নোট
নোট: সাইট LAN ফায়ারওয়াল নিয়মের স্বয়ংক্রিয় স্থানান্তর অ্যাকাউন্ট-স্তরের নীতিতে
আমরা সম্প্রতি Socket Next Gen LAN Firewall প্রকাশ করেছি যা অ্যাকাউন্ট-স্তরের কনফিগারেশন এবং লেয়ার 7 প্রয়োগ প্রদান করে। ১ জুলাই, ২০২৫ থেকে আমরা বিদ্যমান সাইট-স্তরের LAN ফায়ারওয়াল নিয়মগুলি অ্যাকাউন্ট-স্তরের নীতিতে স্থানান্তর করব।
- প্রত্যেক সাইট-স্তরের নিয়ম নতুন নীতিতে স্বয়ংক্রিয়ভাবে নেটওয়ার্ক নিয়ম হিসাবে কনফিগার করা হবে যা রাউটিং নির্দিষ্ট করে এবং একটি ফায়ারওয়াল নিয়ম যা ট্রাফিক অনুমতি বা ব্লক করে।
- প্রত্যেক সাইটের নিয়মগুলি নিয়মনের ভিতরে একটি পৃথক সেকশন হিসেবে যোগ করা হবে।
- স্থানান্তর একটি নির্বিঘ্ন, স্বয়ংক্রিয় প্রক্রিয়া এবং কোনো সার্ভিস ব্যাঘাত আশা করা হয় না।
- যদি আপনি ১ জুলাইয়ের আগে আপনার নীতি স্থানান্তর করতে আগ্রহী হন, তাহলে অনুগ্রহ করে ea@catonetworks.com এর সাথে যোগাযোগ করুন
সারসংক্ষেপ
সকেটের ডিফল্ট আচরণ হল নিরাপত্তা পরিদর্শনের জন্য সমস্ত WAN এবং ইন্টারনেট ট্রাফিক PoP এ ফরওয়ার্ড করা। এর মধ্যে সাইটের মধ্যে আগত নেটওয়ার্ক সেগমেন্টগুলির মধ্যে ল্যান ট্রাফিক অন্তর্ভুক্ত রয়েছে (যেমন VLANগুলি)। কিছু পরিস্থিতিতে, আপনি ডিফল্ট আচরণ অতিক্রম করতে চাইতে পারেন এবং একটি সাইটে সকেট কনফিগার করতে পারেন দুটি নেটওয়ার্ক সেগমেন্ট বা হোস্টের মধ্যে যোগাযোগকে অনুমতি বা ব্লক করার জন্য, ট্রাফিক Cato PoP এ না পাঠিয়ে সরাসরি সকেটে। ল্যান ফায়ারওয়াল নীতি সাথে, আপনি সকেটে সরাসরি ল্যান ট্রাফিক অনুমোদন বা ব্লক করার নিয়ম কনফিগার করতে পারেন। বিকল্পভাবে, আপনি প্রতিটি নিয়মের জন্য ট্র্যাকিং (ঘটনা) সক্রিয় করতে পারেন।
নোট
নোট: LAN ফায়ারওয়াল স্থানীয় রাউটিং নীতির একটি উন্নয়ন। অধিক তথ্যের জন্য নিচে দেখুন LAN ফায়ারওয়াল ব্যবহার করার পূর্বশর্ত এবং স্থানীয় রাউটিং নীতি LAN ফায়ারওয়ালে উন্নীত করা।
LAN ফায়ারওয়াল আপনাকে আপনার প্রয়োজন অনুসারে নীতিমালা তৈরি করে সকেট স্তরে নির্দিষ্ট ধরনের ট্রাফিক ব্লক বা অনুমোদন করতে দেয়।
নিচের ডায়াগ্রামে একটি LAN ফায়ারওয়াল নিয়ম দেখানো হয়েছে যা LAN1 থেকে LAN2 তে ট্রাফিক অনুমতি দেয়।
এই চিত্রটি একটি LAN ফায়ারওয়াল নিয়ম দেখায় যা LAN1 থেকে LAN2 তে ট্রাফিক ব্লক করে।
সম্প্রসারণ LAN ফায়ারওয়াল কনফিগারেশন নিয়মের ভিত্তিতে নমুনা। প্রতিটি নিয়ম নিচে ব্যাখ্যা করা হয়েছে:
