تتناول هذه المقالة كيفية إضافة شروط لمعايير الأجهزة إلى قواعد جدار الحماية للشبكة العريضة والإنترنت لتعزيز الأمان والحماية.
إعداد الجهاز لقواعد جدار حماية الشبكة العريضة والإنترنت يمنحك القدرة على توسيع نطاق سياسة أمان الجدار الناري الخاصة بك لتشمل الوصول المشروط بناءً على سمات الجهاز الفعلي للمستخدم النهائي أو الأجهزة الأخرى التي تتواصل على شبكتك، مثل IoT/OT. يمكنك تحديد متطلبات الوصول للأجهزة على الشبكة. على سبيل المثال:
-
جدار حماية الشبكة العريضة -
-
حدد مصدر القاعدة ليطبق فقط على الأجهزة التي تلبي الوضع المحدد مسبقًا أو بناءً على الموقع الجغرافي
-
السماح بالوصول إلى جهاز OT حيوي للأعمال فقط للمستخدمين المحددين
-
-
جدار حماية الإنترنت -
-
حدد قواعد لتطبيق SaaS تقيد الوصول بناءً على إعدادات الجهاز والموقع
-
منع الوصول إلى الإنترنت للكاميرات IP على الشبكة
-
بشكل افتراضي، لا تؤثر إعدادات الجهاز على المرور لأنها مضبوطة على "Any Any" وتطابق جميع المرور تلقائيًا.
لمزيد من المعلومات حول جدار الحماية WAN والإنترنت الخاص بـ Cato، انظر المقالات في قاعدة المعرفة في Cato Firewalls.
-
يتم دعم ملفات تعريف وضع الجهاز لعملاء Cato التالية:
-
Windows Client v5.2 وما فوق
-
-
قبل أن تتمكن من إضافة ملف تعريف جهاز إلى إعدادات الجهاز لقاعدة، يجب إنشاء وتكوين ملف تعريف الجهاز
-
القيد المعروف - يتم تطبيق القواعد التي تستخدم ملفات تعريف الجهاز فقط عندما يتصل المستخدم باستخدام عميل Cato، سواء عن بُعد أو عند التواجد خلف Socket (وضع المكتب).
هذه هي إعدادات الجهاز التي يمكنك إضافتها إلى قاعدة جدار الحماية:
-
سمات الجهاز - سمات الأجهزة كما تم تحديدها بواسطة محرك كشف جرد الجهاز
-
المنصات - نظام تشغيل الجهاز (OS)
-
البلدان - بلد مصدر الاتصال بناءً على الموقع الفيزيائي للجهاز (وفقًا للموقع الجغرافي لعنوان IP)
-
ملفات تعريف وضع الجهاز - ملفات تعريف الجهاز (مكوّنة في الوصول > وضع الجهاز)
-
أصل الاتصال - الموقع الجغرافي للجهاز (عن بُعد أو خلف موقع)
عندما تقوم بتكوين شروط متعددة لقاعدة ما، فإن لها علاقة AND، سيتم مطابقة القاعدة فقط إذا طابق المرور المعايير المحددة في جميع العناصر.
داخل الشرط (خلية واحدة)، العناصر لها علاقة OR. على سبيل المثال، قاعدة تحتوي على شرط المنصات لـ Windows و macOS تطابق جميع أجهزة Windows أو macOS.
هذا مثال على قاعدة يجب أن يتوافق المرور فيها مع جميع هذه الشروط الجهاز: أجهزة Windows، موجودة في الهند، وتلبي متطلبات الملف التعريفي لوضع الجهاز 1.
استخدم شرط سمات الجهاز لتحديد القواعد للأجهزة التي تم اكتشافها على الشبكة بواسطة محرك جرد الأجهزة. يمكنك استخدام السمات التالية في قاعدة جدار الحماية: الفئة، النوع، النموذج، نظام التشغيل، المصنع، إصدار نظام التشغيل.
اختر نوع سمات الجهاز، ثم اختر القيم من قائمة الخيارات المنسدلة. يتم تعبئة القائمة تلقائيًا بقيم الأجهزة التي تم اكتشافها على الشبكة. يمكنك اختيار أنواع سمات جهاز متعددة في قاعدة، ولدى السمات علاقة AND بينها. على سبيل المثال، إذا اخترت نظام التشغيل كـ Windows و المصنع كـ Dell، فإن الشرط ينطبق فقط على أجهزة Dell التي تعمل بنظام Windows.
ومع ذلك، عندما تختار قيمًا متعددة ضمن نوع سمات الجهاز، فهناك علاقة OR بينها. على سبيل المثال، إذا اخترت المصنع بالقيم Dell و HP، فإن الشرط سيتوافق مع أجهزة Dell أو HP.
يتطلب ترخيص جرد الأجهزة بشكل منفصل لصفحات وخصائص جرد الأجهزة. للحصول على مزيد من المعلومات حول شراء ترخيص، يرجى الاتصال بمندوب Cato الخاص بك.
