ফায়ারওয়াল আপনার কর্পোরেট নেটওয়ার্ক সুরক্ষিত করা এবং অভ্যন্তরীণ সম্পদ রক্ষা করার জন্য একটি মূল ভূমিকা পালন করে। এই নিবন্ধে এমন সুপারিশ এবং সর্বোত্তম অনুশীলন অন্তর্ভুক্ত রয়েছে যা আপনার প্রতিষ্ঠানের জন্য সবচেয়ে শক্তিশালী নিরাপত্তা নীতি তৈরি করতে সহায়ক হবে। আমরা আরও ব্যাখ্যা করি কিভাবে আপনার ফায়ারওয়াল নীতিগুলিকে পরিষ্কার এবং নিয়ন্ত্রণযোগ্য রাখা যায়।
ইন্টারনেট ফায়ারওয়াল আপনাকে আপনার নেটওয়ার্কের ব্যবহারকারী এবং ডিভাইসের জন্য বিভিন্ন ওয়েব সেবা, অ্যাপ্লিকেশন এবং কন্টেন্টে অ্যাক্সেস নিয়ন্ত্রণ করতে সহায়তা করে। WAN ফায়ারওয়াল আপনাকে অভ্যন্তরীণ সম্পদের জন্য এবং ব্যবহারকারী ও সাইটগুলোর মধ্যে WAN ট্রাফিক পরিচালনা করতে সাহায্য করে। এই গাইডটি প্রতিটি ফায়ারওয়ালের নিয়মগুলি কনফিগার এবং সূক্ষ্ম করতে সাহায্য করে যাতে নিরাপত্তা নীতিটি সর্বাধিক কার্যকরী হয়।
নির্দিষ্ট নিয়ম সেটিংস সম্পর্কিত আরও তথ্যের জন্য, দেখতে নিয়ম অবজেক্টের জন্য রেফারেন্স।
সর্বোত্তম অনুশীলন পৃষ্ঠাটি Cato ম্যানেজমেন্ট অ্যাপ্লিকেশন (CMA) এ বিভিন্ন ফায়ারওয়াল চেক দেখায়, এবং আপনার অ্যাকাউন্ট সেগুলির সাথে মিলে গেলে আরও তথ্যের জন্য দেখুন আপনার অ্যাকাউন্টে সর্বোত্তম অনুশীলন পর্যালোচনা।
ফায়ারওয়াল নিয়ম ভিত্তির জন্য দুটি পদ্ধতি রয়েছে: Allowlist এবং Blocklist। ফায়ারওয়াল নিয়মাবলী অনুমতি তালিকায় অন্তর্ভুক্ত করা মানে এই যে নিয়মগুলি নির্ধারণ করে কেমন ট্র্যাফিক ফায়ারওয়াল অনুমতি দেয়। অন্যান্য সমস্ত ট্রাফিক ফায়ারওয়াল দ্বারা ব্লক করা হয়। ফায়ারওয়াল নিয়মাবলী ব্লক তালিকায় অন্তর্ভুক্ত করা এর বিপরীত, নিয়মগুলি ব্লক করা হওয়া ট্র্যাফিক নির্ধারণ করে। অন্যান্য সমস্ত ট্রাফিক ফায়ারওয়াল দ্বারা অনুমতি পায়। প্রতিষ্ঠানগুলি তাদের নির্দিষ্ট প্রয়োজন এবং অবস্থার সাথে সেরা ফিট হওয়া পন্থা নির্বাচন করে।
- একটি অ্যালো তালিকা নিরাপত্তা নীতিতে একটি ANY ANY ব্লক নিয়ম হল চূড়ান্ত নিয়ম যা সমস্ত ট্রাফিক ব্লক করে যা কোনও অনুমতি নিয়মের সাথে মেলে না।
- একটি ব্লক তালিকা নিরাপত্তা নীতিতে একটি ANY ANY অনুমতি নিয়ম হল চূড়ান্ত নিয়ম যা সমস্ত ট্রাফিককে অনুমতি দেয় যা কোনও ব্লক নিয়মের সাথে মেলে না।
প্রতিটি পন্থার জন্য সুপারিশগুলি ইন্টারনেট এবং ওয়ান ফায়ারওয়ালগুলির জন্য যথাক্রমে উল্লেখিত অংশগুলিতে আলোচনা করা হয়েছে।
Cato এর ইন্টারনেট এবং WAN ফায়ারওয়ালে দুটি ভিন্ন ধরনের ফায়ারওয়াল নিয়ম থাকে:
- প্রথাগত ফায়ারওয়াল নিয়ম (সরল নিয়ম হিসাবেও পরিচিত)
- পরবর্তী প্রজন্মের (NG) ফায়ারওয়াল নিয়ম (জটিল নিয়ম হিসাবেও পরিচিত)
এই বিভাগটি এই নিয়ম ধরনগুলির মধ্যে পার্থক্য এবং ফায়ারওয়াল কিভাবে নেটওয়ার্ক ট্রাফিকের সাথে এগুলির প্রয়োগ করা হয় তা ব্যাখ্যা করে।
ক্যাটো আপনাকে একটি নেটওয়ার্ক নিরাপত্তা নীতি নির্ধারণ করতে এবং আপনার নেটওয়ার্কে আসা এবং যাওয়া ট্র্যাফিক নিয়ন্ত্রণ করতে প্রচলিত ফায়ারওয়াল নিয়ম কনফিগার করতে দেয়। Cato এর প্রচলিত ফায়ারওয়াল নিয়মের শুধুমাত্র নিম্নলিখিত এক বা একাধিক সেটিংস থাকে:
ঐতিহ্যবাহী ফায়ারওয়াল ইঞ্জিন প্রথম প্যাকেটের উপর ট্রাফিক মূল্যায়ন করে। উদাহরণস্বরূপ, নেটওয়ার্ক প্রশাসকগণ প্রোটোকল এবং পোর্ট এর উপর ভিত্তি করে ফায়ারওয়াল নিয়ম কনফিগার করতে পারেন। এই ধরনের নিয়মের জন্য, ফায়ারওয়াল প্রথম প্যাকেটের উপর ভিত্তি করে ট্রাফিক অনুমোদন বা ব্লক করার সিদ্ধান্ত নেয়।
নিচের স্ক্রীনশটটি একটি ঐতিহ্যবাহী WAN ফায়ারওয়াল নিয়মের উদাহরণ প্রদর্শন করে যা পোর্ট ৮০ এ TCP ট্রাফিক ব্লক করে:
নিচের চিত্রটি হোস্ট এ থেকে হোস্ট বি পর্যন্ত একটি TCP সংযোগের উদাহরণ এবং ঐতিহ্যবাহী ফায়ারওয়াল ইঞ্জিনের জন্য একটি ব্লক নিয়ম মূল্যায়নের পয়েন্ট দেখায়:
নোট
নোট: ঐতিহ্যবাহী ফায়ারওয়াল ইঞ্জিন প্যাকেটগুলি ড্রপ করে না। PoP গন্তব্যস্থল (হোস্ট বি) এ কোনো প্যাকেট না পাঠিয়ে TCP হ্যান্ডশেক সম্পন্ন করে। কারণটি হল ব্লক বা প্রম্পট ক্রিয়ার জন্য ইন্টারনেট রিডাইরেক্ট পৃষ্ঠা প্রদর্শন করা। রিডাইরেক্ট পৃষ্ঠার আরও তথ্যের জন্য, দেখুন Customizing the Warning / Block Page।
