سياسات جدار حماية الإنترنت وWAN - أفضل الممارسات

نظرة عامة على أفضل ممارسات جدار الحماية

تلعب الجدران النارية دورًا رئيسيًا في تأمين شبكات الشركات وحماية الموارد الداخلية. تحتوي هذه المقالة على توصيات وأفضل الممارسات لمساعدتك في إنشاء أحدث سياسة أمان لمؤسستك. كما نشرح كيفية إبقاء سياسات الجدار الناري نظيفة وقابلة للإدارة.

يساعدك جدار الحماية للإنترنت في إدارة الوصول للمستخدمين والأجهزة في شبكتك لعدد كبير من الخدمات الإلكترونية والتطبيقات والمحتوى. يتيح لك جدار الحماية للWAN إدارة حركة WAN للموارد الداخلية وبين المستخدمين والمواقع. يساعدك هذا الدليل في تكوين القواعد وضبطها في كل جدار ناري لتعظيم فعالية سياسة الأمان.

لمزيد من المعلومات حول إعدادات القواعد المحددة، راجع مرجع كائنات القواعد.

تخطيط سياسة أمان جدار الحماية

هناك طريقتان لقاعدة القواعد للجدار الناري، القائمة البيضاء والقائمة السوداء. يعني السماح للقائمة البيضاء لقاعدة الجدار الناري أن القواعد تحدد حركة المرور التي يسمح بها الجدار الناري. تُحظَر جميع حركات المرور الأخرى بواسطة الجدار الناري. القائمة السوداء لعناصر القواعد الجدار الناري هي العكس، تحدد القواعد حركة المرور المحظورة. تُسمح جميع حركات المرور الأخرى بواسطة الجدار الناري. تختار المؤسسات النهج الذي يناسب احتياجاتها وظروفها المحددة بشكل أفضل.

  • تحتوي سياسة أمان القائمة البيضاء على قاعدة حظر لأي أي كقاعدة نهائية لحظر جميع حركات المرور التي لا تتطابق مع قاعدة السماح

  • تحتوي سياسة أمان القائمة السوداء على قاعدة سماح لأي أي كقاعدة نهائية للسماح بجميع حركات المرور التي لا تتطابق مع قاعدة الحظر

تتم مناقشة التوصيات لكل نهج أدناه في الأقسام الخاصة بالجدران النارية للإنترنت وWAN.

القواعد التقليدية مقابل قواعد الجدار الناري NG

تستخدم الجدران النارية لCato للإنترنت وWAN نوعين مختلفين من قواعد الجدار الناري:

  • قواعد الجدار الناري التقليدية (المعروفة أيضًا بالقواعد البسيطة)

  • قواعد الجدار الناري من الجيل التالي (NG) (المعروفة أيضًا بالقواعد المعقدة)

يصف هذا القسم الفروقات بين أنواع هذه القواعد والمنطق الذي يستخدمه الجدار الناري لتطبيقها على حركة المرور للشبكة.

قواعد الجدار الناري التقليدية - فحص الحزمة الأولى

تتيح لك Cato تعريف سياسة أمان الشبكة وتكوين قواعد الجدار الناري التقليدية للسيطرة على حركة المرور الداخلية والخارجية في شبكتك. قواعد الجدار الناري التقليدية في Cato تحتوي فقط على واحد أو أكثر من الإعدادات التالية:

  • نطاق IP

  • ASN

  • الدول

  • موقع

  • مضيف

  • البروتوكول/المنفذ

    • البروتوكولات المتاحة: TCP، UDP، TCP/UDP وICMP

يقيم محرك الجدار الناري التقليدي حركة المرور في الحزمة الأولى. على سبيل المثال، يمكن لمسؤولي الشبكة تكوين قواعد الجدار الناري بناءً على البروتوكولات والمنافذ. بالنسبة لهذا النوع من القواعد، يقرر الجدار الناري السماح أو حظر حركة المرور بناءً على الحزمة الأولى.

تُظهر لقطة الشاشة التالية مثالًا على قاعدة جدار حماية WAN تقليدية تحظر حركة مرور TCP على المنفذ 80:

mceclip0.png

توضح الصورة التالية مثالًا على اتصال TCP من المضيف A إلى المضيف B والنقطة التي يقيم عندها محرك الجدار الناري التقليدي قاعدة الحظر:

mceclip1.png

ملاحظة

ملاحظة: لا يسقط محرك الجدار الناري التقليدي الحزم. يكمل PoP مصافحة TCP دون إرسال أي حزم إلى الوجهة (المضيف B). السبب في ذلك هو عرض صفحة إعادة توجيه الإنترنت للإجراءات الحظر أو التوجيه. لمزيد من المعلومات حول صفحة إعادة التوجيه، راجع تخصيص صفحة التحذير / الحظر.

