إضافة شروط الأجهزة إلى قواعد جدار الحماية

تتناول هذه المقالة كيفية إضافة شروط لمعايير الأجهزة إلى قواعد جدار الحماية للشبكة العريضة والإنترنت لتعزيز الأمان والحماية.

نظرة عامة

إعداد الجهاز لقواعد جدار حماية الشبكة العريضة والإنترنت يمنحك القدرة على توسيع نطاق سياسة أمان الجدار الناري الخاصة بك لتشمل الوصول المشروط بناءً على سمات الجهاز الفعلي للمستخدم النهائي أو الأجهزة الأخرى التي تتواصل على شبكتك، مثل IoT/OT. يمكنك تحديد متطلبات الوصول للأجهزة على الشبكة. على سبيل المثال:

جدار حماية الشبكة العريضة -
- تحديد مصدر القاعدة لتطبيقها على الأجهزة التي تلبي الوضعية المحددة مسبقًا أو بناءً على الموقع الجغرافي.
- السماح بالوصول إلى جهاز OT الهام للمؤسسة للمستخدمين المحددين فقط.
جدار حماية الإنترنت -
- تحديد قواعد لتطبيق SaaS تحد من الوصول بناءً على إعدادات الجهاز والموقع.
- حظر الوصول إلى الإنترنت للكاميرات IP على الشبكة.

بشكل افتراضي، لا تؤثر إعدادات الجهاز على المرور لأنها مضبوطة على "أي" و"أي" وتطابق تلقائيًا كل الحركة.

لمزيد من المعلومات حول جدار الحماية WAN والإنترنت من Cato، انظر إلى المقالات في Cato Firewalls.

المتطلبات الأساسية

قبل أن تتمكن من إضافة ملف تعريف جهاز إلى إعدادات الجهاز لقاعدة ما، يجب عليك إنشاء وتكوين ملف تعريف الجهاز
لمعرفة عمليات التحقق من الأجهزة المدعومة لنظام التشغيل و الإصدارات، انظر إنشاء ملفات تعريف وضع الجهاز وعمليات التحقق من الأجهزة.
تُطبق القواعد التي تستخدم ملفات تعريف الأجهزة فقط عند تثبيت "Cato Client" على الجهاز واستخدامه كوكيل هوية، سواء عن بُعد أو عند تواجده خلف "Socket".

لمزيد من المعلومات، راجع استخدام وكلاء هوية Cato لوعي المستخدم (مصادقة EA دون ترخيص ZTNA).

ملاحظة: يتم استخدام العملاء المرخصين تلقائيًا كوكلاء هوية.

تكوين إعدادات الجهاز

هذه هي إعدادات الجهاز التي يمكنك إضافتها إلى قاعدة جدار الحماية:

سمات الجهاز - سمات الأجهزة كما تحددها محرك اكتشاف جرد الجهاز.
أنظمة التشغيل - نظام التشغيل للجهاز (OS).
الدول - بلد مصدر الاتصال بناءً على الموقع الجغرافي للجهاز (وفقًا لعنوان IP الجغرافي).
ملفات تعريف وضعية الجهاز - ملفات تعريف الجهاز (تم تكوينها في وصول > وضعية الجهاز).
أصل الاتصال - الموقع الجغرافي للجهاز. يمكن تكوين القاعدة بناءً على ما إذا كان الجهاز يتصل خلف Side أو عن بُعد عبر الClient أو ملحق المتصفح أو متصفح المؤسسات (يمكن اختيار كل خيار اتصال عن بُعد بشكل منفصل).
سمات المستخدم: مستوى الخطورة و مستوى الثقة للمستخدم الذي سجل الدخول إلى الجهاز.

عندما تقوم بتكوين شروط متعددة لقاعدة ما، فإن لها علاقة AND، سيتم مطابقة القاعدة فقط إذا طابق المرور المعايير المحددة في جميع العناصر.

داخل الشرط (خلية واحدة)، العناصر لها علاقة OR. على سبيل المثال، قاعدة تحتوي على شرط المنصات لـ Windows و macOS تطابق جميع أجهزة Windows أو macOS.

