সকেট নেক্সট জেনারেশন LAN ফায়ারওয়াল কী

উদাহরণ কর্পোরেশনের ২০০টি গ্লোবাল শাখা রয়েছে, যারা একই LAN নেটওয়ার্ক ডিজাইন ব্যবহার করে। এতে VLAN আইডি ১০ সার্ভারের জন্য এবং ব্যাবসায়িক গুরুত্বপূর্ণ OT ডিভাইসের জন্য VLAN আইডি ২০ অন্তর্ভুক্ত। নেটওয়ার্ক দল সিদ্ধান্ত নেয় স্থানীয়ভাবে এই VLAN গুলির মধ্যে ট্রাফিক রুট করতে, যা OT ডিভাইস এবং সার্ভারকে যোগাযোগ চালিয়ে যেতে সক্ষম করে এমনকি যদি ISP তে বিভ্রাট থাকে। অতিরিক্তভাবে, তারা শুধুমাত্র নির্দিষ্ট প্রোটোকলগুলি VLAN গুলির মধ্যে অনুমোদিত করতে চায়।

নেটওয়ার্ক দল একটি LAN নেটওয়ার্ক নিয়ম তৈরি করে যেখানে সাইট ২০০ প্রাসঙ্গিক সাইটগুলিকে অন্তর্ভুক্ত করে গ্রুপ অবজেক্ট হিসেবে কনফিগার করা হয়েছে এবং ট্রান্সপোর্ট LAN হিসেবে কনফিগার করা হয়েছে ট্রাফিককে স্থানীয়ভাবে রাউট করতে। এরপর তারা VLAN ১০ এবং VLAN ২০ কে উৎস এবং গন্তব্য হিসেবে কনফিগার করে LAN নেটওয়ার্ক নিয়মের অধীনে একটি LAN ফায়ারওয়াল নিয়ম তৈরি করে, এবং দিক হিসেবে উভয় নির্ধারণ করে। সার্ভিস/পোর্ট এর অধীনে, তারা অনুমোদিত প্রোটোকলগুলি কনফিগার করে এবং কর্ম কে অনুমতি দিন হিসেবে কনফিগার করা হয়।

এই একক LAN ফায়ারওয়াল নিয়মটি ২০০টি স্থানীয় নেটওয়ার্কের প্রত্যেকটির জন্য নীতিটি প্রয়োগ করে, প্রতিটি সাইটের জন্য আলাদা নিয়ম কনফিগার না করেই।

LAN ফায়ারওয়ালের ভূমিকা এবং এর অন্যান্য Cato নীতির সাথে সম্পর্কটি বোঝার জন্য, এটি বোঝা গুরুত্বপূর্ণ যে Cato তিনটি ভিন্ন ধরণের ট্রাফিক হিসেবে ট্রাফিক শনাক্ত করে: LAN, WAN, বা ইন্টারনেট। এই ট্রাফিকের ধরনগুলির পৃথকতা এবং বৈশিষ্ট্যগুলি বোঝা ব্যবস্থাপনাগত পরিকল্পনা এবং বিভিন্ন Cato ফায়ারওয়াল নীতির সর্বোত্তম ব্যবহার নিশ্চিত করার জন্য অত্যন্ত জরুরি। আরও তথ্যের জন্য, দেখুন Getting Started with the Cato Firewalls.

একই সাইটের হোস্টগুলির মধ্যে ট্রাফিক LAN ট্রাফিক (সকেট দ্বারা রাউট হওয়া এবং PoP এ প্রেরণ না হওয়া) বা WAN ট্রাফিক (PoP এ প্রেরণ করা হয় এবং তারপর সাইটে ফিরিয়ে পাঠানো হয়) হিসেবে পরিচালনা করা যায়, আপনার কনফিগারেশনের উপর নির্ভর করে। ডিফল্টভাবে, সকেটের ব্যবহারে সমস্ত ট্রাফিক PoP এ পরিদর্শনের জন্য প্রেরণ করা হয় এবং PoP ট্রাফিকটিকে ব্লক বা অনুমোদন করে। তবে, LAN ফায়ারওয়াল নীতির সাথে মেলে এমন ট্রাফিকটি স্থানীয়ভাবে রাউট করা হয় এবং PoP এ পাঠানো হয় না।