নিয়ম 1 - 'অতিথি ব্লক' - এই নিয়মটি 'Guest-Wifi' নেটওয়ার্ক ব্যবহারকারী হোস্টদের যেকোনো অন্যান্য হোস্ট বা সাইটের অভ্যন্তরের সম্পদে অ্যাক্সেস থেকে বিরত রাখে এবং এই ঘটনাগুলি ট্র্যাক করে। হোস্টগুলি এখনও ইন্টারনেট অ্যাক্সেস করতে পারে।
নিয়ম 2 - 'ফাইল শেয়ার অনুমতি দিন' - এই নিয়মটি শুধুমাত্র 'Corp-Users' নেটওয়ার্কের সাথে সংযুক্ত হোস্টদের File-Servers স্থানীয় নেটওয়ার্কের সার্ভারগুলির সাথে HTTPS বা SMB (TCP/445) এর মাধ্যমে সংযোগ করতে দেয়। প্রত্যেক প্রবাহ ঘটনাগুলিতে ট্র্যাক হয়। এই স্থানীয়ভাবে অনুমোদিত নীতি দ্বারা, নেটওয়ার্কগুলির মধ্যে SMB এবং HTTPS জন্য টানেল ওভারহেড হ্রাস করা হয় কারণ ট্রাফিক সাইটে স্থানীয়ভাবে পরিচালিত হয় এবং টানেল অতিক্রম করে না।
নিয়ম 3 - 'CCTV সার্ভারের অনুমতি দিন' - এই নিয়মটি 'IOT-Cameras' নেটওয়ার্ক থেকে হোস্টদের 'IOT-File-Servers' নেটওয়ার্কের সাথে শুধুমাত্র HTTPS এর মাধ্যমে সংযোগ করার অনুমতি দেয়। প্রত্যেকটি প্রবাহ ইভেন্টে ট্র্যাক করা হয়।
অন্তর্নিহিত আচরণ - যেকোনো অন্যান্য হোস্ট ট্র্যাফিক যা নিয়মভিত্তিক সংজ্ঞায়িত নয় তা 'File-Servers' এ ফিরে আসার আগে Cato PoP-এ পরিদর্শনের জন্য পাঠানো হবে। উদাহরণস্বরূপ, 'Corp-Users' থেকে 'File-Servers' এ TCP/21 (FTP) এর যেকোনো ট্র্যাফিক নমুনা নিয়মভিত্তিকের সাথে মিলবে না এবং ডিফল্ট আচরণকে ট্রিগার করবে (ট্র্যাফিককে Cato PoP-এ পাঠান)।
LAN ফায়ারওয়াল নীতি প্রথম থেকে শেষ কনফিগার করা নিয়ম পর্যন্ত ক্রমে প্রক্রিয়াকৃত হয়। একবার নিয়ম মিললে একটি ক্রিয়া প্রয়োগ করা হয়। অন্যথায়, ডিফল্টরূপে ট্র্যাফিক Cato PoP-এ পাঠানো হয়।
নিয়মভিত্তিকের শীর্ষে থাকা নিয়মগুলির অগ্রাধিকার বেশি কারণ এরা নিয়মভিত্তিকের নিচের নিয়মগুলির আগে সংযোগে প্রয়োগ হয়। উদাহরণস্বরূপ, যদি একটি সংযোগ নিয়ম #3 এর সাথে মিলে যায়, কর্মটি সংযোগে প্রয়োগ হয় এবং ফায়ারওয়াল এর পরিদর্শন বন্ধ করে দেয়। ফায়ারওয়াল সংযোগে নিয়ম #4 এবং নীচের নিয়মগুলি প্রয়োগ করা চালিয়ে রাখে না। আপনি LAN ফায়ারওয়ালের দক্ষতা বাড়াতে পারেন এবং এমন নিয়মগুলিকে উচ্চ অগ্রাধিকার দিতে পারেন যা সবচেয়ে বেশি সংযোগের সাথে মেলে।
নিম্নলিখিত টেবিলটি প্রতিটি সকেট মডেলের জন্য LAN ফায়ারওয়ালের মাধ্যমে সহায়ক থ্রুপুটকে উপস্থাপন করে।