قواعد الجدار الناري NG - فحص الحزم العميق

محرك الجدار الناري NG الخاص بـ Cato يعمل مع الحفظ التحديثي ويستخدم فحص البيانات على مستوى التطبيقات لإدراك تام والسيطرة على التطبيقات والخدمات. يطبق فحص الحزمة العميق (DPI) ومحركات الأمان المتعددة لفحص حركة المرور. العنصر الرئيسي لمحرك الجدار الناري من الجيل التالي هو وعي التطبيقات، الذي يتيح لك تحديد قواعد تسمح أو تحظر حركة المرور بناءً على التطبيقات والخدمات. يقوم محرك الجدار الناري NG بفحص محتوى الحزمة استنادًا إلى التطبيقات، التطبيقات المخصصة، الفئات، الفئات المخصصة، الخدمات، FQDN، النطاق، وأكثر. على سبيل المثال، يمكنك تعريف قاعدة لحظر حركة المرور لتطبيق uTorrent في شبكتك. لفحص محتوى البيانات لتدفق الاتصال، يقيم الجدار الناري حزم متعددة في التدفق، بما في ذلك الحزم التي يمكن أن تساعد في تحديد التطبيق وصفات أخرى للحمولة.

توضح الصورة التالية مثالًا على اتصال TCP من المضيف A إلى المضيف B والنقطة التي يقيم عندها الجدار الناري NG قاعدة الحظر:

mceclip3.png

أفضل الممارسات لحركة المرور على الإنترنت وWAN

يحتوي هذا القسم على أفضل الممارسات لسياسة أمان قوية تتعلق بجدران النارية للإنترنت وWAN.

ترتيب قواعد جدار الحماية

جدران الحماية للWAN والإنترنت في Cato Networks هي جدران نارية مرتبة. يفحص الجدار الناري الاتصالات بشكل متتالٍ ويتحقق لمعرفة ما إذا كانت الاتصالات تطابق قاعدة معينة. على سبيل المثال، إذا طابق اتصال القاعدة رقم 3، فسيتم تطبيق الإجراء على الاتصال ويتوقف الجدار الناري عن فحصه. لا يستمر الجدار الناري في تطبيق القواعد #4 وما يليها على الاتصال.

عندما تكون قواعد الجدار الناري بترتيب خاطئ، يمكن بطريق الخطأ منع أو السماح بحركة المرور. يمكن أن يؤدي ذلك إلى تجربة مستخدم سيئة أو يخلق مخاطر أمان. للمزيد حول ترتيب قواعد الجدار الناري، انظر مقالات قاعدة معارف الجدار الناري.

هذا هو ترتيب قاعدة القواعد الموصى به لمعظم الحالات:

  • قواعد الحظر المحددة

  • قواعد السماح العامة

  • قواعد السماح المحددة

  • قاعدة أي أي

    • تستخدم قائمة السماح (جدار حماية WAN الافتراضي) قاعدة حظر نهائية

    • تستخدم القائمة السوداء (جدار حماية الإنترنت الافتراضي) قاعدة سماح نهائية

تحديد أولويات القواعد التقليدية للجدار الناري

نظرًا لأن جدار الحماية لCato يتبع قاعدة قواعد مرتبة، إذا قمت بتكوين قواعد الجدار الناري NG قبل قواعد الجدار الناري التقليدية، يقوم محرك DPI بفحص حركة المرور لتحديد التطبيق أو الخدمة قبل تطبيق الفعل. هذا يعني أن الحزمة الأولى يمكن أن تمر وتصل إلى وجهتها. لذلك، لكي تحمي القواعد التقليدية شبكتك بشكل صحيح وتطبق الفعل على الحزمة الأولى، يجب أن يكون لها أولوية عالية وتوضع في أعلى القاعدة الأساسية (قبل أي من قواعد الجدار الناري NG). نوصي أن تضع جميع قواعد الجدار الناري التقليدية في أعلى القاعدة الأساسية قبل قواعد الجدار الناري NG.

لمزيد من المعلومات، انظر أعلاه، القواعد التقليدية مقابل قواعد الجدار الناري NG.

أمان DNS لجدار الحماية WAN والإنترنت

توصي Cato أيضًا بهذه التكوينات لجدار الحماية WAN والإنترنت للتخفيف من المخاطر المتعلقة بحركة مرور DNS:

  • احظر الاستخدامات المتخفية لـ DNS عن طريق تقييد خدمة DNS عبر HTTPS - DoH في سياسات جدار الحماية

  • في جدار الحماية للإنترنت، احظر فئة تطبيق النطاق المتوقف لحركة مرور DNS

    حظر_النطاق.png
  • حدد تقسيمات WAN بشكل صحيح لحظر هجمات إعادة ربط DNS

الحد الأقصى لعدد المسندات لكل قاعدة جدار الحماية

تدعم سياسات جدار الحماية للإنترنت وWAN ما يصل إلى 128 مفردة لكل قاعدة.

