
- info يحظر جميع نطاقات .info
- shop يحظر جميع نطاقات .shop
- cg يحظر جميع نطاقات .cg (الكونغو)
تنفيذ جدار حماية الإنترنت بسلوك قائمة السماح يعني أن الجدار يحظر جميع حركة المرور للإنترنت افتراضيًا. أضف القواعد إلى جدار الحماية التي تسمح بشكل محدد بحركة مرور الإنترنت وفقاً لاحتياجات سياسة أمن الشركات.
لتنفيذ جدار حماية قائمة السماح للإنترنت في CMA، يجب أن تكون القاعدة النهائية أسفل أساس القواعد قاعدة واضحة تحظر أي حركة من أي مصدر إلى أي وجهة. انظر المثال التالي:
نوصي أيضًا بتمكين التتبع للقاعدة النهائية لتوليد الأحداث التي تساعدك على مراقبة وتحليل حركة مرور الإنترنت على شبكتك.
تتناول هذه الميزة القواعد التي نوصي بتضمينها في قواعد جدران الحماية للإنترنت التي تستخدم نهج القائمة البيضاء.
عند السماح بحركة مرور HTTP وHTTPS، نوصي بحظر مواقع الويب التي تحتوي على محتوى خطر وغير لائق. هذه المواقع تُحظر عادةً من قبل الشركات ويمكن أن تكون أيضاً مصادر محتملة للبرامج الضارة. تحتوي كل فئة (الموارد > الفئات) على مجموعة من مواقع الويب والتطبيقات التي يمكنك إضافتها بسهولة إلى القواعد. تشمل الفئات، على سبيل المثال، Botnets، Compromised، Porn، Keyloggers، Malware، Phishing، Spyware، Illegal Drugs، Hacking، SPAM، وQuestionable.
في الجزء العلوي من قاعدة القواعد، تأكد من وجود قاعدة للسماح بجميع خدمات DNS كجزء من حركة مرور الإنترنت.
تُظهر لقطة الشاشة التالية مثالاً على قاعدة السماح بحركة مرور DNS:
أنشئ قاعدة للسماح بالخدمات المستخدمة من قبل حسابك والتي تتطلب الوصول إلى الإنترنت. بالإضافة إلى ذلك، إذا كانت هناك خدمات تُستخدم فقط لمواقع محددة، يمكنك إنشاء قاعدة منفصلة تسمح بالوصول فقط لتلك المواقع.
أضف التطبيقات التي تستخدمها مؤسستك إلى قواعد جدار الحماية للإنترنت من قائمة التطبيقات المحددة مسبقًا. Cato تقوم بتحديث هذه القائمة باستمرار مع التطبيقات الجديدة. إذا كنت بحاجة إلى تطبيق غير موجود في القائمة، يمكنك تعريف تطبيق مخصص. لمزيد من المعلومات حول تكوين التطبيقات المخصصة، انظر العمل مع التطبيقات المخصصة.
تنفيذ جدار حماية للإنترنت بسلوك القائمة السوداء يعني أن جدار الحماية بحكم الافتراضي يسمح بكل حركة مرور الإنترنت. أضف القواعد إلى جدار الحماية التي تحظر بشكل محدد حركة المرور على الإنترنت وفقاً لاحتياجات سياسة أمن شركتك. التدرج الافتراضي لجدار الحماية للإنترنت هو القائمة السوداء، ويسمح بأي حركة مرور لم يتم حظرها بواسطة قاعدة.
بالإضافة إلى ذلك، نوصي باستخدام فترة تعلم لتحديد حركة المرور غير المرغوب فيها على الإنترنت. خلال هذه الفترة التعليمية، يجب إضافة قاعدة في أسفل قاعدة القواعد تسمح بأي حركة مرور من أي مصدر إلى أي وجهة مع تمكين التتبع بشكل مؤقت. تولد هذه القاعدة حدثًا لكل اتصال يُسمح له بالوصول إلى الإنترنت. عندما تراجع حركة مرور الإنترنت لحسابك، إذا حددت حركة مرور غير مرغوب فيها، فيمكنك حينئذٍ إضافة قاعدة لحظرها.