هذا مثال على قاعدة يجب أن يتوافق المرور فيها مع جميع هذه الشروط الجهاز: أجهزة Windows، موجودة في الهند، وتلبي متطلبات الملف التعريفي لوضع الجهاز 1.

إضافة متطلبات سمات الجهاز

استخدم شرط سمات الجهاز لتحديد القواعد للأجهزة التي تم اكتشافها على الشبكة بواسطة محرك جرد الأجهزة. يمكنك استخدام السمات التالية في قاعدة جدار الحماية: الفئة، النوع، النموذج، نظام التشغيل، المصنع، إصدار نظام التشغيل.

اختر نوع سمات الجهاز، ثم اختر القيم من قائمة الخيارات المنسدلة. يتم تعبئة القائمة تلقائيًا بقيم الأجهزة التي تم اكتشافها على الشبكة. يمكنك اختيار أنواع سمات جهاز متعددة في قاعدة، ولدى السمات علاقة AND بينها. على سبيل المثال، إذا اخترت نظام التشغيل كـ Windows و المصنع كـ Dell، فإن الشرط ينطبق فقط على أجهزة Dell التي تعمل بنظام Windows.

ومع ذلك، عندما تختار قيمًا متعددة ضمن نوع سمات الجهاز، فهناك علاقة OR بينها. على سبيل المثال، إذا اخترت المصنع بالقيم Dell و HP، فإن الشرط سيتوافق مع أجهزة Dell أو HP.

يتطلب ترخيص جرد الأجهزة بشكل منفصل لصفحات وخصائص جرد الأجهزة. للحصول على مزيد من المعلومات حول شراء ترخيص، يرجى الاتصال بمندوب Cato الخاص بك.

إضافة متطلبات النظام الأساسي

شرط المنصات لقاعدة جدار الحماية يتيح لك تحديد أنظمة تشغيل الأجهزة التي تطابق القاعدة. على سبيل المثال، لمقطع شبكة معين، اسمح فقط بوصول أجهزة Windows أو macOS أو Linux.

إضافة متطلبات الدولة

شرط البلدان يتيح لك تحديد مصدر المرور الذي يطابق القاعدة بناءً على الموقع الجغرافي لعنوان IP للجهاز. على سبيل المثال، قيد الوصول إلى موقع لفرع، بحيث يُسمح فقط للأجهزة الموجودة في نفس البلد الذي يوجد فيه المكتب بالاتصال.

إضافة متطلبات ملف تعريف الجهاز

شرط الملفات الشخصية يتيح لك تقييد القاعدة لتطابق فقط الأجهزة التي تلبي متطلبات ملف التعريف. يعتمد هذا الشرط على ميزة وضع الجهاز، التي تتحقق مما إذا كان الجهاز يلبي متطلبات الوضع. على سبيل المثال، فقط الأجهزة التي لديها أحدث إصدار من البرمجيات المضادة للبرامج الضارة تفي بمتطلبات الوضع.

ملفات تعريف الجهاز غير مدعومة حاليًا على جميع إصدارات العملاء. لمزيد من المعلومات، انظر إنشاء ملفات تعريف وضع الجهاز وعمليات التحقق من الجهاز.

العمل مع عملاء Cato غير المدعومين

يمكن لجدار الحماية فقط تحديد ما إذا كان العميل يتطابق مع التحقق من الجهاز للعملاء المدعومين. بالنسبة لكل تحقق من الجهاز، يمكنك تحديد السلوك للعملاء غير المدعومين الذين يطابقون المتطلبات الأخرى لقاعدة جدار الحماية (المصدر، التطبيق/الفئة، وغيرها):

تخطي التحقق من الجهاز، وتطبيق إجراء جدار الحماية على العملاء غير المدعومين
تطبيق تحقق الجهاز، والعميل لا يطابق قاعدة جدار الحماية ولا يتم تطبيق الإجراء

الجدول التالي يوضح السلوك للعملاء غير المدعومين عندما تتطابق الاتصال مع جميع الإعدادات الأخرى لقاعدة جدار الحماية. يعتمد السلوك على ما إذا كان خيار تخطي هذا التحقق لإصدار عميل SDP غير المدعوم ممكّن أو مقفل (معطل) في تحقق الجهاز.