مراقبة حركة المرور

يمكن لخيار المسار لقواعد الجدار الناري مساعدتك في مراقبة وتحليل أحداث حركة مرور الجدار الناري والإشعارات. نوصي بتكوين القواعد لإنشاء أحداث لفعل حظر لمراقبة المصادر التي تحاول الوصول إلى محتوى مقيد بسهولة. يمكنك أيضًا تكوين الأحداث والإشعارات للقواعد التي تتعامل مع حركة المرور التي تحمل مخاطر أمنية كبيرة.

كتطبيق لأفضل الممارسات، نوصي باستخدام المراقبة لتوثيق كل حركة المرور على الإنترنت. لتنفيذ ذلك، أضف قاعدة سماح لأي أي صريحة كقاعدة جدار الحماية للإنترنت النهائية وكوّنها لإنشاء أحداث. يوفر ذلك الرؤية لكافة حركة المرور على الإنترنت في شبكتك حتى تتمكن من فهم كيفية حماية الشبكة والمستخدمين بشكل أفضل مع الحفاظ على قابلية الاستخدام.

لمزيد من المعلومات حول إشعارات البريد الإلكتروني والأحداث، راجع تنبيهات مستوى الحساب وإشعارات النظام.

جدولة القيود الزمنية للقواعد

تتيح لك إعدادات الوقت تحديد نطاق زمني معين لقاعدة الجدار الناري. خارج النطاق الزمني، يتجاهل الجدار الناري هذه القاعدة. تتيح لك هذه الميزة تقييد الوصول إلى الإنترنت وتحسين التحكم في الوصول في شبكتك. على سبيل المثال، يمكنك تعريف قاعدة في جدار الحماية للإنترنت تحظر الوصول فقط إلى الفئة الاجتماعية خلال ساعات العمل العادية. يمكنك أيضًا إنشاء قاعدة في جدار الحماية WAN تسمح بالوصول فقط إلى مركز بيانات السحابة خلال ساعات العمل. يوفر قسم الإجراءات لقاعدة خيارات محددة مسبقًا لـتقييد لوقت العمل.

يمكنك أيضًا جدولة قيود زمنية مخصصة وتقييد القاعدة للساعات المحددة. تأكد من أن وقت من مضبوط قبل وقت إلى، وإلا فلن تعمل القاعدة بشكل صحيح. إذا كنت ترغب في إنشاء قيد يمتد إلى نهاية يوم وبداية اليوم التالي، أنشئ قاعدتين وحدد قيد الساعات ذات الصلة لكل يوم. على سبيل المثال، قاعدة واحدة مع قيد محدد من 23:00-23:59 في يوم الاثنين، وقاعدة ثانية مع قيد محدد من 00:00 إلى 01:00 في يوم الثلاثاء.

ملاحظة

ملاحظة: قواعد جدار الحماية المقيدة زمنيًا لها تصنيفات مختلفة بناءً على نوع المستخدم:

  • بالنسبة للمواقع، سيتم استخدام المنطقة الزمنية المُعدَّة لفرض قواعد جدار الحماية المقيدة بالوقت

  • بالنسبة لمستخدمي ZTNA، ستكون القواعد الزمنية لجدار الحماية مبنية على تحديد الموقع الجغرافي لعنوان IP العام الخاص بهم. إذا لم يكن ذلك متاحاً، يتم استخدام تحديد الموقع الجغرافي للمنطقة الزمنية للحساب. 

تبسيط إدارة جدار الحماية

قاعدة جدار ناري بسيطة ونظيفة تساعد في تنفيذ سياسة أمان قوية لأنها أسهل في الإدارة وتقلل من الارتباك. تساعدك التوصيات في هذا القسم على إنشاء سياسة أمان واضحة ومتسقة وتفادي الأخطاء.

تجنب أسماء القواعد المربكة

عند إنشاء قاعدة، امنحها اسمًا محددًا وفريدًا. أسماء القواعد التفسيرية الذاتية تسمح للمسؤولين الآخرين في الفريق بفهم هدف القاعدة بسهولة. يمكن أن تتسبب القواعد التي تحمل أسماء غير جيدة في أخطاء وتخلق الارتباك.

على سبيل المثال، سمِّ قاعدة جدار حماية الإنترنت التي تحظر مواقع القمار حظر القمار بدلاً من المواقع المحظورة الغامض.

لا تعطل، احذف

يمكن تعطيل أو تمكين كل قاعدة جدار ناري فردية. ومع ذلك، نوصي بتعطيل القواعد لفترة قصيرة فقط. بالنسبة للقواعد القديمة التي لم تعد قيد الاستخدام، قم بحذفها من قاعدة القواعد بدلاً من تعطيلها. تجعل القواعد المعطلة قاعدة القواعد أكثر تعقيدًا وصعوبة في الإدارة.

استخدم المجموعات

عند إنشاء قاعدة جدار ناري، استخدم مجموعة من المستخدمين أو المواقع وحدد الوصول الشبكي لأعضاء هذه المجموعة. على سبيل المثال، يمكنك إنشاء مجموعة من المستخدمين (الموارد > المجموعات) وحظر الوصول إلى الإنترنت لهذه المجموعة فقط.