Cato-এর NG ফায়ারওয়াল ইঞ্জিন stateful এবং full awareness ও অ্যাপ্লিকেশন এবং সার্ভিসের নিয়ন্ত্রণের জন্য application-layer data inspection ব্যবহার করে। এটি ডিপ প্যাকেট ইন্সপেকশন (DPI) এবং ট্রাফিক নিরীক্ষণ জন্য একাধিক সুরক্ষা ইঞ্জিন প্রয়োগ করে। NG ফায়ারওয়াল ইঞ্জিনের মূল উপাদান হলো অ্যাপ্লিকেশন সচেতনতা, যা আপনাকে অ্যাপ্লিকেশন এবং সেবা ভিত্তিক ট্রাফিক অনুমোদন বা ব্লক করার নিয়ম সংজ্ঞায়িত করতে দেয়। NG ফায়ারওয়াল ইঞ্জিন অ্যাপ্লিকেশন, কাস্টম অ্যাপ্লিকেশন, বিভাগসমূহ, কাস্টম বিভাগ, সেবাসমূহ, পুরো ডোমেইন নাম (FQDN), ডোমেইন, এবং আরও অনেক কিছু ভিত্তিক প্যাকেট বিষয়বস্তু পরীক্ষা করে। উদাহরণস্বরূপ, আপনি আপনার নেটওয়ার্কে ইউটরেন্ট অ্যাপ্লিকেশন ট্রাফিক ব্লক করার জন্য একটি নিয়ম সংজ্ঞায়িত করতে পারেন। যোগাযোগ প্রবাহের ডেটা বিষয়বস্তু পরীক্ষার জন্য, ফায়ারওয়াল প্রবাহের মধ্যে একাধিক প্যাকেট মূল্যায়ন করে, যার মধ্যে অ্যাপ্লিকেশন এবং বিষয়বস্তু পেলোডের অন্যান্য বৈশিষ্ট্যগুলি শনাক্ত করতে সাহায্য করা প্যাকেটগুলি অন্তর্ভুক্ত থাকে।
নিচের চিত্রটি হোস্ট এ থেকে হোস্ট বি পর্যন্ত একটি TCP সংযোগের উদাহরণ এবং NG ফায়ারওয়াল নিয়মের জন্য মূল্যায়নের পয়েন্ট দেখায়:
এই সেকশনটি একটি শক্তিশালী নিরাপত্তা নীতি জন্য সর্বোত্তম অনুশীলনসমূহ ধারণ করে যা ইন্টারনেট এবং WAN ফায়ারওয়ালের সাথে সম্পর্কিত।
Cato Networks এর WAN এবং ইন্টারনেট ফায়ারওয়াল হলো অর্ডারকৃত ফায়ারওয়াল। ফায়ারওয়াল সংযোগগুলিকে ক্রমান্বয়ে পরিদর্শন করে এবং চেক করে যে সংযোগ কোন নিয়মের সাথে মিলে যায় কিনা। উদাহরণস্বরূপ, যদি কোনো সংযোগ নিয়ম #3 এ মিলে যায়, তাহলে কার্য সংযোগের জন্য প্রয়োগ করা হয়, এবং ফায়ারওয়াল এর পরীক্ষা করা বন্ধ করে দেয়। ফায়ারওয়াল সংযোগে নিয়ম #৪ এবং নীচের নিয়মগুলি প্রয়োগ করতে থাকে না।
যখন ফায়ারওয়াল নিয়মের ক্রম সঠিক নয়, তখন আপনি দুর্ঘটনাক্রমে ট্রাফিক ব্লক বা অনুমতি দিতে পারেন। এটি একটি খারাপ ব্যবহারকারীর অভিজ্ঞতা হতে পারে অথবা নিরাপত্তা ঝুঁকি সৃষ্টি করতে পারে। ফায়ারওয়াল নিয়ম অর্ডার করার বিষয়ে আরও জানতে ফায়ারওয়াল জ্ঞানভান্ডার নিবন্ধগুলি দেখুন।
এটি অধিকাংশ কেসের জন্য প্রস্তাবিত নিয়মভিত্তিক আদেশঃ
- নির্দিষ্ট ব্লক নিয়ম
- সাধারণ অনুমতি নিয়ম
- নির্দিষ্ট অনুমতি নিয়ম
-
যেকোনো যেকোনো নিয়ম
- অ্যালো তালিকা (ডিফল্ট WAN ফায়ারওয়াল) একটি চূড়ান্ত ব্লক নিয়ম ব্যবহার করে
- ব্লক তালিকা (ডিফল্ট ইন্টারনেট ফায়ারওয়াল) ব্যবহারকারীরা একটি চূড়ান্ত অনুমতি নিয়মের সাথে
কারণ Cato ফায়ারওয়াল একটি অর্ডার করা নিয়মভিত্তিক অনুসরণ করে, যদি আপনি NG ফায়ারওয়াল নিয়মগুলি ঐতিহ্যবাহী ফায়ারওয়াল নিয়মগুলির আগে কনফিগার করেন,则 DPI ইঞ্জিনটি অ্যাকশন প্রয়োগ হওয়ার আগে অ্যাপ্লিকেশন বা সেবাটি চিহ্নিত করতে ট্র্যাফিকটি পরীক্ষা করে। এই অর্থ হল প্রথম packet পাস হয়ে গিয়ে গন্তব্যে পৌঁছাতে পারে। অতএব, যাতে ঐতিহাসিক নিয়মগুলি সঠিকভাবে আপনার নেটওয়ার্ক সুরক্ষিত করে এবং প্রথম প্যাকেটের উপর ক্রিয়াঃ ব্যবহার করতে পারে, তাদের উচ্চ অগ্রাধিকার হতে হবে এবং নিয়মভিত্তিক উপরের দিকে প্রয়োজনীয় (যেকোনো NG ফায়ারওয়াল নিয়মের আগে)। আমরা পরামর্শ দিই যে আপনি সমস্ত ঐতিহ্যবাহী ফায়ারওয়াল নিয়মগুলি নিয়মভিত্তিক উপরের দিকে রাখুন, NG ফায়ারওয়াল নিয়মের আগে।
আরও তথ্যের জন্য, উপরোক্তটি দেখুন প্রথাগত বনাম NG ফায়ারওয়াল নিয়ম।
কাটো ডিএনএস ট্রাফিকের সাথে সম্পর্কিত ঝুঁকি আরও কমানোর জন্য ডাব্লিউএএন এবং ইন্টারনেট ফায়ারওয়ালের জন্য এই কনফিগারেশনগুলি সুপারিশ করে:
- ফায়ারওয়াল নীতির মধ্যে DNS over HTTPS - DoH সার্ভিস সীমাবদ্ধ করে DNS এর ধূর্ত ব্যবহারে ব্লক করা
-
ইন্টারনেট ফায়ারওয়ালে, DNS ট্রাফিকের জন্য Parked domain Application ক্যাটাগরি ব্লক করুন
- DNS ফিরবন্ধন আক্রমণগুলি ব্লক করতে WAN বিভাজনগুলি সঠিকভাবে সংজ্ঞায়িত করুন
WAN এবং ইন্টারনেট ফায়ারওয়াল নীতিমালাগুলি প্রতি নিয়মে ১২৮ প্রেডিকেট পর্যন্ত সমর্থন করে।
পূর্বনির্ধারক হল নিয়মের জন্য সংজ্ঞায়িত সেটিংসের ধরন, এবং উপাদান হল মোট আইটেমের সংখ্যা। উদাহরণস্বরূপ, ১০০ জন ব্যবহারকারী এবং ১০টি সাইট নিয়ে একটি নিয়মে ১১০টি উপাদান এবং দুটি পূর্বনির্ধারক (ব্যবহারকারী এবং সাইট) আছে।
গ্রুপগুলি এবং উন্নত গ্রুপসমূহ প্রতিটি একক উপপাদ্য হিসেবে গণনা করা হয়।