নোট: নিচে প্রদর্শিত মানগুলি ল্যাব পরিবেশে Socket v19.0 এক-মাত্রিক পরীক্ষার উপর ভিত্তি করে তৈরি।
|
সকেট মডেল |
TCP বিডাব্লিউ |
UDP বিডাব্লিউ |
|---|---|---|
|
X1500 |
1Gb/সেকেন্ড পর্যন্ত |
2Gb/সেকেন্ড পর্যন্ত |
|
X1600 |
8Gb/সেকেন্ড পর্যন্ত |
8.5Gb/সেকেন্ড পর্যন্ত |
|
X1700 |
10Gb/সেকেন্ড পর্যন্ত |
12Gb/সেকেন্ড পর্যন্ত |
LAN ফায়ারওয়াল বিদ্যমান স্থানীয় রাউটিং নীতিমালার একটি উন্নতি। এই বৈশিষ্ট্যটি প্রতি সাইটে সক্রিয় করা হয়।
নিশ্চিত করুন যে সাইটের সমস্ত সকেট Socket সংস্করণ 18.0 অথবা তার উপরে চলছে।
-
যদি সাইটের জন্য কোনো স্থানীয় রাউটিং নিয়ম কনফিগার করা না থাকে, তাহলে আপনি এটি LAN ফায়ারওয়াল নীতিতে অবিলম্বে আপগ্রেড করতে পারেন।
-
যদি সাইটের জন্য লোকাল রাউটিং নিয়মগুলি কনফিগার করা থাকে, তাহলে লোকাল রাউটিং নিয়মগুলি ল্যান ফায়ারওয়ালে স্থানান্তর করুন, দেখুন লেন ফায়ারওয়ালে লোকাল রাউটিং নীতি আপগ্রেড করা
-
আপনি ল্যান ফায়ারওয়ালে আপগ্রেড করার পরে, ফিচারটি সক্রিয় করুন (LAN ফায়ারওয়াল সক্রিয় স্ক্রিনের উপরের ডান দিকে টগল করুন)।
এই ফিচার নিষ্ক্রিয় হলে, সমস্ত ট্রাফিক PoP-এ পাঠানো হয়।
এই সেকশনটি ব্যাখ্যা করা হয়েছে কিভাবে ল্যান ফায়ারওয়াল এবং বস্তুর, পোর্টের, এবং সেবাসমূহের জন্য যে নিয়মগুলি কনফিগার করা যায় তা সংজ্ঞায়িত করতে হয়।
একটি নতুন ল্যান ফায়ারওয়াল নিয়ম তৈরি করুন এবং ল্যান ট্রাফিকের রাউটিং পরিচালনা করতে নিয়মের সেটিংস কনফিগার করুন। নিচে নিয়ম যোগ করুন অপশনটি ব্যবহার করে নিয়মের বেসের সঠিক স্থানে সহজে নিয়ম যোগ করুন।
নোট
নোট: সকেটে নতুন কনফিগারেশন প্রয়োগ করতে এক মিনিট পর্যন্ত সময় লাগতে পারে।
LAN ফায়ারওয়াল নিয়ম নির্ধারণ করতে:
-
নেভিগেশন মেনু থেকে, নেটওয়ার্ক > সাইট ক্লিক করুন এবং সাইট নির্বাচন করুন।
-
নেভিগেশন মেনু থেকে, সাইট কনফিগারেশন > ল্যান ফায়ারওয়াল ক্লিক করুন।
-
নতুন ক্লিক করুন। নিয়ম যোগ করুন প্যানেল খোলে।
-
সাধারণ বিভাগে:
-
নতুন নিয়মটির জন্য একটি নাম প্রবেশ করুন।
-
ডিফল্ট অনুযায়ী, নিয়মটি সক্রিয়। সক্রিয় টগলের সাহায্যে নিয়মটি নিষ্ক্রিয় করুন।
-
দিক এর অধীনে, একমাত্র এক দিকের ট্রাফিক সক্রিয় করতে প্রতি নির্বাচন করুন, অথবা দ্বি-মুখী ট্রাফিক সক্রিয় করতে উভয় নির্বাচন করুন।
-
নিয়মের ক্রম নির্বাচন করুন। আমরা আপনাকে বেশি নির্দিষ্ট নিয়মের জন্য উচ্চ নিয়মের ক্রম এবং কম নির্দিষ্ট নিয়মের জন্য নিম্ন নিয়মের ক্রম সেট করতে সুপারিশ করি।