أسماء القواعد مع الاستثناءات بوضوح

تعتبر الاستثناءات أدوات قوية لقواعد الجدار الناري، ولكنها قد تجعل قاعدة القواعد صعبة القراءة. في الحالات التي تستخدم فيها استثناءات في القواعد، منذ الاسماء بحيث يكون من الواضح أنها تحتوي على استثناءات. على سبيل المثال، حظر الاجتماعي (مع استثناء).

تجنب وجود عدد كبير جداً من القواعد

في حين لا يوجد حد لعدد القواعد التي يمكن إضافتها إلى سياسة الجدار الناري، فإن عددًا كبيرًا للغاية قد يتسبب في مشاكل أداء ويجعل السياسة صعبة الإدارة. نوصي بتصميم قاعدة القواعد لتجنب الحاجة إلى عدد كبير جداً من القواعد.

تأمين حركة مرور الإنترنت

يقوم جدار الحماية للإنترنت في Cato بفحص حركة المرور على الإنترنت ويسمح لك بإنشاء قواعد للتحكم في الوصول إلى الإنترنت. يستند جدار الحماية للإنترنت على مجموعة من القواعد الأمنية التي تتيح لك السماح أو حظر الوصول من المواقع والمستخدمين إلى المواقع الإلكترونية والفئات والتطبيقات وما إلى ذلك. النهج الافتراضي لجدار الحماية للإنترنت هو القائمة السوداء (أي أي سماح).

تُظهر لقطة الشاشة التالية مثالًا على سياسة جدار حماية الإنترنت في تطبيق إدارة Cato (الأمان > جدار حماية الإنترنت):

DefaultInternetFirewall.png

أفضل الممارسات لسياسة جدار الحماية للإنترنت Cato

يحتوي القسم على أفضل الممارسات لمساعدتك في تأمين الوصول إلى الإنترنت لحسابك.

إدارة حركة مرور QUIC في Cato

QUIC هو نظام نقل متعدد جديد مبني على UDP. تم تصميم HTTP/3 للاستفادة من ميزات QUIC، بما في ذلك عدم وجود حاجز رأس الصفحة بين التدفقات. بدأ مشروع QUIC كبديل لـTCP+TLS+HTTP/2، بهدف تحسين تجربة المستخدم، خاصةً في أوقات تحميل الصفحات. يمكن لCato تحديد حركة مرور QUIC وحظرها، بالإضافة إلى حركة مرور GQUIC (Google QUIC).

لإدارة حركة مرور QUIC في جدار الحماية أو قاعدة الشبكة، استخدم الخدمة QUIC والتطبيق GQUIC في القواعد المعنية. هذه أمثلة على قواعد جدار الحماية للإنترنت التي تحظر حركة مرور QUIC لحساب:

mceclip0.png

نظرًا لأن بروتوكول QUIC يعمل عبر UDP 443، فإن حركة مرور HTTP المغلفة لا يتم تحليلها. هذا يعني أن شاشة تحليلات التطبيقات تعرض فقط إدخالات حركة مرور QUIC بدلاً من التطبيق نفسه.

نوصي بإنشاء قواعد محددة لحظر حركة المرور QUIC وGQUIC حتى يستخدم المتصفح الإصدار الافتراضي من HTTP بدلاً من HTTP 3.0 وQUIC. يوفر هذا تحليلاً دقيقاً للتطبيقات المستخدمة بدلاً من مجرد التبليغ عن استخدام خدمة QUIC أو تطبيق GQUIC.

تجنب استخدام أي كمصدر في قواعد الإنترنت

بالنسبة للقواعد التي تسمح بالوصول إلى الإنترنت، نوصي بتحديد موقع، مضيف أو مستخدم محدد في عمود المصدر، بدلاً من استخدام الخيار أي. القواعد التي تسمح بأي حركة مرور إلى الإنترنت تعتبر خطر أمني محتملاً لأنك تسمح بحركة مرور من مصادر غير متوقعة.

تُظهر لقطة الشاشة التالية قاعدة حيث تم تعيين عمود المصدر إلى المجموعات جميع المواقع وجميع مستخدمي SDP بدلاً من أي:

group_rule.png

ملاحظة

ملاحظة: إذا قمت بإضافة مواقع جديدة إلى حسابك، تذكر أيضًا إضافتها إلى القواعد المعنية في جدار الحماية للإنترنت.

تحسين بيانات الأحداث باستخدام القواعد التفصيلية

يمكن أن تولد قواعد جدار الحماية للإنترنت التي تستخدم أي في بعض الإعدادات أحداثاً لا تشمل المعلومات الهامة والمفيدة. على سبيل المثال، قد تقوم قاعدة مكونة مع أي تطبيق بإحداث أحداث لا تحدد التطبيق في تدفق الحركة. يحدث هذا لأن جدار الحماية يُفعّل القاعدة قبل اكتمال تحديد التطبيق حيث يتطابق أي تطبيق مع القاعدة. ثم، عند اكتمال عملية تحديد التطبيق في مكدس الأمان Cato، يتم تضمين بيانات استخدام التطبيق هذه في شاشة تحليلات التطبيقات. ومع ذلك، لا تتضمن الأحداث جميع المعلومات نفسها، وبالتالي قد يكون من الصعب متابعة التحقيق في استخدام التطبيق.