ফায়ারওয়াল নিয়মগুলির জন্য ট্র্যাকিং বিকল্পটি আপনাকে ফায়ারওয়াল ট্রাফিক ঘটনাসমূহ এবং বিজ্ঞপ্তিগুলি মনিটর এবং বিশ্লেষণ করতে দেয়। আমরা পরামর্শ দিচ্ছি যে আপনি ব্লক করুন আকশনের জন্য ঘটনাসমূহ তৈরি করতে নিয়মগুলি কনফিগার করুন যাতে আপনি সহজেই সীমাবদ্ধ সামগ্ৰী অ্যাক্সেস করার চেষ্টা করা উৎসসমূহ মনিটর করতে পারেন। আপনি সেই নিয়মগুলির জন্যও ইভেন্টগুলি এবং বিজ্ঞপ্তি কনফিগার করতে পারেন যারা গুরুত্বপূর্ণ নিরাপত্তা ঝুঁকির সঙ্গে ট্রাফিক পরিচালনা করে।
সর্বোত্তম অনুশীলন হিসাবে, আমরা পরামর্শ দিচ্ছি যে সমস্ত ইন্টারনেট ট্রাফিক লগ করার জন্য মনিটরিং ব্যবহার করুন। এটি কার্যকর করতে, চূড়ান্ত ইন্টারনেট ফায়ারওয়াল নিয়ম হিসাবে একটি স্পষ্ট যেকোনও-যেকোনও অনুমতি নিয়ম যোগ করুন এবং এটি ইভেন্ট উৎপন্ন করতে কনফিগার করুন। এটি আপনার নেটওয়ার্কের সব ইন্টারনেট ট্রাফিকের জন্য দৃশ্যমানতা প্রদান করে যাতে আপনি বুঝতে পারেন কিভাবে নেটওয়ার্ক এবং ব্যবহারকারীদের উন্নতভাবে সুরক্ষা করতে পারেন ও ব্যবহারযোগ্যতা রক্ষা করতে পারেন।
ইমেল বিজ্ঞপ্তি এবং ঘটনাসমূহ সম্পর্কে আরও তথ্যের জন্য, দেখুন অ্যাকাউন্ট স্তরের সতর্কতা ও সিস্টেম বিজ্ঞপ্তি।
সময় সেটিংস আপনাকে ফায়ারওয়াল নিয়মের জন্য একটি নির্দিষ্ট সময়কাল নির্ধারণ করতে দেয়। সময়ের সীমার বাইরে, ফায়ারওয়াল এই নিয়মটিকে উপেক্ষা করে। এই বৈশিষ্ট্যটি আপনাকে ইন্টারনেট অ্যাক্সেস সীমাবদ্ধ করতে এবং আপনার নেটওয়ার্কে অ্যাক্সেস নিয়ন্ত্রণ উন্নত করতে দেয়। উদাহরণস্বরূপ, আপনি ইন্টারনেট ফায়ারওয়ালে একটি নিয়ম নির্ধারণ করতে পারেন যা শুধুমাত্র নিয়মিত কাজের সময়কালে সামাজিক বিভাগের অ্যাক্সেস ব্লক করে। অথবা আপনি WAN ফায়ারওয়ালে একটি নিয়ম তৈরি করতে পারেন যা শুধুমাত্র কাজের সময়ে ক্লাউড ডেটা সেন্টার অ্যাক্সেস অনুমতি দেয়। একটি নিয়মের জন্য ক্রিয়াকলাপ বিভাগটি কর্মঘণ্টার সীমাবদ্ধতা জন্য একটি পূর্বনির্ধারিত বিকল্প সরবরাহ করে।
আপনি কাস্টম সময় সীমাবদ্ধতা নির্ধারণ করতে পারেন এবং নিয়মটি নির্দিষ্ট ঘন্টায় সীমাবদ্ধ করতে পারেন। নিশ্চিত করুন যে From সময়টি To সময়ের আগে সেট করা হয়েছে, অন্যথায়, নিয়মটি সঠিকভাবে কাজ করবে না। আপনি যদি এক দিনের শেষ এবং পরের দিনের শুরুর মেয়াদ স্প্যানিং করতে চান তবে দুটি নিয়ম তৈরি করুন এবং প্রতিদিনের প্রাসঙ্গিক ঘন্টার জন্য একটি সীমাবদ্ধতা নির্ধারণ করুন। উদাহরণস্বরূপ, একটি নিয়ম যেখানে সোমবার ২৩:০০-২৩:৫৯ থেকে নির্ধারিত সীমাবদ্ধতা রয়েছে এবং আরেকটি নিয়ম যেখানে মঙ্গলবার ০০:০০ থেকে ০১:০০ পর্যন্ত নির্ধারিত সীমাবদ্ধতা রয়েছে।
নোট
নোট: সময়-প্রতিবন্ধক ফায়ারওয়াল নিয়মগুলি ব্যবহারকারীর ধরনের উপর ভিত্তি করে বিভিন্ন শ্রেণীবিন্যাস রয়েছে:
- সাইটগুলির জন্য, কনফিগার করা সময় অঞ্চল সময়-সীমিত ফায়ারওয়াল নিয়ম প্রয়োগ করতে ব্যবহার করা হবে।
- ZTNA ব্যবহারকারীদের জন্য, সময়-সীমিত ফায়ারওয়াল নিয়ম তাদের সার্বজনীন IP ঠিকানার জিও-লোকেশন অনুযায়ী ভিত্তি করে হবে। যদি এটি উপলব্ধ না হয়, তবে অ্যাকাউন্টের সময় অঞ্চলের জিও-লোকেশন ব্যবহৃত হয়।
একটি সহজ এবং পরিষ্কার ফায়ারওয়াল নিয়মের ভিত্তি একটি দৃঢ় নিরাপত্তা নীতি কার্যকর করতে সাহায্য করে কারণ এটি পরিচালনায় সহজ করে এবং বিভ্রান্তি কম করে। এই অংশের সুপারিশগুলি আপনাকে একটি পরিষ্কার এবং সামঞ্জস্যপূর্ণ নিরাপত্তা নীতি তৈরি করতে এবং ভুল থেকে বিরত রাখতে সাহায্য করে।
যখন আপনি একটি নিয়ম তৈরি করেন, তখন এটিকে একটি নির্দিষ্ট এবং অনন্য নাম দিন। স্বচ্ছতাবদ্ধ নিয়ম নামগুলি দলের অন্যান্য প্রশাসকগণকে নিয়মের উদ্দেশ্য সহজে বুঝতে দেয়। দুর্বলভাবে নামকৃত নিয়মগুলি ভুলের কারণে হতে পারে এবং বিভ্রান্তি তৈরি করতে পারে।
উদাহরণস্বরূপ, ইন্টারনেট ফায়ারওয়ালের একটি নিয়মকে নাম দিন যা জুয়ার ওয়েবসাইটগুলিকে জুয়া ব্লক করুন ব্লক করে সন্বন্ধে, অস্পষ্ট অবরুদ্ধ ওয়েবসাইটগুলি পরিবর্তে।
প্রতিটি ব্যক্তিগত ফায়ারওয়াল নিয়ম নিষ্ক্রিয় বা সক্রিয় করা যেতে পারে। তবে, আমরা সুপারিশ করি যে আপনি নিয়মগুলি শুধুমাত্র একটি সংক্ষিপ্ত সময়ের জন্য নিষ্ক্রিয় করুন। যে নিয়মগুলি অপ্রচলিত এবং আর ব্যবহার হয় না, তাদের নিয়মের ভিত্তি থেকে মুছুন, নিষ্ক্রিয় করার পরিবর্তে। নিস্ক্রিয় নিয়মগুলি নিয়মের ভিত্তি আরও জটিল করে তোলে এবং পরিচালনা করা কঠিন করে।