যখন সকেটের মধ্যে LAN থেকে একটি হোস্ট থেকে ট্রাফিক পৌঁছায়, তখন সকেট LAN ফায়ারওয়াল নীতির সাথে কোনও নিয়মের সাথে ট্রাফিকটি মেলে কিনা তা পরীক্ষা করে।

ল্যান ট্রাফিক নির্ধারণের বিষয়ে আরও তথ্যের জন্য নিচে দেখুন, ল্যান ফায়ারওয়াল নীতি.

নিচে একটি স্টেট মেশিন ডায়াগ্রাম দেখানো হয়েছে, যেখানে সকেট LAN ফায়ারওয়াল কীভাবে স্থানীয় নেটওয়ার্কের একটি হোস্ট থেকে ট্রাফিক পরিচালনা করে তা দেখানো হয়েছে।

LAN ফায়ারওয়াল স্তর ২ থেকে ৪ এবং স্তর ৭ (অ্যাপ্লিকেশন স্তর) পরিদর্শন সমর্থন করে, যা আপনাকে অ্যাপ্লিকেশন, পরিষেবা এবং অ্যাপ্লিকেশনের নির্দিষ্ট সামগ্রীর ভিত্তিতে ট্রাফিক নিয়ন্ত্রণ করতে সক্ষম করে। ডিফল্টরূপে, সাইটগুলি স্তর ২-৪ কার্যকারিতার সমর্থন করে এবং আপনি নীতিতে যে সাইটগুলির স্তর ৭ ক্ষমতা সক্ষম করা হয়েছে তা সংজ্ঞায়িত করেন। এই বিভাগটি স্তর ২-৪ এবং স্তর ৭ ফায়ারওয়ালিং এর মধ্যে পার্থক্য বর্ণনা করে।

স্তর ২-৪ ফায়ারওয়ালগুলি মৌলিক মানদণ্ডের উপর ভিত্তি করে ট্রাফিক ফিল্টার করে যেমন IP ঠিকানা, পোর্ট এবং TCP বা UDP মত পরিবহন স্তরের প্রোটোকল। এই মানদণ্ডগুলির জন্য, সকেট ফায়ারওয়াল প্রথম প্যাকেটের উপর ভিত্তি করে ট্রাফিক অনুমোদন বা ব্লক করার সিদ্ধান্ত নিতে পারে। বেসিক ট্রাফিক নিয়ন্ত্রণের জন্য কার্যকর হলেও, এই পদ্ধতির মাধ্যমে প্যাকেটে সঞ্চালিত প্রকৃত ডেটা বিশ্লেষণ করা হয় না।

স্তর ৭ (অ্যাপ্লিকেশন স্তর) ফায়ারওয়ালগুলি বিশেষ অ্যাপ্লিকেশন, ডোমেইন বা প্রোটোকল শনাক্ত করতে প্যাকেট পে-লোড পরীক্ষা করে। উদাহরণস্বরূপ, স্তর ৭ ফায়ারওয়াল SMBv১ এবং SMBv৩ ট্রাফিকের মধ্যে পার্থক্য করতে পারে বা ট্রাফিক তৈরি করা নির্দিষ্ট অ্যাপ্লিকেশনকে শনাক্ত করতে পারে (যেমন: Office ৩৬৫)। এই গভীর পরিদর্শন স্থানীয় নেটওয়ার্ক ট্রাফিকের উপর আরও সূক্ষ্ম নীতির প্রয়োগ এবং উন্নত নিয়ন্ত্রণের সুযোগ দেয়। যাইহোক, স্তর ৭ পরিদর্শনের জন্য অতিরিক্ত প্যাকেটগুলি বিশ্লেষণ করা প্রয়োজন অ্যাপ্লিকেশন ডেটা নির্ধারণ করার জন্য (যেমন HTTP ট্রাফিকে একটি ডোমেইন নাম নিষ্কাশন) এবং স্তর ৪ প্রসেসিং-এর চেয়ে বেশি সকেট সম্পদ প্রয়োজন। আপনার কর্পোরেট LAN ফায়ারওয়াল নীতি পরিকল্পনা করার সময় এবং কোন সাইটগুলিকে স্তর ৭ ক্ষমতা সহ সক্ষম করতে হবে তা সিদ্ধান্ত নেওয়ার সময় এটি বিবেচনায় নেয়া উচিত।