নোট: নিয়মের ক্রম কনফিগারেশন সম্পর্কিত আরও তথ্যের জন্য "LAN ফায়ারওয়াল নিয়মের সাথে কাজ" সেকশনটি দেখুন।
-
-
উৎস এবং গন্তব্যস্থান বিভাগগুলি প্রসারিত করুন, এই নিয়মের জন্য ট্রাফিক উৎস এবং গন্তব্য সত্ত্বা নির্ধারণ করুন।
-
সেবা/পোর্ট সেকশন সম্প্রসারিত করুন, প্রোটোকলগুলি নির্বাচন করুন যেগুলির উপর নিয়ম প্রযোজ্য।
-
যদি পোর্ট/প্রোটোকল নির্দেশ করে থাকে, তাহলে "প্রোটোকল/পোর্ট" ফর্ম্যাটে পোর্ট এবং প্রোটোকল নির্ধারণ করুন (উদা.)। TCP/80-88, UDP/53, ICMP ইত্যাদি)
-
যদি সাধারণ সেবা নির্বাচিত হয়, তাহলে প্রাসঙ্গিক লেয়ার ৪ সেবা নির্বাচন করুন।
পূর্বনির্ধারিত সেবা তালিকা প্রতিটি সেবার RFC সংজ্ঞার উপর ভিত্তি করে।
-
-
NAT সেকশন:
-
NAT সক্রিয় করুন - ঐচ্ছিকভাবে, আউটগোইং ইন্টারফেসে NAT সক্রিয় করুন। এটি সমস্ত উৎস IP গুলিকে একটি NAT IP তে অনুবাদ করে।
-
-
ক্রিয়াকলাপ সেকশনে:
-
স্থানীয়ভাবে অনুমতি দিন - এই কার্যটি সকেট LAN নেটওয়ার্কগুলির মধ্যে স্থানীয় ট্রাফিক মেলানোর অনুমতি দেয়।
-
স্থানীয়ভাবে ব্লক করুন - এই কার্যটি সকেট LAN নেটওয়ার্কগুলির মধ্যে স্থানীয় ট্রাফিক ব্লক করে।
নোট: যদি ট্রাফিক কোনো নিয়মের সঙ্গে মেলে না, তখন ডিফল্ট কার্যটি PoP এ পাঠান।
-
-
ট্র্যাকিং এর আওতায় ক্রিয়াকলাপ সেকশনে:
-
ঐচ্ছিকভাবে, ঘটনা চেকবক্সটি সক্রিয় করুন। মেলানো হলে, এই নিয়মের জন্য একটি ঘটনা উৎপন্ন হয়।
-
-
প্রয়োগ করুন এ ক্লিক করুন এবং তারপর সংরক্ষণ করুন এ ক্লিক করুন।
কিছু দৃশ্য রয়েছে যেখানে সাইটের মধ্যে LAN নেটওয়ার্কগুলির মধ্যে NAT ব্যবহার প্রয়োজনীয় হয়, এটি সরাসরি সংযুক্ত দুটি (বা আরও) নেটওয়ার্কের মধ্যে, অথবা পথে সংযুক্ত নেটওয়ার্কের মধ্যে (স্থির রুট অথবা BGP রুট) হতে পারে।
-
NAT কেবলমাত্র প্রতি দিকে কনফিগারযোগ্য।
-
আপনি নিয়মের জন্য কনফিগারেশন সংরক্ষণ করার পরে, Cato ব্যবস্থাপনা অ্যাপ্লিকেশন স্বয়ংক্রিয়ভাবে নিয়মের জন্য বহির্গামী নেটওয়ার্ক এবং বহির্গামী IP এর হিসাব করে।
নিম্নলিখিত উৎস এবং গন্তব্য অবজেক্টসমূহ নির্ধারণ করা যেতে পারে:
-
গ্লোবাল রেঞ্জ - কোনো সাইটের LAN ইন্টারফেসের জন্য প্রাথমিক রেঞ্জ।
-
হোস্ট - সাইটে নির্ধারিত হোস্ট এবং সার্ভার।
-
ইন্টারফেস সাবনেট - VLAN, রাউটেড, বা সরাসরি রেঞ্জ, অথবা একটি সহায়ক AWS vSocket স্বাভাবিক পরিসীমা।
-