لمساعدة في تحسين تحليل استخدام التطبيقات، نوصي بتقليل استخدام أي في شروط القواعد واستخدام القواعد التفصيلية مع التطبيقات والخدمات والمنافذ المحددة وما إلى ذلك.

تقييد حركة المرور الخارجة على الإنترنت

عندما يكون من الضروري تكوين قواعد الجدار الناري التي تسمح بأي حركة مرور إلى الخارج للإنترنت لخدمة أو منفذ معين، نوصي بحظر الفئات أو التطبيقات التي تشكل مخاطر أمنية محتملة.

على سبيل المثال، إذا كان لديك قاعدة تسمح بكل حركة HTTP، فأضف استثناء للقواعد للفئات مثل: الغش، القمار، العنف والكراهية، المجالات المركونة، العري، الأسلحة، التعليم الجنسي، الطوائف، والمجهلون. هذه أمثلة على الفئات التي يمكن أن تحتوي على محتوى ضار، ويقوم الاستثناء بحظر الوصول إلى الإنترنت لهذه الفئات.

استخدام بروتوكولات مؤمنة

بشكل عام، نوصي بأن تستخدم بروتوكولات مشفرة وآمنة بدلاً من البروتوكولات النصية العادية للقواعد التي تسمح بحركة الإنترنت. على سبيل المثال، استخدام FTPS بدلاً من FTP، أو SSH بدلاً من Telnet أو SNMP. تم تشفير حركة المرور على الإنترنت المسموح بها باستخدام البروتوكولات الآمنة ويصعب للغاية على المتسللين اعتراضها وفك تشفيرها.

حث المستخدمين على الوصول إلى المواقع الخطرة

إذا كانت لديك قاعدة تسمح بالوصول إلى مواقع الويب ذات المخاطر الأمنية الطفيفة، نوصي باستخدام الإجراء طلب بدلاً من السماح. عندما يحاول المستخدمون الوصول إلى أحد هذه المواقع، يقوم الإجراء طلب بإعادة توجيه المستخدمين إلى صفحة ويب حيث يقررون ما إذا كانوا سيستمرون أم لا. نظرًا لأن هذه المواقع تضيف خطراً أمنياً لشبكتك، نوصي بتتبع الأحداث لحركة المرور التي تتطابق مع هذه القاعدة.

لكي يعمل إجراء طلب بشكل صحيح، نوصي بتثبيت شهادة Cato على جميع الأجهزة المدعومة.

تبسيط إدارة القواعد باستخدام الفئات المخصصة

عند تضمين العديد من الفئات في قاعدة، يجعل ذلك قاعدة القواعد أكثر صعوبة في الإدارة. يمكنك بدلاً من ذلك تحديد فئة مخصصة تحتوي على جميع الفئات ذات الصلة ثم إضافة هذه الفئة المخصصة الوحيدة إلى القاعدة. تعريف قواعد بسيطة تستخدم فئة مخصصة واحدة يجعل قاعدة القواعد سهلة القراءة والبحث.

على سبيل المثال، يمكنك إنشاء فئة مخصصة تسمى ملف الإنترنت تحتوي على جميع الفئات، التطبيقات، والخدمات التي تريد السماح بالوصول إليها، ثم تضيف الفئة المخصصة إلى قاعدة جدار الحماية الخاصة بالإنترنت ذات الصلة. للحفاظ على قاعدة القواعد محدثة، يمكنك ببساطة تحرير الفئة المخصصة وحذف أو إضافة التحديثات الضرورية.

هذه توصيات إضافية للقواعد التي تنفذ أفضل ممارسات باستخدام الفئات المخصصة:

  • أنشئ قاعدة لكل حركة مرور تريد تعريفها باستخدام إجراء طلب. ثم، قم بإنشاء فئة مخصصة باسم SEO إلى المواقع التي تحتوي على جميع عناوين URLs والفئات ذات الصلة، وأضفها إلى القاعدة. تشمل الفئات الموصى بها لإجراء طلب: الغش، القمار، العنف والكراهية، المبتذل، النطاقات المتوقفة، الأسلحة، التعليم الجنسي، الطوائف، والأدوات المجهولة. قم بتكوين التتبع للقاعدة لإنشاء أحداث لحركة المرور المطابقة.