আপনি যখন একটি সাইটকে লেয়ার 7 ক্ষমতা সহ সক্রিয় করেন, তখন সকেটটি ট্রাফিকের উপর গভীর প্যাকেট পরিদর্শন করে, ল্যান ফায়ারওয়াল নিয়ম কনফিগার করা হয়েছে কিনা তা নির্বিশেষে, যতক্ষণ না ল্যান পরিবহন ব্যবহার করতে নির্ধারিত ট্রাফিক থাকে (নীচে দেখুন, ল্যান ফায়ারওয়াল নীতি). এর মানে স্তর ৭ ডেটা সাইটের ট্রাফিকের ইভেন্টে প্রদর্শিত হয়, অ্যাপ্লিকেশন, অ্যাপ ঝুঁকি এবং কাস্টম অ্যাপ এর মত ক্ষেত্রগুলির সহ।

LAN নেটওয়ার্ক নিয়মটি কোন পরিবহন (LAN বা WAN) ব্যবহার করা হবে তা নিয়ন্ত্রণ করে বিভিন্ন নেটওয়ার্ক হোস্ট বা সেগমেন্টের মধ্যে ট্রাফিক রুট করার জন্য। এটি পুরো অ্যাকাউন্টের জন্য কনফিগার করা একটি গ্লোবাল নীতি এবং নির্দিষ্ট সাইটগুলির জন্য নয়। এর মানে প্রতিটি নিয়ম অ্যাকাউন্টের একাধিক সাইটে প্রয়োগ করার জন্য কনফিগার করা যেতে পারে। উদাহরণস্বরূপ, যদি আপনি একই VLAN কনফিগারেশনের সাথে একাধিক সাইট সেট আপ করেন, তাহলে আপনি সেই নিয়মে সংজ্ঞায়িত প্রতিটি সাইটের VLAN গুলির জন্য প্রযোজ্য একটি একক নিয়ম তৈরি করতে পারেন।

LAN নেটওয়ার্ক নিয়মগুলি স্তর ৪ রাউটিং সিদ্ধান্ত নেয় এবং স্তর ৭ কার্যকারিতা ব্যবহার করে না। উদাহরণস্বরূপ, আপনি সাইট, VLAN, বা নির্দিষ্ট প্রোটোকলের জন্য শর্ত সহ নেটওয়ার্ক নিয়ম সংজ্ঞায়িত করতে পারেন, তবে আপনি অ্যাপ্লিকেশনের ভিত্তিতে শর্ত তৈরি করতে পারবেন না।

একটি LAN নেটওয়ার্ক নিয়ম তার অধীনে একাধিক LAN ফায়ারওয়াল নিয়মের অভিভাবক হতে পারে। একটি ডিফল্ট ANY-ANY ব্লক নিয়ম LAN নেটওয়ার্ক নিয়মের অধীনে শেষ নিয়ম হিসাবে কনফিগার করা হয়। অতএব, যদি কোন ট্রাফিক LAN নেটওয়ার্ক নিয়মের সাথে মেলে কিন্তু LAN ফায়ারওয়াল নিয়মের সাথে না মেলে, তবে এটি ব্লক করা হয়।