لمزيد من المعلومات حول أحداث الجدار الناري، انظر تحليل الأحداث في شبكتك.
تصف هذه الميزة القواعد التي نوصي بتضمينها في قواعد جدران الحماية للإنترنت التي تستخدم نهج القائمة السوداء.
تشكل خدمات مثل Telnet وSNMP v1 & v2 مخاطر أمنية محتملة، ويمكن حظرها في قواعد الإنترنت. إذا كان يجب على مؤسستك الوصول إلى هذه الخدمات، نوصي بإضافة استثناء للقاعدة التي تمنعها لمستخدمين أو مجموعات معينة.
تُظهر لقطة الشاشة التالية مثالاً على قاعدة تمنع حركة مرور Telnet وSNMP، مع استثناء يسمح بالوصول لقسم تكنولوجيا المعلومات:
تحتوي الفئة غير مصنفة على مواقع ويب لا تندرج تحت الفئات المعروفة في القائمة. قد تكون هذه المواقع خطرًا أمنيًا محتملاً لشبكتك. أنشئ قاعدة تحجب الفئة غير مصنفة لكل حركة مرور الإنترنت.
يمكنك أيضًا استخدام خدمة Cato's RBI لتمكين الوصول الآمن إلى المواقع غير المصنفة. لمزيد من المعلومات حول RBI، انظر تأمين جلسات التصفح من خلال العزل عن بُعد عبر المتصفح (RBI).
هناك العديد من الدول المعروفة بتوليد حركة المرور الخبيثة. إذا لم تكن مؤسستك لديها أعمال مع هذه الدول، نوصي بحظر الوصول إلى الإنترنت وتقليل حركة المرور الخبيثة المحتملة. يمكنك إنشاء قاعدة تستخدم إعداد الدولة في قسم التطبيق / الفئة لحظر حركة المرور إلى الدول المحددة.
إذا كنت ترغب في حظر حركة المرور من دولة معينة لكن السماح بالوصول إلى FQDN معين، قم بإنشاء قاعدة مع FQDN المطلوب مع إجراء السماح. ثم قم بإنشاء قاعدة ذات أولوية أدنى لحظر الدولة.
جدار حماية Cato's WAN مسؤول عن التحكم في حركة المرور بين العناصر المختلفة للشبكة المتصلة بالسحابة Cato. مع جدار الحماية WAN، يمكنك التحكم في حركة النقل الخاصة بشبكة WAN الخاصة بك وتحقيق أمان شبكي مثالي.
يستخدم جدار الحماية WAN النهج Any Any Block (قائمة السماح) بشكل افتراضي. هذا يعني أن أي اتصال بين المواقع والمستخدمين محظور ما لم تحدد قواعد جدار الحماية الخاصة بـ WAN التي تسمح بالاتصالات.
لقطة الشاشة التالية تُظهر مثالاً لسياسة جدار الحماية WAN في CMA (الأمان > جدار الحماية WAN)
تحتوي هذه الميزة على أفضل الممارسات لمساعدتك في تأمين الاتصال الخاص بـ WAN لحسابك.
القاعدة الذهبية لجدار الحماية WAN هي السماح فقط للحركة المرغوبة. بالنسبة لهذه القواعد السماحية، أضف الخدمات والمنافذ المحددة التي تُستخدم وتوفر الاتصال المعزز الآمن لجدار الحماية WAN.
تظهر لقطة الشاشة التالية مثالاً على قاعدة جدار حماية WAN تسمح لجميع مستخدمي ZTNA بالوصول إلى موقع مركز البيانات. تحسن هذه القاعدة الأمان لأنها تسمح فقط بحركة مرور RDP لمستخدمي ZTNA.
قواعد جدار الحماية WAN التي تمنح الوصول إلى أي مصدر أو وجهة أقل أمانًا من المواقع والمستخدمين المحددين. الإعدادات الأكثر تحديدًا تمنحك تحكمًا أكبر في الاتصال الخاص بـ WAN للحساب.
