تتيح لك إعادة توجيه المنافذ البعيدة (RPF) توجيه اتصال وارد من الإنترنت عبر سحابة Cato إلى مضيف LAN داخلي. يستفيد الاتصال بعد ذلك من خدمات الأمان المختلفة لـ Cato.
ملاحظة
ملاحظة: لا يُدعم RPF للنقاط التي تقع في الصين. لا يمكنك اختيار عناوين IP المخصصة لهذه النقاط الصينية.
يمكنك التحكم في الوصول الوارد إلى موارد RPF باستخدام إما نهج القائمة المسموح بها أو نهج القائمة المحظورة:
- قائمة السماح - يتم حظر جميع المصادر (عناوين IP والنطاقات) وتسمح فقط بالمصادر التي تم تكوينها بشكل محدد.
- قائمة الحظر - تسمح بجميع المصادر (عناوين IP والنطاقات) وتقوم بحظر فقط المصادر التي تم تكوينها بشكل محدد.
يُوصى بنهج القائمة المحظورة في الحالات التي تحتاج فيها إلى التحكم في الوصول إلى موارد RPF المواجهة للإنترنت ولم تُعرف المصادر المسموح بها أو تُحدد. يوفر هذا النهج خيار تكوين قائمة المصادر المحظورة عبر تطبيق إدارة Cato أو عبر API. يمكن أن تستند القائمة المحظورة إلى القوائم المحظورة التي يحافظ عليها العملاء، وتغذيات الأمان الخاصة، وسجلات المواقع الجغرافية المحددة، والمؤشرات من أنظمة الطرف الثالث.
ملاحظة
ملاحظة: تحمي خدمة IPS من Cato حركة المرور الواردة لـ RPF، ولكن لا يتم تنفيذ فحص TLS على حركة المرور الواردة. هذا يعني أن IPS لا يمكنه فحص المحتوى لحركة المرور المُشفرة، ولكن يفتش IPS حركة المرور بناءً على عمليات التحقق من السمعة (مثل الماسحات، ومسح المنافذ، والقيادة والتحكُّم المعروفة، وهكذا).
أحد الوظائف الأساسية لجدار الحماية من الجيل الجديد هو الحماية من هجمات انتحال الهوية. تقوم محركات الأمان في سحابة Cato بإسقاط أي اتصال تلقائيًا حيث يكون عنوان IP للمصدر خارج نطاق الكيان المكون (مثل الموقع، نطاق الشبكة، الجهاز، أو المستخدم). هذا يحظر هجمات انتحال الهوية ويمنع انتهاكات الطوبولوجيا المنطقية المكونة.
تتيح سياسة إعادة توجيه المنافذ البعيدة لمدراء مختلفين تحرير السياسة بالتوازي. يمكن لكل مدير تحرير القواعد وحفظ التغييرات في قاعدة البيانات الخاصة بهم، ثم نشرها في سياسة الحساب (الإصدار المنشور). لمزيد من المعلومات حول كيفية إدارة مراجعات السياسات، راجع العمل مع مراجعات السياسة.
تُعد رؤى إعادة توجيه المنافذ عن بُعد قائمة بـأفضل الممارسات التي تقيم سياسة إعادة توجيه المنافذ عن بُعد وتظهر كيفية الامتثال لتوصيات كاتو. اتباع هذه التوصيات يحسن من تكوينات جدار الحماية ويحسن موقف الأمان.
هناك نوعان من الأفكار:
-
أيقونة النجمة (مدعومة بالذكاء الاصطناعي): يتم تحليل القواعد الممكّنة في سياسة إعادة توجيه المنافذ عن بُعد بواسطة الذكاء الاصطناعي (AI) للكشف عن المشكلات، مثل قواعد يمكن إلغائها أو تعديلها مثل:
- قواعد منتهية الصلاحية أو قواعد بتاريخ انتهاء مستقبلي: قواعد تم إنشاؤها لتلبية احتياجات معينة ولديها تاريخ قطع مرغوب فيه قد مر بالفعل أو لم يتم الوصول إليه بعد أو لا يمكن إثباته/تقييمه.
- قاعدة مؤقتة: تم تقديمها كحل قصير الأجل لتلبية الأحتياجات الفورية. تم إنشاء هذه القواعد للعمل مؤقتًا بينما يتم نشر أو تطوير حل صحيح أو دائم.
- قاعدة اختبار: قواعد تم إنشاؤها بشكل واضح للتحقق من الصحة أو تصحيح الأخطاء أو التجريب مع خاصية أو سيناريو محدد.
