Socket Next Gen LAN ফায়ারওয়াল কি

নোট

নোট: এই ফিচারটি সক্রিয় করার এবং ব্যবহার করার বিষয়ে আরও তথ্যের জন্য cato-releases@catonetworks.com এর সাথে যোগাযোগ করুন।

সারসংক্ষেপ

ডিফল্টভাবে, সাইটের পিছনে LAN ট্রাফিক ট্রাফিক পরিদর্শনের জন্য WAN-এ পপ এ পাঠানো হয়। এর অর্থ হল একই সাইটের পিছনের হোস্টদের জন্য, ট্রাফিক শেষ-মাইলের মাধ্যমে PoP এ পাঠানো হয়, তারপর আবার একই সাইটে ফিরে পাঠানো হয়। আপনি LAN ফায়ারওয়াল হিসেবে সকেট ব্যবহার করতে পারেন ট্রাফিককে স্থানীয়ভাবে সেগমেন্ট করতে, তৃতীয় পক্ষের ফায়ারওয়াল প্লায়েন্স ছাড়াই।

সকেট নেক্সট জেন LAN ফায়ারওয়াল আপনাকে সাইটের পিছনে ট্রাফিক রাউটিং এবং সেগমেন্টিং করার সময় পূর্ব-পশ্চিম ট্রাফিকের উপর লেয়ার 2 থেকে লেয়ার 7 (অ্যাপ্লিকেশন লেয়ার) নীতি নিয়ন্ত্রণ প্রয়োগ করতে দেয়। লোকাল ট্রাফিক রাউটিং করার ফলে নিশ্চিত হয় যে OT এবং IoT এর মতো গুরুত্বপূর্ণ পরিবেশগুলি স্থানীয় নেটওয়ার্কের মাধ্যমে কাজ চালিয়ে যেতে পারে, এমনকি ইন্টারনেট সংযোগ বিচ্ছিন্ন হলেও।

LAN ফায়ারওয়াল একটি অ্যাকাউন্ট-লেভেল নীতি যা আপনাকে নিয়ম কনফিগার করতে দেয় যাতে আপনি কর্পোরেট-ব্যাপী নীতিমালা প্রযোজ্য করতে পারেন একাধিক সাইটে, প্রতিটি সাইট ম্যানুয়ালি কনফিগার না করে।

ব্যবহারের কেস

উদাহরণ কর্পের ২০০টি গ্লোবাল শাখা আছে যা একই LAN নেটওয়ার্ক ডিজাইন ব্যবহার করে। এতে সার্ভারের জন্য VLAN ID 10 অন্তর্ভুক্ত এবং ব্যবসায়িক জরুরি OT ডিভাইসগুলির জন্য VLAN ID 20। নেটওয়ার্ক টিম এই VLAN-এর মধ্যে ট্রাফিক স্থানীয়ভাবে রুট করতে সিদ্ধান্ত নেয়, যা OT ডিভাইস এবং সার্ভারগুলিকে আইএসপি আউটেজ হলেও যোগাযোগ চালিয়ে যেতে সক্ষম করে। অতিরিক্তভাবে, তারা VLAN-এর মধ্যে নির্দিষ্ট প্রোটোকলগুলি অনুমতি দিতে চায়।

নেটওয়ার্ক দল একটি ল্যান নেটওয়ার্ক নিয়ম তৈরি করে যার সাইট কনফিগার করা হয়েছে একটি গ্রুপ অবজেক্ট হিসাবে যার মধ্যে ২০০টি প্রাসঙ্গিক সাইট রয়েছে এবং পরিবহন ল্যান-এ কনফিগার করা হয়েছে যাতে স্থানীয়ভাবে ট্রাফিক রাউট করা যায়। এর পরে তারা LAN নেটওয়ার্ক নিয়মের অধীনে একটি LAN ফায়ারওয়াল নিয়ম তৈরি করে, VLAN 10 এবং VLAN 20 কে উৎস এবং গন্তব্য হিসেবে কনফিগার করে, এবং দিক হিসেবে উভয়. সেবা/পোর্ট এর অধীনে, তারা যে প্রোটোকলগুলি অনুমতি দিতে চায় সেগুলি কনফিগার করে, এবং ক্রিয়া অনুমতি দিন হিসাবে কনফিগার করা হয়।