যখন আপনি একটি ফায়ারওয়াল নিয়ম তৈরি করেন, ব্যবহারকারীদের বা সাইটগুলির একটি গ্রুপ ব্যবহার করুনএবং এই গ্রুপের সদস্যদের জন্য নেটওয়ার্ক অ্যাক্সেস সীমাবদ্ধ করুন। উদাহরণস্বরূপ, আপনি ব্যবহারকারীদের একটি গ্রুপ (সম্পদ > গ্রুপসমূহ) তৈরি করতে পারেন এবং শুধুমাত্র এই গ্রুপের জন্য ইন্টারনেট অ্যাক্সেস ব্লক করতে পারেন।
ব্যতিক্রমসমূহ ফায়ারওয়াল নিয়মের জন্য শক্তিশালী সরঞ্জাম, কিন্তু তারা নিয়মভিত্তিক পড়া কঠিন করে তুলতে পারে। যেসব ক্ষেত্রে আপনি নিয়মে ব্যতিক্রম ব্যবহার করেন, নিয়মের নাম রাখুন যাতে এটা স্পষ্ট হয় যে তারা ব্যতিক্রম অন্তর্ভুক্ত করে। উদাহরণস্বরূপ, সোশ্যাল ব্লক করুন (ব্যতিক্রম সহ)।
যদিও ফায়ারওয়াল নীতিতে যোগ করা যেতে পারে এমন নিয়মের সংখ্যায় কোনো সীমাবদ্ধতা নেই, অত্যন্ত উচ্চ সংখ্যা কর্মক্ষমতায় সমস্যা সৃষ্টি করতে পারে এবং নীতি পরিচালনা কঠিন করে তুলতে পারে। আমরা নিয়মের ভিত্তিটি ডিজাইন করার সুপারিশ করছি যাতে খুব বেশি সংখ্যক নিয়মের প্রয়োজন না হয়।
Cato ইন্টারনেট ফায়ারওয়াল ইন্টারনেট ট্রাফিক পর্যালোচনা করে এবং আপনাকে ইন্টারনেট অ্যাক্সেস নিয়ন্ত্রণের নিয়ম তৈরি করতে দেয়। ইন্টারনেট ফায়ারওয়াল একটি সুরক্ষা নিয়ম সেটের উপর ভিত্তি করে তৈরি যা আপনাকে সাইট এবং ব্যবহারকারীদের থেকে ওয়েবসাইট, বিভাগ, অ্যাপ্লিকেশন ইত্যাদিতে অ্যাক্সেসের অনুমতি দিতে বা ব্লক করতে সহায়তা করে। ইন্টারনেট ফায়ারওয়ালের ডিফল্ট পদ্ধতি হল ব্লকলিস্ট (যেকোনো যেকোনো অনুমতি দিন)।
নিম্নলিখিত স্ক্রিনশটে CMA-র একটি উদাহরণ ইন্টারনেট ফায়ারওয়াল নীতি দেখানো হয়েছে (Security > Internet Firewall):
নোট: ইন্টারনেট ফায়ারওয়াল নিয়মের শীর্ষে একটি সিস্টেম নিয়ম। এই নিয়ম স্বয়ংক্রিয়ভাবে Cato Networks মাস্টার সার্ভিস এগ্রিমেন্ট (MSA) দ্বারা সংজ্ঞায়িত সম্ভাব্য অবৈধ বা ক্ষতিকারক ট্রাফিক ব্লক করে।
Cato ইন্টারনেট ফায়ারওয়াল নীতির জন্য বেস্ট প্র্যাকটিস
এই বিভাগে আপনার অ্যাকাউন্টের জন্য ইন্টারনেট অ্যাক্সেস নিরাপদ করতে সহায়তা করার জন্য সর্বোত্তম অনুশীলন অন্তর্ভুক্ত রয়েছে।
QUIC হল UDP এর উপর ভিত্তি করে তৈরি একটি নতুন মাল্টিপ্লেক্সড ট্রান্সপোর্ট। HTTP/3 কে QUIC এর সুবিধাগুলি যেমন স্ট্রিমগুলির মধ্যে Head-Of-Line বাধা না থাকাতে নেয়ার জন্য ডিজাইন করা হয়েছে। QUIC প্রকল্পটি TCP+TLS+HTTP/2 এর একটি বিকল্প হিসেবে শুরু হয়েছিল, ব্যবহারকারীর অভিজ্ঞতা উন্নত করার লক্ষ্য নিয়ে, বিশেষ করে পেজ লোড সময়। Cato QUIC ট্রাফিক সহ GQUIC (গুগল QUIC) ট্রাফিক শনাক্ত এবং ব্লক করতে পারে।
ফায়ারওয়াল বা নেটওয়ার্ক নিয়মে QUIC ট্রাফিক পরিচালনা করতে, প্রাসঙ্গিক নিয়মে QUIC পরিষেবা এবং GQUIC অ্যাপ্লিকেশন ব্যবহার করুন। এগুলি হল ইন্টারনেট ফায়ারওয়াল নিয়মের উদাহরণগুলি যা একটি অ্যাকাউন্টের জন্য QUIC ট্রাফিক ব্লক করে:
যেহেতু QUIC প্রোটোকল UDP 443 দিয়ে কাজ করে, আবদ্ধ HTTP ট্রাফিক বিশ্লেষণ করা হয় না। এর অর্থ হল অ্যাপ্লিকেশন এনালিটিক্স স্ক্রিনটি অ্যাপ্লিকেশন নিজেই পরিবর্তে শুধুমাত্র QUIC ট্রাফিকের জন্য এন্ট্রি দেখায়।
অতএব আমরা সুপারিশ করি যে ব্রাউজারটি HTTP 3.0 এবং QUIC পরিবর্তে ডিফল্ট HTTP সংস্করণ ব্যবহার করে যাতে QUIC এবং GQUIC ট্রাফিক ব্লক করার নির্দিষ্ট নিয়ম তৈরি করা হয়। এটি QUIC সার্ভিস বা GQUIC অ্যাপ্লিকেশন ব্যবহারের রিপোর্ট করার পরিবর্তে ব্যবহৃত অ্যাপ্লিকেশনগুলির বিশদ বিশ্লেষণ প্রদান করে।
ইন্টারনেট অ্যাক্সেসের অনুমতি দেয় এমন নিয়মের জন্য, আমরা সুপারিশ করি যে আপনি উৎস কলামে নির্দিষ্ট সাইট, হোস্ট বা ব্যবহারকারী নির্বাচন করুন, যেকোনো অপশন ব্যবহার করার পরিবর্তে। যেসব নিয়ম ইন্টারনেটে যেকোনো ট্রাফিকের অনুমতি দেয়, সেগুলো একটি সম্ভাব্য নিরাপত্তা ঝুঁকি কারণ আপনি অপ্রত্যাশিত উৎস থেকে ট্রাফিকের অনুমতি দিচ্ছেন।
নিম্নলিখিত স্ক্রিনশট একটি নিয়ম দেখায় যেখানে উৎস কলাম গ্রুপগুলি সব সাইট এবং সব SDP ব্যবহারকারী সেট করা হয়েছে যেকোনো এর পরিবর্তে:
যেসব ইন্টারনেট ফায়ারওয়াল নিয়ম কিছু সেটিংসে যেকোনো ব্যবহার করে, সেগুলি এমন ইভেন্ট তৈরি করতে পারে যেখানে গুরুত্বপূর্ণ এবং দরকারী তথ্য অন্তর্ভুক্ত না হতে পারে। উদাহরণস্বরূপ, যেকোনো অ্যাপ্লিকেশন সহ কনফিগার করা একটি নিয়ম ইভেন্ট তৈরি করতে পারে যা ট্রাফিক প্রবাহে অ্যাপ্লিকেশনটি চিহ্নিত করে না। এটা ঘটে কারণ ফায়ারওয়াল নিয়মটি অ্যাপ্লিকেশন সনাক্তকরণ সম্পন্ন করার আগে triggers করে, যেহেতু কোন অ্যাপ্লিকেশন নিয়মকে ম্যাচ করে। তারপর, যখন Cato নিরাপত্তা স্ট্যাক অ্যাপ্লিকেশন শনাক্তকরণ প্রক্রিয়া সম্পন্ন করে, এই অ্যাপ্লিকেশন ব্যবহারের ডেটা অ্যাপ্লিকেশন অ্যানালিটিক্স পর্দায় অন্তর্ভুক্ত করা হয়। তবে, ইভেন্টগুলিতে সমস্ত একই তথ্য অন্তর্ভুক্ত না হওয়ায়, অ্যাপ্লিকেশন ব্যবহারের জন্য আরও তদন্ত করা কঠিন হতে পারে।
