تتيح لك إعادة توجيه المنافذ البعيدة (RPF) توجيه اتصال وارد من الإنترنت عبر سحابة Cato إلى مضيف LAN داخلي. يستفيد الاتصال بعد ذلك من خدمات الأمان المختلفة لـ Cato.
ملاحظة
ملاحظة: لا يُدعم RPF للنقاط التي تقع في الصين. لا يمكنك اختيار عناوين IP المخصصة لهذه النقاط الصينية.
يمكنك التحكم في الوصول الوارد إلى موارد RPF باستخدام إما نهج القائمة المسموح بها أو نهج القائمة المحظورة:
-
قائمة مسموح بها - تحظر جميع المصادر (عناوين IP والنطاقات) وتسمح فقط بالمصادر التي تم تكوينها تحديدًا
-
قائمة محظورة - تسمح بجميع المصادر (عناوين IP والنطاقات) وتحظر فقط المصادر التي تم تكوينها تحديدًا
يُوصى بنهج القائمة المحظورة في الحالات التي تحتاج فيها إلى التحكم في الوصول إلى موارد RPF المواجهة للإنترنت ولم تُعرف المصادر المسموح بها أو تُحدد. يوفر هذا النهج خيار تكوين قائمة المصادر المحظورة عبر تطبيق إدارة Cato أو عبر API. يمكن أن تستند القائمة المحظورة إلى القوائم المحظورة التي يحافظ عليها العملاء، وتغذيات الأمان الخاصة، وسجلات المواقع الجغرافية المحددة، والمؤشرات من أنظمة الطرف الثالث.
ملاحظة
ملاحظة: تحمي خدمة IPS من Cato حركة المرور الواردة لـ RPF، ولكن لا يتم تنفيذ فحص TLS على حركة المرور الواردة. هذا يعني أن IPS لا يمكنه فحص المحتوى لحركة المرور المُشفرة، ولكن يفتش IPS حركة المرور بناءً على عمليات التحقق من السمعة (مثل الماسحات، ومسح المنافذ، والقيادة والتحكُّم المعروفة، وهكذا).
أحد الوظائف الأساسية لجدار الحماية من الجيل الجديد هو الحماية من هجمات انتحال الهوية. تقوم محركات الأمان في سحابة Cato بإسقاط أي اتصال تلقائيًا حيث يكون عنوان IP للمصدر خارج نطاق الكيان المكون (مثل الموقع، نطاق الشبكة، الجهاز، أو المستخدم). هذا يحظر هجمات انتحال الهوية ويمنع انتهاكات الطوبولوجيا المنطقية المكونة.
تتيح سياسة إعادة توجيه المنافذ البعيدة لمدراء مختلفين تحرير السياسة بالتوازي. يمكن لكل مدير تحرير القواعد وحفظ التغييرات في قاعدة البيانات الخاصة بهم، ثم نشرها في سياسة الحساب (الإصدار المنشور). لمزيد من المعلومات حول كيفية إدارة مراجعات السياسات، راجع العمل مع مراجعات السياسة.
تعد رؤى إعادة توجيه المنفذ البعيد قائمة بـأفضل الممارسات التي تقيم سياسة جدار حماية الإنترنت وتظهر كيفية الامتثال لتوصيات كاتو. اتباع هذه التوصيات يحسن من تكوينات جدار الحماية ويحسن موقف الأمان.
هناك نوعان من الأفكار:
-
رمز النجمة (مدعوم بالذكاء الاصطناعي): يتم تحليل القواعد الممكّنة في سياسة جدار حماية الإنترنت تلقائيًا بواسطة الذكاء الاصطناعي لاكتشاف المشكلات، على سبيل المثال، القواعد التي يمكن تجاهلها أو تعديلها مثل:
-
قاعدة منتهية أو قاعدة بتاريخ انتهاء في المستقبل: قواعد تم إنشاؤها لتلبية حاجة معينة ولها تاريخ انتهاء مرغوب فيه قد انقضى أو لم يتم الوصول إليه بعد أو لا يمكن إثباته/تقييمه.
-
قاعدة مؤقتة: قدمت كحل قصير الأجل لمعالجة الحاجة الفورية. يتم إنشاء هذه القواعد غالبًا لتعمل مؤقتًا أثناء نشر أو تطوير الحل المناسب أو الدائم.
-
قاعدة للاختبار: قواعد تم إنشاؤها بشكل صريح للتحقق أو تصحيح الأخطاء أو التجربة مع ميزة محددة أو سيناريو معين.