এই একক LAN ফায়ারওয়াল নিয়ম ২০০ টি স্থানীয় নেটওয়ার্কগুলিতে নীতি প্রয়োগ করে, সমস্ত সাইটের জন্য আলাদা নিয়ম কনফিগার করার প্রয়োজন ছাড়াই।

পূর্বশর্তগুলি

সকেট নেক্সট জেন LAN ফায়ারওয়াল কেবল সেই অ্যাকাউন্টগুলির জন্য উপলব্ধ যেখানে বর্তমানে সাইট স্তরের LAN ফায়ারওয়াল নীতি কনফিগার্ড নেই। ভবিষ্যতে, কাটো বর্তমান সাইট স্তরের LAN ফায়ারওয়াল নীতিগুলি সকেট নেক্সট জেন LAN ফায়ারওয়াল নীতিতে রূপান্তর করবে
সকেট v22 এবং উর্ধ্বতন থেকে সমর্থিত

সকেট নেক্সট জেন ল্যান ফায়ারওয়ালের জন্য থ্রুপুট

সকেট নেক্সট জেন ল্যান ফায়ারওয়ালের সর্বাধিক সমর্থিত থ্রুপুট Cato দ্বারা সংজ্ঞায়িত TCP এবং UDP অ্যাপ্লিকেশনগুলির একটি অ্যাপ-মিক্সের উপর ভিত্তি করে।

সকেট মডেল	L4 এমবিপিএস থ্রুপুট	L7 এমবিপিএস থ্রুপুট
X1500	1000	740
X1500B	1000	1000
X1600 এবং X1600 LTE	8000	2500
X1700	8000	8000
X1700B	13000	10000

নোট: পারফরম্যান্স এবং থ্রুপুট 1500 প্যাকেট MTU এর উপর ভিত্তি করে আদর্শ টেস্টিং শর্তে মাপা হয়।

মৌলিক ধারণা

এই সেকশনটি লেয়ার ৭ ল্যান ফায়ারওয়ালের ভূমিকা এবং সক্ষমতা বোঝানোর জন্য মৌলিক ধারণাগুলি ব্যাখ্যা করে।

ট্রাফিকের ধরন

LAN ফায়ারওয়ালের ভূমিকা এবং অন্যান্য Cato নীতির সাথে এর সম্পর্ক বোঝার জন্য, এটি বোঝা গুরুত্বপূর্ণ যে Cato ট্রাফিককে তিনটি ভিন্ন ধরনের মধ্যে হিসাবে শনাক্ত করে: LAN, WAN, বা ইন্টারনেট। এই প্রকারের ট্রাফিকের বৈশিষ্ট্যসমূহ এবং পার্থক্য বোঝা বিভিন্ন Cato ফায়ারওয়াল নীতিমালা সঠিকভাবে পরিকল্পনা এবং ব্যবহার করার জন্য অতীব গুরুত্বপূর্ণ। অধিক তথ্যের জন্য, দেখুন Getting Started with the Cato Firewalls.

একই সাইটের মধ্যে WAN বনাম LAN ট্রাফিক

একই সাইটের মধ্যে হোস্টগুলির মধ্যে ট্রাফিককে আপনার কনফিগারেশনের উপর নির্ভর করে, LAN ট্রাফিক (সকেট দ্বারা রাউট করা এবং PoP এ না পাঠানো) বা WAN ট্রাফিক (PoP এ পাঠানো এবং পরে সাইটে ফেরত আনা) হিসেবে পরিচালনা করা যেতে পারে। সকেটের ডিফল্ট আচরণ হল সমস্ত ট্রাফিককে পরিদর্শনের জন্য PoP এ রাউট করা এবং PoP ট্রাফিককে ব্লক বা অনুমতি দেয়। যাইহোক, যে ট্রাফিক ল্যান ফায়ারওয়াল নীতির সাথে মেলে তা স্থানীয়ভাবে রাউট করা হয় এবং PoP-এ পাঠানো হয় না।

যখন ল্যানের একটি হোস্ট থেকে ট্রাফিক সকেটে পৌঁছায়, সকেট ট্রাফিক LAN ফায়ারওয়াল নীতি একটি নিয়মের সাথে মেলে কিনা তা পরীক্ষা করে।