LAN ফায়ারওয়াল নিয়মগুলি নির্দিষ্ট ধরনের ট্রাফিক অনুমোদন বা ব্লক করে, এবং এই ঘটনাগুলিকে পর্যবেক্ষণ এবং সম্মতি উদ্দেশ্যে ট্র্যাক করে। প্রত্যেকটি LAN ফায়ারওয়াল নিয়ম একটি নির্দিষ্ট অভিভাবক LAN নেটওয়ার্ক নিয়মের সাথে সরাসরি সংযুক্ত থাকে এবং অভিভাবক নিয়মের উত্স এবং গন্তব্যের পরিধি সীমিত করে। LAN ফায়ারওয়াল নিয়মগুলি ডিফল্টরূপে স্তর ৪ বিভাজন সমর্থন করে, MAC ঠিকানার উপর ভিত্তি করে বিভাজন সহ। অতিরিক্তভাবে, স্তর ৭ কার্যকারিতার জন্য কনফিগার করা সাইটগুলির জন্য, LAN ফায়ারওয়াল নিয়মগুলি অ্যাপ্লিকেশন, ডোমেইন এবং অন্যান্য স্তর ৭ শর্তাবলীর ভিত্তিতে বুদ্ধিমান ট্রাফিক ফিল্টারিং অন্তর্ভুক্ত করতে পারে।

LAN ফায়ারওয়াল ANY-ANY ব্লক নিয়মটি প্রতিটি LAN নেটওয়ার্ক নিয়মের অধীনে শেষ নিয়ম হিসাবে কনফিগার করা হয়। অতএব, যদি ট্রাফিক কোন একটি ল্যান নেটওয়ার্ক নিয়মের সাথে মিলে যায়, কিন্তু ল্যান ফায়ারওয়াল নিয়মের সাথে না মিলে যায়, তবে এটি ব্লক করা হয়। এই অন্তর্নিহিত আচরণে একটি সত্য শূন্য-আস্থা পদ্ধতি প্রয়োগ করা হয় যাতে নিশ্চিত হয় যে শুধুমাত্র স্পষ্টভাবে অনুমোদিত ট্রাফিক স্থানীয় নেটওয়ার্ক পাড়ি দিতে পারে।

হিট সংখ্যা আপনার জন্য এমন নিয়মগুলিকে সনাক্ত করতে সাহায্য করে যা নীতিতে থেকে অপসারণ করা যাবে, এবং প্রয়োজনীয় ট্রাফিক পরিসরের সাথে আরো মিলে যাওয়ার জন্য নিয়ম কনফিগারেশনকে অপ্টিমাইজ করতে। একটি নিয়মের হিট সংখ্যা তার দ্বারা জেনারেট করা ইভেন্টের সংখ্যার উপর ভিত্তি করে। যদি একটি নিয়ম ইভেন্ট তৈরি না করে, তাহলে হিট সংখ্যা শূন্য।

হিট সংখ্যা দুটি সংখ্যা অন্তর্ভুক্ত করে:

এই মানগুলি প্রতি 24 ঘন্টার মধ্যে একবার আপডেট হয় এবং গত 14 দিনের ট্রাফিকের উপর ভিত্তি করে।

স্টেটাস বারের রঙের উপর ভিত্তি করে, আপনি সর্বাধিক এবং কম হিট সংখ্যার নিয়মগুলি দ্রুত সনাক্ত করতে পারেন। এই রঙ অন্যান্য নিয়মের তুলনায় নিয়মটি কতবার হিট হয় তা প্রতিফলিত করে:

হিট কাউন্টার রিসেট এবং রিফ্রেশ করা

হিট সংখ্যার মানগুলি প্রতি 24 ঘন্টায় স্বয়ংক্রিয়ভাবে আপডেট হয় এবং 14 দিনের ট্রাফিকের উপর ভিত্তি করে। প্রতি নিয়মের শেষের তিনটি ডট থেকে, আপনি হিট সংখ্যা রিসেট বা রিফ্রেশ করতে পারেন আপ-টু-ডেট দৃশ্যমানতার জন্য। এটি আপনাকে নিয়মের কার্যকারিতাকে সঠিকভাবে মাপতে এবং নিয়ম কার্যকলাপকে তাৎক্ষণিকভাবে যাচাই করতে দেয়।

• একটি নির্দিষ্ট নিয়মের জন্য হিট কাউন্টার রিসেট করলে হিট সংখ্যা 0 হয়ে যায়।

• হিট কাউন্টার রিফ্রেশ করলে সকল নীতির নিয়মের জন্য চাহিদার উপর ভিত্তি করে হিট সংখ্যা আপডেট হয়।