شرط المنصات لقاعدة جدار الحماية يتيح لك تحديد أنظمة تشغيل الأجهزة التي تطابق القاعدة. على سبيل المثال، لمقطع شبكة معين، اسمح فقط بوصول أجهزة Windows أو macOS أو Linux.
شرط البلدان يتيح لك تحديد مصدر المرور الذي يطابق القاعدة بناءً على الموقع الجغرافي لعنوان IP للجهاز. على سبيل المثال، قيد الوصول إلى موقع لفرع، بحيث يُسمح فقط للأجهزة الموجودة في نفس البلد الذي يوجد فيه المكتب بالاتصال.
شرط الملفات الشخصية يتيح لك تقييد القاعدة لتطابق فقط الأجهزة التي تلبي متطلبات ملف التعريف. يعتمد هذا الشرط على ميزة وضع الجهاز، التي تتحقق مما إذا كان الجهاز يلبي متطلبات الوضع. على سبيل المثال، فقط الأجهزة التي لديها أحدث إصدار من البرمجيات المضادة للبرامج الضارة تفي بمتطلبات الوضع.
ملفات تعريف الجهاز غير مدعومة حاليًا في جميع إصدارات العملاء، لمزيد من المعلومات انظر إنشاء ملفات تعريف وضعية الجهاز وفحوصات الجهاز.
يمكن لجدار الحماية فقط تحديد ما إذا كان العميل يتطابق مع التحقق من الجهاز للعملاء المدعومين. بالنسبة لكل تحقق من الجهاز، يمكنك تحديد السلوك للعملاء غير المدعومين الذين يطابقون المتطلبات الأخرى لقاعدة جدار الحماية (المصدر، التطبيق/الفئة، وغيرها):
-
تخطي التحقق من الجهاز، وتطبيق إجراء جدار الحماية على العملاء غير المدعومين
-
تطبيق تحقق الجهاز، والعميل لا يطابق قاعدة جدار الحماية ولا يتم تطبيق الإجراء
الجدول التالي يوضح السلوك للعملاء غير المدعومين عندما تتطابق الاتصال مع جميع الإعدادات الأخرى لقاعدة جدار الحماية. يعتمد السلوك على ما إذا كان خيار تخطي هذا التحقق لإصدار عميل SDP غير المدعوم ممكّن أو مقفل (معطل) في تحقق الجهاز.
|
العملاء غير المدعومين |
إجراء قاعدة جدار الحماية |
سلوك العميل |
|---|---|---|
|
تخطي التحقق (مفعل) |
حظر |
يتم تلقائيًا تخطي التحقق من الجهاز للعملاء غير المدعومين ويتم حظرهم (لا يمكنهم الاتصال) |
|
السماح |
يتم تلقائيًا تخطي التحقق من الجهاز للعملاء غير المدعومين ويسمح لهم (يمكنهم الاتصال) |
|
|
تطبيق التحقق (معطل) |
حظر |
يفشل العملاء غير المدعومين في مطابقة التحقق من الجهاز، ويتخطى جدار الحماية هذه القاعدة (لا يطبق إجراء الحظر على الاتصال) |
|
السماح |
يفشل العملاء غير المدعومين في مطابقة التحقق من الجهاز، ويتخطى جدار الحماية هذه القاعدة (لا يطبق إجراء السماح على الاتصال) |
سيسمح لك شرط أصل الاتصال بتحديد الموقع الجغرافي للجهاز الذي يطابق القاعدة. على سبيل المثال، اسمح بالوصول إلى المعلومات الحساسة خلف الموقع، ولكن ليس عند العمل عن بعد.
يمكنك تكوين إعدادات معايير الأجهزة في قاعدة جدار حماية جديدة أو قائمة.
لتكوين شروط الجهاز لقاعدة جدار الحماية:
-
من قسم الأمان في لوحة التنقل، اختر جدار حماية الإنترنت أو جدار حماية الشبكة العريضة.
-
Click New to create a new rule, or click the Edit icon
in the Criteria column for an existing rule.
-
In the Criteria section, configure the Device Attributes, Platforms, Countries, and Profiles that are required to match this rule.
-
انقر على تطبيق.
تم تكوين شروط المعايير للقاعدة.
هذا مثال على قاعدة جدار حماية الشبكة العريضة التي تسمح بالمرور في كلا الاتجاهين لجميع مستخدمي SDP الذين يطابقون جميع شروط الجهاز التالية: استخدام جهاز بنظام Windows OS، موجود فعليًا في كوريا الجنوبية، ويتطابق مع متطلبات ملف تعريف سياسة الاختبار.
هذا مثال على قاعدة جدار الحماية للإنترنت التي تمثل استثناءً للقاعدة التي تحظر الفئة الاجتماعية. يسمح الاستثناء بالمرور الذي يطابق شروط الجهاز التالية: استخدام جهاز بنظام Windows أو macOS وموجود فعليًا في الولايات المتحدة.
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.