যদি এটি কোনো নিয়মের সাথে মেলে, সকেট ট্রাফিককে স্থানীয় গন্তব্যে রাউট করে PoP এ না পাঠিয়ে।
যদি ট্রাফিক LAN ফায়ারওয়াল নিয়মের সাথে মেলে না, তবে এটি WAN বা ইন্টারনেট ফায়ারওয়াল দ্বারা পরিচালনার জন্য PoP এ পাঠানো হয়।

LAN ট্রাফিক সংজ্ঞায়িত করার বিষয়ে আরও তথ্যের জন্য, নিচে দেখুন, The LAN Firewall Policy.

নিচে একটি রাষ্ট্র মেশিন ডায়াগ্রাম দেওয়া হয়েছে যা দেখায় কিভাবে সকেট LAN ফায়ারওয়াল স্থানীয় নেটওয়ার্কে একটি হোস্ট থেকে ট্রাফিক পরিচালনা করে।

স্তর ৭ বনাম স্তর ২-৪ ফায়ারওয়াল নিয়ম

LAN ফায়ারওয়াল স্তর ২ থেকে ৪ এবং স্তর ৭ (অ্যাপ্লিকেশন স্তর) নিরীক্ষণের সমর্থন করে, যা আপনাকে অ্যাপ্লিকেশন, সেবা এবং অ্যাপ্লিকেশনগুলির নির্দিষ্ট বিষয়বস্তুর উপর ভিত্তি করে ট্রাফিক নিয়ন্ত্রণের ক্ষমতা দেয়। ডিফল্টভাবে, সাইটগুলি স্তর ২-৪ কার্যকারিতা সমর্থন করে এবং আপনি নীতিতে নির্ধারণ করেন কোন সাইটগুলি স্তর ৭ ক্ষমতা দ্বারা সক্রিয়। এই সেকশনটি স্তর ২-৪ এবং স্তর ৭ ফায়ারওয়ালিং মধ্যে পার্থক্য বর্ণনা করে।

স্তর ২-৪ ফায়ারওয়ালগুলি IP ঠিকানা, পোর্ট এবং TCP বা UDP এর মতো পরিবহন স্তরের প্রোটোকলগুলি হিসাবে বেসিক মানদণ্ডের উপর ভিত্তি করে ট্রাফিক ফিল্টার করে। এই মানদণ্ডের জন্য, সকেট ফায়ারওয়াল প্রথম প্যাকেটের ভিত্তিতে ট্রাফিক অনুমতি বা ব্লক করার সিদ্ধান্ত নিতে পারে। মৌলিক ট্রাফিক নিয়ন্ত্রণের জন্য কার্যকর হলেও, এই পদ্ধতি প্যাকেটের মধ্যে প্রেরিত প্রকৃত তথ্য বিশ্লেষণ করে না।

লেয়ার ৭ (অ্যাপ্লিকেশন পরত) ফায়ারওয়াল প্যাকেটের পলোড শনাক্ত করতে নির্দিষ্ট অ্যাপ্লিকেশনসমূহ, ডোমেইন বা প্রোটোকল পর্যালোচনা করে। উদাহরণস্বরূপ, একটি লেয়ার 7 ফায়ারওয়াল SMBv1 এবং SMBv3 ট্রাফিকের মধ্যে পার্থক্য করতে বা নির্দিষ্ট অ্যাপ্লিকেশন ট্রাফিক উৎপন্ন করেছে কিনা তা (যেমন Office 365) চিহ্নিত করতে পারে। এই আরও গভীর পরীক্ষাটি আরও সুবিন্যস্ত নীতি প্রয়োগ এবং স্থানীয় নেটওয়ার্ক ট্রাফিকের উপর উন্নত নিয়ন্ত্রণের সুবিধা প্রদান করে। তবে, লেয়ার 7 পরিদর্শন অ্যাপ্লিকেশন ডেটা নির্ধারণ করতে বিশেষ প্যাকেট বিশ্লেষণ করার প্রয়োজন (যেমন HTTP ট্রাফিকে একটি ডোমেইন নাম বের করা), এবং লেয়ার 4 প্রক্রিয়াকরণের চেয়ে অধিক সকেট রিসোর্স প্রয়োজন। আপনার কর্পোরেট ল্যান ফায়ারওয়াল নীতি পরিকল্পনা এবং লেয়ার ৭ সক্ষমতা প্রদানের জন্য সাইট সমূহকে নির্ধারণ করা হলে এই বিষয়টি নেওয়া উচিত।