تُظهر لقطة الشاشة التالية مثالاً على قاعدة جدار الحماية WAN التي تستخدم مواقع محددة في إعدادات المصدر والوجهة:
عند تكوين قواعد جدار الحماية WAN باستخدام Any في بعض الإعدادات، قد لا تشمل الأحداث المتعلقة بالقاعدة جميع البيانات ذات الصلة، وقد يجعل ذلك من الصعب تحليل استخدام التطبيقات. لمزيد من المعلومات حول الأحداث للقواعد باستخدام إعدادات Any، راجع أعلاه تحسين بيانات الأحداث بواسطة القواعد الدقيقة . لمساعدة في تحسين تحليل استخدام التطبيقات، نوصي بتقليل استخدام أي في شروط القواعد واستخدام القواعد التفصيلية مع التطبيقات والخدمات والمنافذ المحددة وما إلى ذلك.
تنفيذ جدار الحماية WAN بسلوك قائمة السماح يعني أن الجدار يحظر جميع الاتصالات WAN بين المواقع، الخوادم، المستخدمين، وما إلى ذلك افتراضيًا. أضف القواعد إلى جدار الحماية التي تسمح بشكل خاص بالاتصال بحركة مرور WAN في شبكتك. قائمة السماح هي الهيكل الافتراضي لجدار الحماية WAN في كاتو، القاعدة النهائية الضمنية في أساس قوانين WAN هي ANY ANY Block.
نوصي بشدة بعدم إضافة قاعدة تسمح بالاتصال من أي مصدر إلى أي وجهة في WAN. هذا النوع من قواعد Any Any سماح يعرض شبكتك لمخاطر أمان كبيرة.
تتضمن سياسة الأمان القوية لجدار حماية قائمة السماح بـ WAN القواعد التي تسمح فقط للخدمات والتطبيقات المحددة التي تستخدمها مؤسستك. بدلاً من استخدام قواعد تسمح بأي خدمة لحركة المرور بين المواقع، أضف الخدمات أو التطبيقات إلى هذه القاعدة. نظرًا لأن الخدمات أكثر تحديدًا من المنافذ، نوصي بتعريف القواعد باستخدام الخدمات بدلاً من المنافذ حيثما كان ذلك ممكنًا.
تشمل الأمثلة على الخدمات التي تستخدمها المؤسسات عادة: DNS، DHCP، SMB، قواعد البيانات، Citrix، RDP، DCE/RPC، SMTP، FTP، ICMP، NetBIOS، NTP، SNMP، وهكذا.
تشمل الأمثلة على التطبيقات التي تستخدمها المؤسسات عادة: SharePoint، Slack، Citrix ShareFile، وهكذا.
يمكنك أيضًا إنشاء فئة مخصصة تحتوي على جميع التطبيقات والخدمات لجدار الحماية WAN، ومن ثم إضافة هذه الفئة المخصصة إلى القواعد ذات الصلة. استخدم التطبيقات المخصصة للتطبيقات أو الخدمات التي لم يسبق تعريفها في جدار الحماية. هذا يسمح أيضًا للأحداث بأن تحتوي على اسم التطبيق لتحليل أفضل.
تنفيذ جدار حماية WAN بسلوك القائمة السوداء يعني أن جدار الحماية بحكم الافتراضي يسمح بكل الاتصال بين المواقع والخوادم والمستخدمين وما إلى ذلك. أضف القواعد إلى جدار الحماية التي تحظر بشكل خاص الاتصال بحركة مرور WAN وفقاً لاحتياجات سياسة أمان الشركات. لا نوصي باستخدام هذا النهج لسياسة الأمان الخاصة بـ WAN. ومع ذلك، إذا كانت مؤسستك تستخدمه، فتأكد من حظر حركة مرور WAN غير المرغوب فيها.
لتنفيذ جدار حماية قائمة الحظر WAN في CMA، يحتوي أساس القواعد على قاعدة ANY ANY Allow في الأسفل.
بالنسبة لجدران الحماية القائمة على القائمة السوداء لـ WAN، نوصي بإضافة القواعد التالية فوق القاعدة النهائية Any Any سماح للمساعدة في إنشاء سياسة أمان قوية:
- قواعد لحظر الخدمات التي تشكل مخاطر أمنية ولها نقاط ضعف معروفة، مثل SMBv1
- قواعد تحظر الاتصال بين المواقع التي لا تحتاج إلى التواصل
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.