- القائمة على التكوين: تكوينات وإعدادات سياسة إعادة توجيه المنافذ عن بُعد للتأكد من أنها تتبع أفضل الممارسات.
عنوان IP الخارجي لقواعد RPF هو عنوان IP مخصص من Cato. لمزيد من المعلومات، انظر تخصيص عناوين IP للحساب. بالنسبة لتطبيقات الداخلية، استخدم عنوان IP الداخلي والمنفذ في القاعدة.
عند تعريف قاعدة RPF، هناك خيارات مختلفة لإعداد عناوين IP المقبولة عن بعد:
-
ادخل عنوان IP محدد أو نطاق IP في أحد هذه التنسيقات:
- نطاق عناوين IP - 192.0.2.10-192.0.2.20
- Subnet (CIDR) - 192.0.2.0/24
يمكنك أيضًا لصق قائمة مفصولة بفواصل تحتوي على عدة عناوين IP ونطاقات، مثل: 10.1.1.1، 10.2.1.1-10.2.1.105
- تمكين التتبع والإشعارات.
إذا كانت شبكتك تتطلب تعيين من عدة منافذ خارجية إلى منفذ داخلي واحد، فمن الممكن تكوين ذلك عن طريق إنشاء قواعد RPF متعددة.
التعيين من المنافذ الخارجية إلى الداخلية عبارة عن تعيين محدد واحد إلى واحد بناءً على ترتيب المنفذ الخارجي ونطاق المنافذ الداخلية. على سبيل المثال، يتم تخطيط نطاق المنفذ الخارجي 5000-5005 إلى نطاق المنفذ الداخلي 6103-6108. هذا يعني أن المنفذ الخارجي 5000 يتم تخطيطه إلى المنفذ الداخلي 6103، والمنفذ الخارجي 5001 يتم تخطيطه إلى المنفذ الداخلي 6104، وهكذا.
ملاحظة
ملاحظة: للحسابات التي تحتوي على مواقع IPsec، إذا تداخلت عناوين IP الخارجية لقاعدة RPF مع عناوين IP لموقع IPsec، فتأكد من أن القاعدة تستثني منافذ نفق IPsec UDP/500 وUDP/4500.
لتعريف قاعدة إعادة توجيه المنافذ عن بُعد:
-
من قائمة التنقل، انقر فوق الأمان > إعادة توجيه المنافذ البعيدة.
تفتح صفحة إعادة توجيه المنافذ البعيدة على مراجعتك غير المنشورة الحالية، أو أحدث مراجعة منشورة.
- انقر جديد. يفتح لوحة إضافة قاعدة.
- أدخل اسم للقاعدة.
- (اختياري) اختر إعادة توجيه ICMP لتمكين توجيه رسائل ICMP لهذه القاعدة.
- في قسم خارجي، حدد عنوان IP خارجي و نطاق منافذ خارجية المخصصة لكتو للمنافذ الخاضعة لمراقبة PoP.
- في قسم داخلي، أدخل عنوان IP الداخلي الذي سيتم توجيه الحركة إليه ونطاق المنافذ الداخلية.
- في قسم IPs البعيدة، اختر إذا كانت القاعدة قائمة السماح أو قائمة الحجب.
- لتعريف الحركة الوحيدة التي يُسمح لها بالاتصال بالمضيف:
- حدد قائمة السماح.
- اختر مصادر الحركة بناءً على IP أو النطاق الفرعي. هذه هي عناوين IP والنطاقات المسموح لها بتنفيذ RPF إلى المضيف.
- انقر على
(إضافة) لإضافة المزيد من IPs البعيدة المسموحة.
- للسماح بجميع الحركة إلى هذا المضيف، وتعريف المصادر المحجوبة التي لا يمكنها الاتصال به:
- حدد قائمة الحجب.
- اختر مصادر الحركة بناءً على IP أو النطاق الفرعي. هذه هي عناوين IP والنطاقات المحجوبة والتي لا يمكنها تنفيذ RPF إلى المضيف.
- انقر على
- لتعريف الحركة الوحيدة التي يُسمح لها بالاتصال بالمضيف:
- (اختياري) تحديد إشعارات البريد الإلكتروني، للحركة التي تطابق القاعدة. لمزيد من المعلومات، انظر تنبيهات مستوى الحساب وإشعارات النظام.
- انقر على تطبيق. تم إضافة القاعدة.
-
انقر فوق حفظ.
يتم حفظ التغييرات على المراجعة غير المنشورة الخاصة بك وتكون متاحة للتحرير حتى يتم نشرها أو استبعادها.
لا توجد تعليقات
الرجاء تسجيل الدخول لترك تعليق.