যখন আপনি একটি সাইটে স্তর ৭ ক্ষমতা সক্রিয় করেন, সকেট ট্রাফিকের উপর গভীর প্যাকেট নিরীক্ষণ সম্পাদন করে, LAN ফায়ারওয়াল নিয়ম কনফিগার করা হোক বা না হোক, যতক্ষণ সেখানে LAN পরিবহন ব্যবহার করার জন্য ট্রাফিক নির্ধারিত থাকে (নিচে দেখুন, The LAN Firewall Policy)। এটি অর্থ যে সাইট ট্রাফিকের জন্য ইভেন্টগুলিতে স্তর 7 ডেটা উপস্থিত হয়, যার মধ্যে অ্যাপ্লিকেশন, অ্যাপ ঝুঁকি, এবং কাস্টম অ্যাপ্লিকেশন অন্তর্ভুক্ত করে।

LAN ফায়ারওয়াল নীতি

Socket প্রথমে LAN ট্রাফিকের জন্য একটি রাউটিং সিদ্ধান্ত নির্ধারণ করে LAN ফায়ারওয়াল নীতি প্রয়োগ করে - ট্রাফিককে PoP আপনারই পাঠাতে হবে না কি এটি স্থানীয়ভাবে চালাতে হবে। দ্বিতীয়ত, LAN ফায়ারওয়াল নিয়মগুলি ট্রাফিক ব্লক করা হয় বা অনুমোদিত হয় কিনা তা নির্ধারণ করতে প্রয়োগ করা হয়।

এটি বাস্তবায়নের জন্য, LAN ফায়ারওয়াল নীতি LAN নেটওয়ার্ক এবং LAN ফায়ারওয়াল নিয়ম অন্তর্ভুক্ত করে। LAN নেটওয়ার্ক নিয়মগুলি কীভাবে সকেট রুট করে তা সংজ্ঞায়িত করে, স্থানীয়ভাবে ল্যান উপর, বা পপ এ পাঠানো WAN ট্রাফিক হিসাবে। LAN নেটওয়ার্ক নিয়মের মিল পাচ্ছে একবার এবং পরিবহন হিসাবে LAN সংজ্ঞায়িত করে, সংশ্লিষ্ট LAN ফায়ারওয়াল নিয়মগুলি নির্ধারণ করে যে ট্রাফিক অনুমোদিত বা ব্লকড, এবং Socket নিয়ম কার্যকর করে। যদি ট্রাফিক কোনো LAN নেটওয়ার্ক নিয়মের সাথে মেলে না, তাহলে এটি WAN ট্রাফিক হিসাবে বিবেচিত হয় এবং PoP তে পাঠানো হয়।

LAN ফায়ারওয়াল নিয়মগুলি একটি একক LAN নেটওয়ার্ক নিয়মের সাথে সংযুক্ত থাকে, নিশ্চিত করে যে ফায়ারওয়াল ক্রিয়াকলাপগুলি সেই LAN নেটওয়ার্ক নিয়ম দ্বারা নির্ধারিত ট্রাফিকের জন্য নির্দিষ্ট।

নিম্নলিখিত বিভাগগুলি LAN নেটওয়ার্ক এবং LAN ফায়ারওয়াল নিয়মের বৈশিষ্ট্যসমূহ বর্ণনা করে।