নেটওয়ার্ক ইন্টারফেস - কোনো সাইটের LAN ইন্টারফেসের জন্য নির্ধারিত সাবনেট এবং নেটওয়ার্ক রেঞ্জ।
-
যেকোনো - সাইটের মধ্যে যেকোনো উৎস বা গন্তব্যস্থল।
আপনি প্রয়োজন অনুযায়ী ল্যান ফায়ারওয়ালের প্রতিটি নির্ধারিত নিয়মের জন্য ইভেন্ট ট্র্যাকিং সক্রিয় করতে পারেন।
নোট
নোট: ল্যান ফায়ারওয়াল ট্রাফিক অ্যাপ এবং নেটওয়ার্ক বিশ্লেষণ ড্যাশবোর্ডে দৃশ্যমান হবে না।
ইভেন্টগুলো সাইট নিরীক্ষণ > ইভেন্ট এর অধীনে প্রদর্শিত হবে।
-
ইভেন্ট প্রকার - নিরাপত্তা
-
উপ-প্রকার - ল্যান ফায়ারওয়াল
LAN ফায়ারওয়াল ইভেন্টগুলি ফিল্টার করতে:
-
গৃহ > ইভেন্ট এ যান।
-
ফিল্টার এ ক্লিক করুন এবং প্রাসঙ্গিক ক্ষেত্র, অপারেটর এবং মান নির্বাচন করুন।
-
ক্ষেত্র - ফিল্টার হিসেবে একাধিক ক্ষেত্র বেছে নেওয়া যেতে পারে। উদাহরণস্বরূপ আমরা "উৎস সাইট" বা "উপ-প্রকার" (ল্যান ফায়ারওয়াল) এর জন্য ফিল্টার করার সিদ্ধান্ত নিতে পারি
-
অপারেটর - নির্দিষ্ট মান (হল, নয়) অথবা একাধিক মান (অন্তর্ভুক্ত, অন্তর্ভুক্ত নয়) অন্তর্ভুক্ত বা বাদ দিতে বেছে নিন, উদাহরণস্বরূপ "উৎস সাইট" অপারেটর "অন্তর্ভুক্ত" এর মাধ্যমে একাধিক উৎস সাইটকে মান রূপে নির্বাচন করার সুযোগ দেয়।
-
মান - ক্ষেত্রের জন্য মান।
-
-
ফিল্টার যোগ করুন এ ক্লিক করুন।
নিচের উদাহরণে, আপনি LAN ফায়ারওয়াল ইভেন্টের বিস্তারিত দেখতে পারেন।
-
ক্রিয়া - ব্লক করুন বা মনিটর করুন। (ট্রাফিক স্থানীয়ভাবে LAN ফায়ারওয়াল দ্বারা ব্লক বা অনুমতি দেওয়া হয়েছে)
-
কনফিগার করা হয়েছে হোস্ট নাম - উৎস IP এর অতিরিক্ত হোস্ট তথ্য, যদি উপলব্ধ থাকে।
-
উপ-প্রকার - LAN ফায়ারওয়াল। LAN ফায়ারওয়াল দ্বারা উৎপন্ন সমস্ত ইভেন্টের এই উপ-প্রকার থাকবে।
-
নিয়ম - এই ইভেন্ট উৎপন্ন করা নির্ধারিত নিয়ম নাম।
WAN বা ইন্টারনেট ফায়ারওয়াল-এ ইভেন্টগুলি Cato PoP দ্বারা উৎপন্ন হয়, যেখানে LAN ফায়ারওয়াল ইভেন্টগুলি সকেটেই উৎপন্ন হয়। এই ইভেন্টগুলি সাইট টানেলের মাধ্যমে পাঠানো হয় যাতে Cato ম্যানেজমেন্ট অ্যাপ্লিকেশনে সংরক্ষণ করা যায়।
টানেলের মাধ্যমে সমস্ত প্রবাহ ট্রাফিক LAN ফায়ারওয়াল ইভেন্টের আগে অগ্রাধিকার পায়, যাদের ডিফল্ট QoS অগ্রাধিকার 255 এবং অতিরিক্ত ওভারহেড তৈরি করতে পারে।
কাটো শুধুমাত্র উচ্চ অগ্রাধিকার LAN ফায়ারওয়াল নিয়ম ট্র্যাক করার সুপারিশ করে যাতে টানেলের উপর অতিরিক্ত ওভারহেড এড়ানো যায়।
0 মন্তব্য
একটি মন্তব্য করার জন্য সাইন ইন করুন করুন।