  • أنشئ قاعدة لكل حركة مرور تريد تعريفها باستخدام إجراء حظر. ثم، قم بإنشاء فئة مخصصة باسم مواقع الحجب التي تحتوي على جميع عناوين URLs والفئات ذات الصلة، وأضفها إلى القاعدة. تشمل الفئات الموصى بها لإجراء حظر: بوت نت، مخترقة، إباحية، برامج تسجيل المفاتيح، برامج ضارة، تصيد احتيالي، برامج تجسس، مخدرات غير قانونية، اختراق، بريد عشوائي، مشكوك فيها. قم بتكوين التتبع للقاعدة لإنشاء أحداث لحركة المرور المطابقة.

القاعدة النهائية في جدار الحماية للإنترنت هي قاعدة سماح ضمنية Any - Any - ، ومع ذلك نوصي بإضافة قاعدة سماح صريحة Any - Any - كقاعدة نهائية. بهذه الطريقة يمكنك بسهولة تسجيل كل حركة مرور الإنترنت، فقط اختر تتبع الأحداث لجميع القواعد.

تمرير حركة مرور الإنترنت في القوائم البيضاء

تنفيذ جدار حماية للإنترنت بسلوك القائمة البيضاء يعني أن جدار الحماية بحكم الافتراضي يحظر كل حركة مرور الإنترنت. أضف القواعد إلى جدار الحماية التي تسمح بشكل محدد بحركة مرور الإنترنت وفقاً لاحتياجات سياسة أمن الشركات.

لتنفيذ جدار حماية قائمة السماح للإنترنت في تطبيق إدارة Cato، يجب أن تكون القاعدة النهائية في أسفل قاعدة القواعد هي قاعدة صريحة تحظر أي حركة مرور من أي مصدر إلى أي وجهة. انظر المثال التالي:

أي_أي_يمنع.png

نوصي أيضًا بتمكين التتبع للقاعدة النهائية لتوليد الأحداث التي تساعدك على مراقبة وتحليل حركة مرور الإنترنت على شبكتك.

القواعد الموصى بها لجدار الحماية في قوائم الإنترنت البيضاء

تتناول هذه الميزة القواعد التي نوصي بتضمينها في قواعد جدران الحماية للإنترنت التي تستخدم نهج القائمة البيضاء.

تقييد المواقع والتطبيقات

عند السماح بحركة مرور HTTP وHTTPS، نوصي بحظر مواقع الويب التي تحتوي على محتوى خطر وغير لائق. هذه المواقع تُحظر عادةً من قبل الشركات ويمكن أن تكون أيضاً مصادر محتملة للبرامج الضارة. تحتوي كل فئة (الموارد > الفئات) على مجموعة من مواقع الويب والتطبيقات التي يمكنك إضافتها بسهولة إلى القواعد. تشمل الفئات، على سبيل المثال، بوت نت، مخترقة، إباحية، برامج تسجيل المفاتيح، برامج ضارة، تصيد احتيالي، برامج تجسس، مخدرات غير قانونية، اختراق، بريد عشوائي، مشكوك فيها.

السماح بحركة مرور DNS

في الجزء العلوي من قاعدة القواعد، تأكد من وجود قاعدة للسماح بجميع خدمات DNS كجزء من حركة مرور الإنترنت.

تُظهر لقطة الشاشة التالية مثالاً على قاعدة السماح بحركة مرور DNS:

قاعدة_DNS.png

السماح بالخدمات

أنشئ قاعدة للسماح بالخدمات المستخدمة من قبل حسابك والتي تتطلب الوصول إلى الإنترنت. بالإضافة إلى ذلك، إذا كانت هناك خدمات تُستخدم فقط لمواقع محددة، يمكنك إنشاء قاعدة منفصلة تسمح بالوصول فقط لتلك المواقع.

السماح بالتطبيقات

أضف التطبيقات التي تستخدمها مؤسستك إلى قواعد جدار الحماية للإنترنت من قائمة التطبيقات المحددة مسبقًا. Cato تقوم بتحديث هذه القائمة باستمرار مع التطبيقات الجديدة. إذا كنت بحاجة إلى تطبيق غير موجود في القائمة، يمكنك تعريف تطبيق مخصص. لمزيد من المعلومات حول تكوين التطبيقات المخصصة، انظر العمل مع التطبيقات المخصصة.

حظر حركة مرور الإنترنت في القوائم السوداء

تنفيذ جدار حماية للإنترنت بسلوك القائمة السوداء يعني أن جدار الحماية بحكم الافتراضي يسمح بكل حركة مرور الإنترنت. أضف القواعد إلى جدار الحماية التي تحظر بشكل محدد حركة المرور على الإنترنت وفقاً لاحتياجات سياسة أمن شركتك. التدرج الافتراضي لجدار الحماية للإنترنت هو القائمة السوداء، ويسمح بأي حركة مرور لم يتم حظرها بواسطة قاعدة.