LAN নেটওয়ার্ক নিয়ম

LAN নেটওয়ার্ক নিয়মগুলি নিয়ন্ত্রণ করে যে পরিবহন (LAN অথবা WAN) বিভিন্ন নেটওয়ার্ক হোস্ট বা সেগমেন্টসের মধ্যে ট্রাফিক চালানোর জন্য ব্যবহৃত হয়। এটি একটি গ্লোবাল নীতি যা সমগ্র অ্যাকাউন্টের জন্য কনফিগার করা হয়েছে, এবং নির্দিষ্ট সাইটগুলোর জন্য নয়। এই মানে প্রতিটি নিয়ম অ্যাকাউন্টের মধ্যে একাধিক সাইটে প্রয়োগের জন্য সেট করা যেতে পারে। উদাহরণ স্বরূপ, যদি আপনি একই VLAN কনফিগারেশন ব্যবহার করে একাধিক সাইট সেটআপ করেন, আপনি একটি একক নিয়ম তৈরী করতে পারেন যা নিয়মে সংজ্ঞায়িত প্রতিটি সাইটের VLAN এর প্রয়োগ হয়।

LAN নেটওয়ার্ক নিয়মগুলি স্তর 4 রাউটিং সিদ্ধান্ত নেয় এবং স্তর 7 কার্যকারিতা ব্যবহার করে না। উদাহরণস্বরূপ, আপনি সাইটগুলির জন্য শর্ত সহ নেটওয়ার্ক নিয়ম সংজ্ঞায়িত করতে পারেন, VLAN বা নির্দিষ্ট প্রোটোকল, তবে আপনি অ্যাপ্লিকেশন ভিত্তিক শর্ত তৈরি করতে পারবেন না।

একটি LAN নেটওয়ার্ক নিয়ম এটি নিচে একাধিক LAN ফায়ারওয়াল নিয়মের জন্য একটি অভিভাবক হতে পারে। LAN নেটওয়ার্ক নিয়মের নিচে শেষ নিয়ম হিসাবে একটি ডিফল্ট যেকোনো-যেকোনো ব্লক নিয়ম সজ্জিত করা হয়েছে। সুতরাং, যদি ট্রাফিক LAN নেটওয়ার্ক নিয়মটির সাথে মিল খায় কিন্তু LAN ফায়ারওয়াল নিয়মটির সাথে মিল খায় না, এটি ব্লকড।

LAN ফায়ারওয়াল নিয়ম

LAN ফায়ারওয়াল নিয়মগুলি নির্দিষ্ট ট্রাফিক প্রকার অনুমতি বা ব্লক করে, এবং পর্যবেক্ষণ এবং অনুসরণের উদ্দেশ্যে এই ঘটনাসমূহ ট্র্যাকিং করে। প্রতিটি LAN ফায়ারওয়াল নিয়ম সুনির্দিষ্ট পেরেন্ট LAN নেটওয়ার্ক নিয়মের সাথে সরাসরি সংযুক্ত থাকে এবং উৎস এবং গন্তব্য পরিসর সীমাবদ্ধ থাকে পেরেন্ট নিয়মের। LAN ফায়ারওয়াল নিয়ম ডিফল্টরূপে লেয়ার 4 পর্যন্ত সেগমেন্টেশন সাপোর্ট করে, ম্যাক ঠিকানার উপর ভিত্তি করে সেগমেন্টেশন সহ। এর অতিরিক্ত, লেয়ার 7 কার্যকারিতার জন্য সক্রিয় সাইটগুলির জন্য, LAN ফায়ারওয়াল নিয়মগুলি অ্যাপ্লিকেশন, ডোমেইন এবং অন্যান্য লেয়ার 7 শর্তসহ বুদ্ধিমান ট্রাফিক ফিল্টারিং অন্তর্ভুক্ত করতে পারে।

প্রতিটি ল্যান নেটওয়ার্ক নিয়মের নিচে শেষ নিয়ম হিসাবে কনফিগার করা ডিফল্ট LAN ফায়ারওয়াল ANY-ANY ব্লক করুন নিয়ম রয়েছে। অতএব, যদি ট্রাফিক ল্যান নেটওয়ার্ক নিয়মের সাথে মেলে, কিন্তু ল্যান ফায়ারওয়াল নিয়মের সাথে মেলে না, এটি ব্লকড হয়। এই অন্তর্নিহিত আচরণটি নিশ্চিত করে যে শুধুমাত্র স্পষ্টভাবে অনুমোদিত ট্রাফিক স্থানীয় নেটওয়ার্ককে অতিক্রম করতে পারে, অন-প্রিমাইস সেগমেন্টেশনের জন্য প্রকৃত জিরো-ট্রাস্ট পদ্ধতিকে জোরদার করে।