অ্যাপ্লিকেশন ব্যবহারের বিশ্লেষণ উন্নত করতে সাহায্যের জন্য, আমরা নিয়ম শর্তের জন্য যেকোনো ব্যবহার কমানোর এবং এর পরিবর্তে নির্দিষ্ট অ্যাপ্লিকেশন, সেবাসমূহ, পোর্ট ইত্যাদি সহ গ্রানুলার নিয়ম ব্যবহার করার সুপারিশ করি।
যখন একটি নির্দিষ্ট সেবা বা পোর্টের জন্য যেকোনো ইন্টারনেট বাইরের ট্রাফিকের অনুমতি দেওয়া ফায়ারওয়াল নিয়ম কনফিগার করা প্রয়োজন হয়, তখন আমরা পরামর্শ দিই যে আপনি ঝুঁকিপূর্ণ নিরাপত্তা ঝুঁকিতে থাকা বিভাগ বা অ্যাপ্লিকেশনগুলি ব্লক করুন।
উদাহরণস্বরূপ, যদি আপনার এমন একটি নিয়ম থাকে যা সমস্ত এইচটিটিপি ট্রাফিকের অনুমতি দেয়, তাহলে নিয়মের জন্য এমন বিভাগে ব্যতিক্রম যোগ করুন: চিটিং, জুয়া, সহিংসতা এবং বিদ্বেষ, পার্কড ডোমেইন, নগ্নতা, অস্ত্র, যৌন শিক্ষা, কাল্টস এবং এনোনিমাইজার। এগুলো এমন বিভাগের উদাহরণ যা ক্ষতিকারক বিষয়বস্তু থাকতে পারে, এবং ব্যতিক্রম এই বিভাগগুলির জন্য ইন্টারনেট অ্যাক্সেস ব্লক করে।
সাধারণভাবে আমরা সুপারিশ করি যে ইন্টারনেট ট্রাফিক অনুমতি দেওয়া নিয়মগুলির জন্য, সাধারণ প্লেইন টেক্সট প্রোটোকলের পরিবর্তে নিরাপদ, এনক্রিপ্টেড প্রোটোকলগুলি ব্যবহার করুন। উদাহরণস্বরূপ, FTP এর পরিবর্তে FTPS ব্যবহার করুন, বা টেলনেট বা SNMP এর পরিবর্তে SSH ব্যবহার করুন। নিরাপদ প্রোটোকলার সাথে অনুমোদিত ইন্টারনেট ট্রাফিক এনক্রিপ্ট করা হয় এবং হ্যাকারের জন্য তা চুরি বা ডিক্রিপ্ট করা খুবই কঠিন।
যদি আপনার এমন কোনো নিয়ম থাকে যা কম ঝুঁকিপূর্ণ ওয়েবসাইটগুলিতে অ্যাক্সেসের অনুমতি দেয়, তাহলে আমরা প্রম্পট কার্যক্রমের পরিবর্তে প্রম্পট ব্যবহার করার সুপারিশ করি। যখন ব্যবহারকারীগণ এই ওয়েবসাইটগুলির একটিতে প্রবেশ করার চেষ্টা করেন, প্রম্পট কার্যক্রম তাদের একটি ওয়েব পৃষ্ঠায় পুনঃনির্দেশিত করে যেখানে তারা চালিয়ে যাওয়ার সিদ্ধান্ত নেয়। কারণ এই ওয়েবসাইটগুলি আপনার নেটওয়ার্কের জন্য নিরাপত্তা ঝুঁকি বৃদ্ধি করে, আমরা এটির সাথে মিলে যাওয়া ট্রাফিকের ঘটনাগুলি ট্র্যাক করার সুপারিশ করি।
প্রম্পট কার্যক্রমটি সঠিকভাবে কাজ করার জন্য, আমরা আপনাকে সমর্থিত সমস্ত ডিভাইসে Cato সার্টিফিকেট ইনস্টল করার সুপারিশ করি।
যখন আপনি কোনো নিয়মে বহুসংখ্যক ক্যাটাগরি অন্তর্ভুক্ত করেন, এটি নিয়মের ভিত্তিকে পরিচালনা করা কঠিন করে তোলে। পরিবর্তে আপনি একটি কাস্টম ক্যাটাগরি সংজ্ঞায়িত করতে পারেন যা সমস্ত প্রাসঙ্গিক ক্যাটাগরি অন্তর্ভুক্ত করে, এবং তারপর এই একক কাস্টম ক্যাটাগরিকে নিয়মে যোগ করুন। একটি কাস্টম ক্যাটাগরি ব্যবহার করে সহজ নিয়ম সংজ্ঞায়িত করা নিয়মের ভিত্তি পড়া এবং অনুসন্ধান করা সহজ করে তোলে।
উদাহরণস্বরূপ, আপনি একটি কাস্টম ক্যাটাগরি নামকরণ করতে পারেন ইন্টারনেট প্রোফাইল যা সমস্ত ক্যাটাগরি, অ্যাপস এবং সার্ভিসes অন্তর্ভুক্ত করে যা আপনি অ্যাক্সেসের অনুমতি দিতে চান এবং তারপর কাস্টম ক্যাটাগরিটি প্রাসঙ্গিক ইন্টারনেট ফায়ারওয়াল নিয়মে যুক্ত করুন। নিয়ম আপডেট রাখতে, আপনি সহজেই কাস্টম ক্যাটাগরি সম্পাদনা করতে পারেন এবং প্রয়োজনীয় আপডেটগুলি সরিয়ে বা যোগ করতে পারেন।
এইগুলি হল কাস্টম ক্যাটাগরির সাহায্যে সর্বোত্তম অনুশীলন কার্যকরী করার নিয়মগুলির জন্য অতিরিক্ত পরামর্শগুলি:
- যে সমস্ত ট্রাফিক আপনি প্রম্পট কার্যক্রমের সাথে সংজ্ঞায়িত করতে চান তার জন্য একটি নিয়ম তৈরি করুন। তারপর সমস্ত প্রাসঙ্গিক URLs এবং ক্যাটাগরি অন্তর্ভুক্ত করে একটি কাস্টম ক্যাটাগরি নাম Prompt Sites তৈরি করুন এবং এটি নিয়মে যোগ করুন। প্রম্পট কার্যক্রমের জন্য প্রস্তাবিত ক্যাটাগরিগুলির মধ্যে রয়েছে: প্রতারণা, জুয়া, সহিংসতা এবং ঘৃণা, অরুচিকর, পার্কড ডোমেইন, অস্ত্র, যৌন শিক্ষা, সংস্কার, এবং অ্যানোনিমাইজার। নিয়মের জন্য ট্র্যাকিং সেটআপ করুন যা মেলানো ট্রাফিকের জন্য ঘটনাবলী তৈরি করবে।