بالإضافة إلى ذلك، نوصي باستخدام فترة تعلم لتحديد حركة المرور غير المرغوب فيها على الإنترنت. خلال هذه الفترة التعليمية، يجب إضافة قاعدة في أسفل قاعدة القواعد تسمح بأي حركة مرور من أي مصدر إلى أي وجهة مع تمكين التتبع بشكل مؤقت. تولد هذه القاعدة حدثًا لكل اتصال يُسمح له بالوصول إلى الإنترنت. عندما تراجع حركة مرور الإنترنت لحسابك، إذا حددت حركة مرور غير مرغوب فيها، فيمكنك حينئذٍ إضافة قاعدة لحظرها.

لمزيد من المعلومات حول أحداث جدار الحماية، انظر تحليل الأحداث في شبكتك.

القواعد الموصى بها لجدار الحماية في قوائم الإنترنت السوداء

تصف هذه الميزة القواعد التي نوصي بتضمينها في قواعد جدران الحماية للإنترنت التي تستخدم نهج القائمة السوداء.

حظر الخدمات التي بها نقاط ضعف معروفة

تشكل خدمات مثل Telnet وSNMP v1 & v2 مخاطر أمنية محتملة، ويمكن حظرها في قواعد الإنترنت. إذا كان يجب على مؤسستك الوصول إلى هذه الخدمات، نوصي بإضافة استثناء للقاعدة التي تمنعها لمستخدمين أو مجموعات معينة.

تُظهر لقطة الشاشة التالية مثالاً على قاعدة تمنع حركة مرور Telnet وSNMP، مع استثناء يسمح بالوصول لقسم تكنولوجيا المعلومات:

منع_Telnet.png

حجب محتوى الويب غير المصنف

تحتوي الفئة غير مصنفة على مواقع ويب لا تندرج تحت الفئات المعروفة في القائمة. قد تكون هذه المواقع خطرًا أمنيًا محتملاً لشبكتك. أنشئ قاعدة تحجب الفئة غير مصنفة لكل حركة مرور الإنترنت.

يمكنك أيضًا استخدام خدمة Cato's RBI لتمكين الوصول الآمن إلى المواقع غير المصنفة. لمزيد من المعلومات حول RBI، انظر تأمين جلسات التصفح من خلال العزل عن بُعد عبر المتصفح (RBI).

استخدام تحديد الموقع الجغرافي لحظر الدول

هناك عدة دول معروفة بتوليد حركة مرور ضارة. إذا لم تكن لمؤسستك أعمال مع هذه الدول، نوصي بحظر الوصول إلى الإنترنت لها وتقليل الحركة الضارة المحتملة. يمكنك إنشاء قاعدة تستخدم إعداد البلد في قسم تطبيق/فئة لحظر حركة المرور إلى الدول المحددة.

دول.png

ملاحظة

ملاحظة: لحظر جميع الوصول إلى الإنترنت لبلد ما، تأكد من أن قاعدة تحديد الموقع الجغرافي هي أعلى في قاعدة القواعد من القواعد ذات الإجراء السماح أو التنبيه.

تأمين حركة مرور WAN

جدار حماية Cato's WAN مسؤول عن التحكم في حركة المرور بين العناصر المختلفة للشبكة المتصلة بالسحابة Cato. مع جدار الحماية WAN، يمكنك التحكم في حركة النقل الخاصة بشبكة WAN الخاصة بك وتحقيق أمان شبكي مثالي.

يستخدم جدار الحماية WAN النهج Any Any Block (قائمة السماح) بشكل افتراضي. هذا يعني أن أي اتصال بين المواقع والمستخدمين محظور ما لم تحدد قواعد جدار الحماية الخاصة بـ WAN التي تسمح بالاتصالات.

تُظهر لقطة الشاشة التالية مثالاً على سياسة جدار الحماية WAN في تطبيق إدارة Cato (الأمان > جدار الحماية الخاص بـ WAN)

جدار_الحماية_الخاص_بـ_WAN.png

أفضل الممارسات لسياسة جدار الحماية WAN Cato

تحتوي هذه الميزة على أفضل الممارسات لمساعدتك في تأمين الاتصال الخاص بـ WAN لحسابك.

السماح بحركة مرور محددة بين المواقع والمستخدمين

القاعدة الذهبية لجدار الحماية WAN هي السماح فقط للحركة المرغوبة. بالنسبة لهذه القواعد السماحية، أضف الخدمات والمنافذ المحددة التي تُستخدم وتوفر الاتصال المعزز الآمن لجدار الحماية WAN.

تظهر لقطة الشاشة التالية مثالاً على قاعدة جدار حماية WAN تسمح لجميع مستخدمي ZTNA بالوصول إلى موقع مركز البيانات. تحسن هذه القاعدة الأمان لأنها تسمح فقط بحركة مرور RDP لمستخدمي ZTNA.

قاعدة_الجوّال_WAN.png

تجنب استخدام أي للمصدر والوجهة

قواعد جدار الحماية WAN التي تمنح الوصول إلى أي مصدر أو وجهة أقل أمانًا من المواقع والمستخدمين المحددين. الإعدادات الأكثر تحديدًا تمنحك تحكمًا أكبر في الاتصال الخاص بـ WAN للحساب.