-
-
قائم على التكوين: التكوينات والإعدادات في سياسة جدار حماية الإنترنت لضمان اتباع أفضل الممارسات.
عنوان IP الخارجي لقواعد RPF هو عنوان IP مخصص من Cato. لمزيد من المعلومات، انظر تخصيص عناوين IP للحساب. بالنسبة لتطبيقات الداخلية، استخدم عنوان IP الداخلي والمنفذ في القاعدة.
عند تعريف قاعدة RPF، هناك خيارات مختلفة لإعداد عناوين IP المقبولة عن بعد:
-
ادخل عنوان IP محدد أو نطاق IP في أحد هذه التنسيقات:
-
نطاق عناوين IP - 192.0.2.10-192.0.2.20
-
الشبكة الفرعية (CIDR) - 192.0.2.0/24
يمكنك أيضًا لصق قائمة مفصولة بفواصل تحتوي على عدة عناوين IP ونطاقات، مثل: 10.1.1.1، 10.2.1.1-10.2.1.105
-
-
تمكين التتبع والإشعارات.
إذا كانت شبكتك تتطلب تعيين من عدة منافذ خارجية إلى منفذ داخلي واحد، فمن الممكن تكوين ذلك عن طريق إنشاء قواعد RPF متعددة.
التعيين من المنافذ الخارجية إلى الداخلية عبارة عن تعيين محدد واحد إلى واحد بناءً على ترتيب المنفذ الخارجي ونطاق المنافذ الداخلية. على سبيل المثال، يتم تخطيط نطاق المنفذ الخارجي 5000-5005 إلى نطاق المنفذ الداخلي 6103-6108. هذا يعني أن المنفذ الخارجي 5000 يتم تخطيطه إلى المنفذ الداخلي 6103، والمنفذ الخارجي 5001 يتم تخطيطه إلى المنفذ الداخلي 6104، وهكذا.
ملاحظة
ملاحظة: للحسابات التي تحتوي على مواقع IPsec، إذا تداخلت عناوين IP الخارجية لقاعدة RPF مع عناوين IP لموقع IPsec، فتأكد من أن القاعدة تستثني منافذ نفق IPsec UDP/500 وUDP/4500.
لتعريف قاعدة إعادة توجيه المنافذ البعيدة:
-
من قائمة التنقل، انقر فوق الأمان > إعادة توجيه المنافذ البعيدة.
تفتح صفحة إعادة توجيه المنافذ البعيدة على مراجعتك غير المنشورة الحالية، أو أحدث مراجعة منشورة.
-
انقر فوق جديد. تفتح لوحة إضافة قاعدة.
-
أدخل الاسم للقواعد.
-
(اختياري) اختر توجيه ICMP لتمكين توجيه رسائل ICMP لهذه القاعدة.
-
في قسم خارجي، حدد عنوان IP خارجي مخصص من Cato ونطاق المنافذ الخارجية للمنافذ التي تراقبها النقطة.
-
في قسم داخلي، أدخل عنوان IP الداخلي الذي يتم توجيه الحركة إليه ونطاق المنافذ الداخلية.
-
في قسم عناوين IP البعيدة، اختر ما إذا كانت هذه القاعدة عبارة عن قائمة مسموح بها أو قائمة محظورة.
-
لتعريف الحركة الوحيدة المسموح لها بالاتصال بالمضيف:
-
اختر قائمة مسموح بها.
-
اختر مصادر الحركة بناءً على IP أو الشبكة الفرعية. هذه هي عناوين IP والنطاقات المسموحة لتنفيذ RPF للمضيف.
-
انقر على
(إضافة) لإضافة المزيد من عناوين IP المسموح بها عن بُعد.
-
-
للسماح بكل الحركة لهذا المضيف وتعريف المصادر المحظورة التي لا يمكنها الاتصال به:
-
اختر قائمة محظورة.
-
اختر مصادر الحركة بناءً على IP أو الشبكة الفرعية. هذه هي عناوين IP والنطاقات المحظورة التي لا يمكنها تنفيذ RPF للمضيف.
-
انقر على
(إضافة) لإضافة المزيد من عناوين IP المحظورة عن بُعد.
-
-
-
(اختياري) تعريف إشعارات البريد الإلكتروني للحركة التي تطابق القاعدة. لمزيد من المعلومات، انظر تنبيهات مستوى الحساب وإشعارات النظام.
-
انقر فوق تطبيق. تمت إضافة القاعدة.
-
انقر فوق حفظ.
يتم حفظ التغييرات على المراجعة غير المنشورة الخاصة بك وتكون متاحة للتحرير حتى يتم نشرها أو استبعادها.
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.