- যে সমস্ত ট্রাফিকের জন্য আপনি ব্লক কার্যক্রমের সাথে সংজ্ঞায়িত করতে চান সেই সমস্ত ট্রাফিকের জন্য একটি নিয়ম তৈরি করুন। তারপর সমস্ত প্রাসঙ্গিক URLs এবং ক্যাটাগরি অন্তর্ভুক্ত করে একটি কাস্টম ক্যাটাগরি নাম Block Sites তৈরি করুন এবং এটি নিয়মে যোগ করুন। ব্লক কার্যক্রমের জন্য প্রস্তাবিত ক্যাটাগরিগুলির মধ্যে অন্তর্গত: বোটনেটস, ক্ষতিগ্রস্ত, পর্নোগ্রাফি, কিলগারস, ম্যালওয়্যার, ফিশিং, স্পাইওয়্যার, অবৈধ ড্রাগস, হ্যাকিং, এসপ্যাম, প্রশ্নবিদ্ধ। নিয়মের জন্য ট্র্যাকিং সেটআপ করুন যা মেলানো ট্রাফিকের জন্য ঘটনাবলী তৈরি করবে।
ইন্টারনেট ফায়ারওয়ালের চূড়ান্ত নিয়মটি হল একটি অপ্রকাশ্য যেকোনো - যেকোনো - অনুমতি দিন নিয়ম, তবে আমরা সুপারিশ করি যে আপনি চূড়ান্ত নিয়ম হিসাবে একটি প্রকাশ্য যেকোনো - যেকোনো - অনুমতি দিন নিয়ম যোগ করুন। এইভাবে, আপনি সহজেই সমস্ত ইন্টারনেট ট্রাফিক লগ করতে পারেন, শুধু সমস্ত নিয়মের জন্য Track Events নির্বাচন করুন।
Cato-র ইন্টারনেট ফায়ারওয়াল সম্পূর্ণ টপ-লেভেল ডোমেন (TLDs), যেমন .shop, .info, বা Country-Code TLDs যেমন .cg (Congo) ব্লক করা সহজ এবং কার্যকর করে তোলে। এই সক্ষমতা নিরাপত্তাকে উন্নত করে কারণ এটি প্রতিষ্ঠানগুলিকে তাদের নেটওয়ার্কের মধ্যে উচ্চ-ঝুঁকি বা অপ্রত্যাশিত TLDs-এ অ্যাক্সেস প্রোঅ্যাকটিভভাবে প্রতিরোধ করার সক্ষম করে।
একটি ইন্টারনেট ফায়ারওয়াল নির্দেশের জন্য Domain কে App/Category হিসাবে সংজ্ঞায়িত করুন করতে TLD ব্লক করতে। একটি wildcard ব্যবহার করার প্রয়োজন নেই (যেমন, *.info); উপডোমেনগুলি স্বয়ংক্রিয়ভাবে অন্তর্ভুক্ত হন। এর অর্থ এই যে info যোগ করলে example.info, subdomain.example.info, এবং অন্য কোন ডোমেন .info TLD-এর অধীনে বন্ধ হবে।
The Internet Firewall ব্লক করে স্পেসিফাইড TLD-র অধীনে ডোমেনগুলিতে আউটবাউন্ড ট্রাফিক। ইনবাউন্ড ট্রাফিক ব্লক হয় না। একটি দেশের ডোমেন দ্বারা ব্লক করা ডোমেন নামের উপর নির্ভর করে আইপি ভিত্তিক ফিল্টারিংয়ের পরিবর্তে।
উপরের উদাহরণটি দেখায় যে কোন ডোমেনগুলিকে এই আচরণের সাথে ব্লক নিয়মে যোগ করা যেতে পারে:
- info সমস্ত .info ডোমেন ব্লক করে
- shop সমস্ত .shop ডোমেন ব্লক করে
- cg সমস্ত .cg (Congo) ডোমেন ব্লক করে
Allowlist আচরণ সহ একটি ইন্টারনেট ফায়ারওয়াল বাস্তবায়ন করার মানে হল যে ডিফল্টভাবে ফায়ারওয়াল সমস্ত ইন্টারনেট ট্রাফিক ব্লক করে। নিরাপত্তা নীতির প্রয়োজনীয়তা অনুযায়ী ইন্টারনেট ট্রাফিক বিশেষভাবে অনুমোদন করা নিয়ম ফায়ারওয়ালে যোগ করুন।
CMA-তে একটি Allowlist ইন্টারনেট ফায়ারওয়াল বাস্তবায়ন করতে হলে, নিয়ম ভিত্তির নিচে চূড়ান্ত নিয়মটি অবশ্যই কোনও উৎস থেকে কোনও গন্তব্যে কোনও ট্রাফিক ব্লক করার explicit rule হতে হবে। নিম্নলিখিত উদাহরণ দেখুন:
আমরা আরও সুপারিশ করছি যে আপনি আপনার নেটওয়ার্কে ইন্টারনেট ট্র্যাফিক নিরীক্ষণ এবং বিশ্লেষণ করতে সহায়তাকারী ঘটনাসমূহ উৎপন্ন করতে চূড়ান্ত নিয়মের জন্য ট্র্যাকিং সক্রিয় করুন।
এই বিভাগটি সেই নিয়মগুলির উপর আলোকপাত করে যা আমরা আপনার ইন্টারনেট ফায়ারওয়ালের নিয়মাধারে অন্তর্ভুক্ত করার সুপারিশ করি যা সাদা তালিকা পন্থা ব্যবহার করে।
এইচটিটিপি এবং HTTPS ট্রাফিকের অনুমতি দেওয়ার সময়, আমরা সুপারিশ করি যে আপনি ঝুঁকিপূর্ণ এবং অনুপযুক্ত সামগ্রীর ওয়েবসাইটগুলি ব্লক করুন। এই ওয়েবসাইটগুলি সাধারণত ব্যবসার দ্বারা ব্লক করা হয় এবং ম্যালওয়্যারের সম্ভাব্য উৎসও হতে পারে। প্রতিটি ক্যাটাগরি (সম্পদ > বিভাগসমূহ) বিভিন্ন ধরনের ওয়েবসাইট এবং অ্যাপ্লিকেশন অন্তর্ভুক্ত করে যা আপনি নিয়মগুলিতে সহজে যোগ করতে পারেন। ক্যাটাগরিগুলি অন্তর্ভুক্ত করে, উদাহরণস্বরূপ, Botnets, Compromised, Porn, Keyloggers, Malware, Phishing, Spyware, Illegal Drugs, Hacking, SPAM, এবং Questionable।
নিয়মাধারের শীর্ষে, নিশ্চিত করুন যে সমস্ত DNS সেবাসমূহের অনুমতি দেওয়ার জন্য একটি নিয়ম রয়েছে যা ইন্টারনেট ট্রাফিকের অংশ।
নিম্নলিখিত স্ক্রিনশটটি DNS ট্রাফিকের অনুমতি দেওয়া একটি নিয়মের উদাহরণ দেখায়:
আপনার অ্যাকাউন্ট দ্বারা ব্যবহৃত এবং ইন্টারনেটে অ্যাক্সেস প্রয়োজন এমন সেবাসমূহের অনুমতি দেওয়ার জন্য একটি নিয়ম তৈরি করুন। অতিরিক্তভাবে, যদি এমন সেবাসমূহ থাকে যা কেবল নির্দিষ্ট সাইটের জন্য ব্যবহৃত হয়, তাহলে আপনি সেই সাইটগুলির জন্য কেবলমাত্র অ্যাক্সেসের অনুমতি দেয় এমন একটি পৃথক নিয়ম তৈরি করতে পারেন।