تُظهر لقطة الشاشة التالية مثالاً على قاعدة جدار الحماية WAN التي تستخدم مواقع محددة في إعدادات المصدر والوجهة:

المصدر_والوجهة.png

تحسين بيانات الأحداث باستخدام القواعد التفصيلية

عند تكوين قواعد جدار الحماية WAN باستخدام أي في بعض الإعدادات، قد لا تتضمن الأحداث المتعلقة بالقاعدة جميع البيانات ذات الصلة وقد تجعل من الأصعب تحليل استخدام التطبيق. لمزيد من المعلومات حول الأحداث لقواعد باستخدام إعدادات أي، انظر أعلاه تحسين بيانات الأحداث باستخدام القواعد التفصيلية. لمساعدة في تحسين تحليل استخدام التطبيقات، نوصي بتقليل استخدام أي في شروط القواعد واستخدام القواعد التفصيلية مع التطبيقات والخدمات والمنافذ المحددة وما إلى ذلك.

تمرير حركة مرور WAN في القوائم البيضاء

تنفيذ جدار حماية WAN بسلوك قائمة بيضاء يعني أن جدار الحماية بحكم الافتراضي يحظر كل الاتصال بين المواقع والخوادم والمستخدمين وما إلى ذلك. أضف القواعد إلى جدار الحماية التي تسمح بشكل خاص بالاتصال بحركة مرور WAN في شبكتك. التمرير في القوائم البيضاء هو البنية الافتراضية لجدار الحماية Cato WAN؛ القاعدة النهائية الضمنية لقاعدة قواعد WAN هي أي أي حظر.

نوصي بشدة بعدم إضافة قاعدة تسمح بالاتصال من أي مصدر إلى أي وجهة في WAN. هذا النوع من قواعد Any Any سماح يعرض شبكتك لمخاطر أمان كبيرة.

تقييد حركة المرور باستخدام الخدمات والتطبيقات

تتضمن سياسة الأمان القوية لجدار حماية قائمة السماح بـ WAN القواعد التي تسمح فقط للخدمات والتطبيقات المحددة التي تستخدمها مؤسستك. بدلاً من استخدام قواعد تسمح بأي خدمة لحركة المرور بين المواقع، أضف الخدمات أو التطبيقات إلى هذه القاعدة. نظرًا لأن الخدمات أكثر تحديدًا من المنافذ، نوصي بتعريف القواعد باستخدام الخدمات بدلاً من المنافذ حيثما كان ذلك ممكنًا.

تشمل الأمثلة على الخدمات التي تستخدمها المؤسسات عادة: DNS، DHCP، SMB، قواعد البيانات، Citrix، RDP، DCE/RPC، SMTP، FTP، ICMP، NetBIOS، NTP، SNMP، وهكذا.

تشمل الأمثلة على التطبيقات التي تستخدمها المؤسسات عادة: SharePoint، Slack، Citrix ShareFile، وهكذا.

يمكنك أيضاً إنشاء فئة مخصصة تحتوي على جميع التطبيقات والخدمات لجدار الحماية WAN ثم إضافتها إلى القواعد ذات الصلة. استخدم التطبيقات المخصصة للتطبيقات أو الخدمات التي لم يسبق تعريفها في جدار الحماية. هذا يسمح أيضًا للأحداث بأن تحتوي على اسم التطبيق لتحليل أفضل.

حظر حركة مرور WAN في القوائم السوداء

تنفيذ جدار حماية WAN بسلوك القائمة السوداء يعني أن جدار الحماية بحكم الافتراضي يسمح بكل الاتصال بين المواقع والخوادم والمستخدمين وما إلى ذلك. أضف القواعد إلى جدار الحماية التي تحظر بشكل خاص الاتصال بحركة مرور WAN وفقاً لاحتياجات سياسة أمان الشركات. لا نوصي باستخدام هذا النهج لسياسة الأمان الخاصة بـ WAN. ومع ذلك، إذا كانت مؤسستك تستخدمه، فتأكد من حظر حركة مرور WAN غير المرغوب فيها.

لتنفيذ جدار حماية قائمة الحظر لـ WAN في تطبيق إدارة Cato، تحتوي قاعدة القواعد على قاعدة Any Any سماح في الأسفل.

حظر حركة مرور WAN لجدار الحماية في القائمة السوداء

بالنسبة لجدران الحماية القائمة على القائمة السوداء لـ WAN، نوصي بإضافة القواعد التالية فوق القاعدة النهائية Any Any سماح للمساعدة في إنشاء سياسة أمان قوية:

  • قواعد لحظر الخدمات التي تشكل مخاطر أمنية ولها نقاط ضعف معروفة، مثل SMBv1

  • قواعد تحظر الاتصال بين المواقع التي لا تحتاج إلى التواصل

هل كان هذا المقال مفيداً؟

12 من 12 وجدوا هذا مفيداً

لا توجد تعليقات