العملاء غير المدعومين	إجراء قاعدة جدار الحماية	سلوك العميل
تخطي التحقق (مفعل)	حظر	يتم تلقائيًا تخطي التحقق من الجهاز للعملاء غير المدعومين ويتم حظرهم (لا يمكنهم الاتصال)
تخطي التحقق (مفعل)	السماح	يتم تلقائيًا تخطي التحقق من الجهاز للعملاء غير المدعومين ويسمح لهم (يمكنهم الاتصال)
تطبيق التحقق (معطل)	حظر	يفشل العملاء غير المدعومين في مطابقة التحقق من الجهاز، ويتخطى جدار الحماية هذه القاعدة (لا يطبق إجراء الحظر على الاتصال)
تطبيق التحقق (معطل)	السماح	يفشل العملاء غير المدعومين في مطابقة التحقق من الجهاز، ويتخطى جدار الحماية هذه القاعدة (لا يطبق إجراء السماح على الاتصال)

إضافة متطلبات أصل الجهاز

سيسمح لك شرط أصل الاتصال بتحديد الموقع الجغرافي للجهاز الذي يطابق القاعدة. على سبيل المثال، اسمح بالوصول إلى المعلومات الحساسة خلف الموقع، ولكن ليس عند العمل عن بعد.

إضافة متطلبات سمات المستخدم

تتيح لك حالة سمات المستخدم تحديد المعايير بناءً على درجة خطورة المستخدم أو مستوى الثقة. على سبيل المثال، السماح بالوصول إلى SalesForce فقط عندما يكون مستوى الثقة للمستخدم عالياً.

استخدام سمة مستوى الثقة يتيح لك فرض متطلب لمستوى أعلى من المصادقة (مصادقة خطوة إضافية) عند الوصول إلى موارد حساسة. عند حظر الوصول، يمكنك تطبيق قالب مخصص لإعلام المستخدم بسبب الحظر وما يحتاجون فعله لاستعادة الوصول.

تكوين شروط الجهاز في قاعدة

يمكنك تكوين إعدادات معايير الأجهزة في قاعدة جدار حماية جديدة أو قائمة.

لتكوين شروط الجهاز لقاعدة جدار الحماية:

من قسم الأمان في لوحة التنقل، اختر جدار حماية الإنترنت أو جدار حماية الشبكة العريضة.
انقر على جديد لإنشاء قاعدة جديدة، أو انقر على رمز تحرير في عمود المعايير لقاعدة موجودة.
In the Criteria section, configure the Device Attributes, Platforms, Countries, and Profiles that are required to match this rule.
انقر على تطبيق.

تم تكوين شروط المعايير للقاعدة.

عينة من قواعد الجدار الناري مع شروط الجهاز

هذا مثال على قاعدة جدار حماية الشبكة العريضة التي تسمح بالمرور في كلا الاتجاهين لجميع مستخدمي SDP الذين يطابقون جميع شروط الجهاز التالية: استخدام جهاز بنظام Windows OS، موجود فعليًا في كوريا الجنوبية، ويتطابق مع متطلبات ملف تعريف سياسة الاختبار.

هذا مثال على قاعدة جدار الحماية للإنترنت التي تمثل استثناءً للقاعدة التي تحظر الفئة الاجتماعية. يسمح الاستثناء بالمرور الذي يطابق شروط الجهاز التالية: استخدام جهاز بنظام Windows أو macOS وموجود فعليًا في الولايات المتحدة.

عينة من قواعد الجدار الناري مع سمات المستخدم

هذا مثال على قاعدة جدار ناري للإنترنت تحجب حركة المرور إلى Salesforce لجميع المستخدمين بمستوى ثقة منخفض.

عندما يتم حظر المستخدم، يتم تقديم صفحة حظر مخصصة للمستخدم لإعلامه بالإجراءات التي يجب اتخاذها للوصول إلى SalesForce.

أفضل ممارسات لتطبيق شروط جهاز الجدار الناري

أضف ملفات تعريف وضع الجهاز الملفات الشخصية إلى القواعد مع إجراء السماح
حدد ملف تعريف الجهاز بالمتطلبات الدنيا للسماح للأجهزة بالاتصال (الأجهزة التي لا تلبي هذه المتطلبات سيتم حظرها)