আপনার সংগঠন দ্বারা ব্যবহৃত অ্যাপ্লিকেশনগুলি পূর্বনির্ধারিত অ্যাপ্লিকেশন তালিকা থেকে ইন্টারনেট ফায়ারওয়াল নিয়মগুলিতে যোগ করুন। Cato এই তালিকাটি নতুন অ্যাপ্লিকেশনগুলির সাথে নিয়মিত আপডেট করে। যদি আপনার এমন কোনো অ্যাপ্লিকেশন প্রয়োজন যা তালিকায় উপস্থিত নয়, আপনি একটি কাস্টম অ্যাপ্লিকেশন নির্ধারণ করতে পারেন। কাস্টম অ্যাপ্লিকেশনগুলি কনফিগার করার বিষয়ে আরও তথ্যের জন্য, Custom Apps এর সাথে কাজ করা দেখুন।
ব্লকলিস্ট বিহেভিয়ার সহ একটি ইন্টারনেট ফায়ারওয়াল প্রয়োগ করা অর্থাৎ ফায়ারওয়াল ডিফল্টরূপে সমস্ত ইন্টারনেট ট্রাফিক অনুমতি দেয়। আপনার কর্পোরেট নিরাপত্তা নীতির প্রয়োজন অনুযায়ী ইন্টারনেট ট্রাফিক বিশেষভাবে ব্লক করা নিয়ম ফায়ারওয়ালে যোগ করুন। ব্লকলিস্ট ইন্টারনেট ফায়ারওয়ালের জন্য ডিফল্ট কাঠামো, এটি সেই সমস্ত ট্রাফিকের অনুমতি দেয় যা কোনো নিয়ম দ্বারা ব্লক করা হয় না।
অতিরিক্তভাবে, আমরা সুপারিশ করছি যে আপনি অনাকাঙ্ক্ষিত ইন্টারনেট ট্রাফিক চিহ্নিত করতে একটি শিক্ষাবর্ষ ব্যবহার করুন। এই শেখার সময়কালে, নিয়ম বেসের নীচে একটি অস্থায়ী নিয়ম যোগ করুন যা যেকোনো উৎস থেকে যেকোন গন্তব্য পর্যন্ত যেকোনো ট্রাফিক অনুমতি দেয় এবং ট্র্যাকিং সক্রিয় থাকে। এই নিয়মটি ইন্টারনেটে অ্যাক্সেস করার অনুমতিপ্রাপ্ত প্রতিটি সংযোগের জন্য একটি ঘটনা তৈরি করে। যখন আপনি আপনার অ্যাকাউন্টের জন্য ইন্টারনেট ট্রাফিক পর্যালোচনা করেন, যদি আপনি অপ্রত্যাশিত ট্রাফিক সনাক্ত করেন, আপনি এটি ব্লক করতে একটি নিয়ম যোগ করতে পারেন।
ফায়ারওয়াল ইভেন্ট সম্পর্কে আরও তথ্যের জন্য, দেখুন Analyzing Events in Your Network।
এই বিভাগটি সেই নিয়মগুলিকে বর্ণনা করে যেগুলি ব্লকলিস্ট পদ্ধতি ব্যবহার করে ইন্টারনেট ফায়ারওয়ালের নিয়ম বেসে অন্তর্ভুক্ত করার প্রস্তাব দেওয়া হয়।
সেবাসমূহ যেমন টেলনেট এবং এসএনএমপি v1 & v2 সম্ভাব্য নিরাপত্তা ঝুঁকি, এবং এটি ইন্টারনেট নিয়ম বেসে ব্লক করা যেতে পারে। যদি আপনার সংগঠন এই সেবাসমূহে অ্যাক্সেসের প্রয়োজন হয়, তবে আমরা আপনাকে নির্দিষ্ট ব্যবহারকারী বা গ্রুপের জন্য ব্লক নিয়মে একটি ছাড় যোগ করতে সুপারিশ করি।
নীচের স্ক্রীনশটটি উদাহরণ স্বরূপ টেলনেট এবং এসএনএমপি ট্রাফিক ব্লক করা নিয়ম কীভাবে তৈরি করা যায় এবং আইটি বিভাগের জন্য অ্যাক্সেসের ব্যতিক্রম দেখায়।
বিভাগ অবিভাজিত এমন ওয়েবসাইটগুলিকে অন্তর্ভুক্ত করে যেগুলি ক্যাটেগরি তালিকার কোনো বিদ্যমান ক্যাটেগরিতে উল্লেখযোগ্য ভাবে সংযুক্ত হয়নি। এই ওয়েবসাইটটি আপনার নেটওয়ার্কের জন্য একটি সম্ভাব্য নিরাপত্তা ঝুঁকি হতে পারে। সমস্ত ইন্টারনেট ট্রাফিকের জন্য অবিভাজিত ক্যাটেগরি ব্লক করে একটি নিয়ম তৈরি করুন।
আপনি সাইটসমূহ অবিভাজিত নিরাপদ অ্যাক্সেস সক্রিয় করতে ক্যাটো এর RBI সেবা ব্যবহার করতে পারেন। আরবিআই সম্পর্কে আরও তথ্যের জন্য, দেখুন Securing Browsing Sessions Through Remote Browser Isolation (RBI)।
কিছু দেশ ক্ষতিকারক ট্রাফিক রেজিস্ট্রেশন কোড তৈরি করুন জন্য পরিচিত। যদি আপনার সংস্থার এই দেশসমূহের সাথে ব্যবসা না থাকে, তাহলে আমরা সুপারিশ করি যে আপনি তাদের ইন্টারনেট ক্লাউড অ্যাক্সেস ব্লক করুন এবং সম্ভাব্য ক্ষতিকারক ট্রাফিক কমান। আপনি একটি নিয়ম তৈরি করতে পারেন যা দেশ সেটিং ব্যবহার করে অ্যাপ / বিভাগ অংশে ইন্টারনেট ট্রাফিক ব্লক করতে নির্দিষ্ট দেশগুলিকে আপলোড করা হয়েছে করে।
যদি আপনি নির্দিষ্ট দেশের আপলোড করা হয়েছে থেকে ট্রাফিক ব্লক করতে চান, কিন্তু নির্দিষ্ট পুরো ডোমেইন নাম (FQDN) ক্লাউড অ্যাক্সেস অনুমতি দিতে চান, তাহলে প্রয়োজনীয় পুরো ডোমেইন নাম (FQDN) সহ একটি নিয়ম তৈরি করুন এবং অনুমতি দিন কার্য। তারপর একটি নিম্ন অগ্রাধিকার নিয়ম তৈরি করুন যা দেশ ব্লক করে।
ক্যাটো এর WAN ফায়ারওয়াল ক্যাটো ক্লাউডের সাথে সংযুক্ত বিভিন্ন নেটওয়ার্ক উপাদানগুলোর মধ্যে ট্রাফিক নিয়ন্ত্রণের জন্য দায়ী। WAN ফায়ারওয়ালের সাথে, আপনি আপনার নেটওয়ার্কে WAN ট্রাফিক নিয়ন্ত্রণ করতে পারেন এবং সর্বোত্তম নেটওয়ার্ক নিরাপত্তা অর্জন করতে পারেন।
WAN ফায়ারওয়াল ডিফল্টভাবে যেকোনো যেকোনো ব্লক (অনুমোদিত তালিকা) দৃষ্টিভঙ্গি ব্যবহার করে। এর অর্থ হল সাইটসমূহ এবং ব্যবহারকারীদের মধ্যে যেকোনো সংযোগ ব্লক করা হয় যতক্ষণ না আপনি সংযোগগুলিকে অনুমতি দেওয়ার জন্য নির্দিষ্ট WAN ফায়ারওয়াল নিয়ম সংজ্ঞায়িত করেন।
নিম্নলিখিত স্ক্রিনশটটি CMA-তে একটি উদাহরণ WAN ফায়ারওয়াল নীতি দেখায় (Security > WAN Firewall)
এই সেকশনটি আপনার অ্যাকাউন্টের জন্য WAN সংযোগ নিরাপদ করতে সাহায্য করার জন্য সর্বোত্তম অনুশীলনসমূহ অন্তর্ভুক্ত আছে।
WAN ফায়ারওয়ালের জন্য সোনার নিয়ম হল শুধুমাত্র প্রয়োজনীয় ট্রাফিককে অনুমতি দেওয়া। এই অনুমতি নিয়মগুলির জন্য, ব্যবহৃত নির্দিষ্ট সেবাসমূহ এবং পোর্টগুলি যোগ করুন এবং WAN ফায়ারওয়ালের জন্য বর্ধিত নিরাপদ সংযোগ প্রদান করুন।
নিচের স্ক্রীনশটটি একটি নমুনা WAN ফায়ারওয়াল নিয়ম দেখায় যা সকল ZTNA ব্যবহারকারীদের জন্য ডেটাসেন্টার সাইটে অ্যাক্সেসের অনুমতি দেয়। এই নিয়মটি নিরাপত্তা উন্নত করে কারণ এটি শুধুমাত্র ZTNA ব্যবহারকারীদের জন্য RDP ট্রাফিকের অনুমতি দেয়।
WAN ফায়ারওয়াল নিয়মগুলি যা যেকোনো উৎস বা গন্তব্যস্থান এ অ্যাক্সেস দেয় তা নির্দিষ্ট সাইট এবং ব্যবহারকারীদের চেয়ে কম নিরাপদ। আরও নির্দিষ্ট সেটিংসগুলি আপনাকে অ্যাকাউন্টের জন্য WAN সংযোগযোগ্যতার জন্য আরও বাড়ানো নিয়ন্ত্রণ প্রদান করে।
নিম্নলিখিত স্ক্রিনশটে একটি WAN ফায়ারওয়াল নিয়মের উদাহরণ দেখানো হয়েছে যা ট্রাফিক উৎস এবং গন্তব্যস্থল সেটিংসে নির্দিষ্ট সাইট ব্যবহার করে:
কিছু সেটিংসে "Any" ব্যবহার করে WAN ফায়ারওয়াল নিয়মগুলি কনফিগার করার সময়, নিয়মগুলির সাথে সম্পর্কিত ইভেন্টগুলি সকল প্রাসঙ্গিক ডেটা অন্তর্ভুক্ত না করে এবং এটি অ্যাপ ব্যবহারের বিশ্লেষণকে আরও কঠিন করতে পারে। যেকোনো সেটিংস ব্যবহার করে নিয়মের জন্য ইভেন্টগুলিতে আরও তথ্যের জন্য, উপরে দেখুন সূক্ষ্ম নিয়ম দিয়ে ইভেন্ট ডেটা উন্নত করা। অ্যাপ্লিকেশন ব্যবহারের বিশ্লেষণ উন্নত করতে সাহায্যের জন্য, আমরা নিয়ম শর্তের জন্য যেকোনো ব্যবহার কমানোর এবং এর পরিবর্তে নির্দিষ্ট অ্যাপ্লিকেশন, সেবাসমূহ, পোর্ট ইত্যাদি সহ গ্রানুলার নিয়ম ব্যবহার করার সুপারিশ করি।
Allowlist আচরণ সহ একটি WAN ফায়ারওয়াল বাস্তবায়ন করার মানে হল যে ডিফল্টভাবে ফায়ারওয়াল সাইট, সার্ভার, ব্যবহারকারী, ইত্যাদির মধ্যে সমস্ত WAN সংযোগ ব্লক করে। ফায়ারওয়ালে এমন নিয়ম যোগ করুন যা বিশেষভাবে আপনার নেটওয়ার্কে WAN ট্রাফিক সংযোগকে অনুমতি দেয়। Allowlisting হল Cato WAN ফায়ারওয়ালের জন্য ডিফল্ট কাঠামো, WAN নিয়ম ভিত্তির অন্তর্নিহিত চূড়ান্ত নিয়ম হল ANY ANY Block।
আমরা দৃঢ়ভাবে সুপারিশ করি যে আপনি WAN-এ যেকোনো উৎস থেকে যেকোনো গন্তব্যে সংযোগের নিয়ম না যুক্ত করেন। এই ধরনের যেকোনো যেকোনো অনুমতি নিয়ম আপনার নেটওয়ার্ককে উল্লেখযোগ্য নিরাপত্তা ঝুঁকিতে প্রকাশ করে।
একটি অনুমোদিত তালিকা WAN ফায়ারওয়াল জন্য একটি শক্তিশালী নিরাপত্তা নীতি শুধুমাত্র আপনার সংগঠন দ্বারা ব্যবহৃত নির্দিষ্ট সেবা এবং অ্যাপ্লিকেশনগুলির নিয়ম অন্তর্ভুক্ত করে। সাইটসমূহের মধ্যে ট্র্যাফিকের জন্য যেকোনো সেবা অনুমোদনের নিয়ম ব্যবহার করার পরিবর্তে, এই নিয়মে সেবা বা অ্যাপ্লিকেশনগুলি যোগ করুন। সেবা পোর্টের চেয়ে নির্দিষ্ট হওয়ায়, আমরা সম্ভব হলে পোর্টের পরিবর্তে সেবা ব্যবহার করে নিয়ম সংজ্ঞায়িত করার সুপারিশ করি।
সংগঠনগুলো দ্বারা প্রায়শই ব্যবহৃত সেবার উদাহরণগুলো হল: DNS, DHCP, SMB, ডেটাবেস, Citrix, RDP, DCE/RPC, SMTP, FTP, ICMP, NetBIOS, NTP, SNMP, ইত্যাদি।
সংগঠনগুলো দ্বারা প্রায়শই ব্যবহৃত অ্যাপ্লিকেশনের উদাহরণগুলি অন্তর্ভুক্ত করে: SharePoint, Slack, Citrix ShareFile ইত্যাদি।
আপনি WAN ফায়ারওয়ালের জন্য সমস্ত অ্যাপ্লিকেশন এবং সার্ভিস অন্তর্ভুক্ত করে একটি কাস্টম ক্যাটাগরি তৈরি করতে পারেন, এবং তারপর প্রাসঙ্গিক নিয়মগুলিতে এই কাস্টম ক্যাটাগরি যোগ করুন। অ্যাপ্লিকেশন বা সেবা যে ফায়ারওয়ালে পূর্বনির্ধারিত নয় তার জন্য কাস্টম অ্যাপ্লিকেশন ব্যবহার করুন। এটিও ইভেন্টগুলিকে অধিকতর বিশ্লেষণের জন্য অ্যাপ্লিকেশনের নাম অন্তর্ভুক্ত করার অনুমতি দেয়।
ব্লকলিস্ট বিহেভিয়ার সহ একটি WAN ফায়ারওয়াল প্রয়োগ করা অর্থাৎ ফায়ারওয়াল ডিফল্টরূপে সমস্ত সাইট, সার্ভার, ব্যবহারকারী ইত্যাদির মধ্যে WAN সংযোগকে অনুমতি দেয়। ক়োম্পানি নিরাপত্তা নীতির প্রয়োজন অনুসারে WAN ট্র্যাফিক বিশেষভাবে ব্লক করার নিয়মগুলি ফায়ারওয়ালে যোগ করুন। আমরা WAN নিরাপত্তা নীতির জন্য এই পদ্ধতি ব্যবহার করার সুপারিশ করি না। তবে, যদি আপনার সংগঠন এটি ব্যবহার করে, তবে নিশ্চিত করুন যে আপনি অপ্রয়োজনীয় WAN ট্র্যাফিক ব্লক করুন।
CMA-তে একটি Blocklist WAN ফায়ারওয়াল বাস্তবায়ন করতে, নিয়ম ভিত্তির নিচে একটি ANY ANY Allow নিয়ম থাকে।
ব্লকলিস্ট WAN ফায়ারওয়ালের জন্য, আমরা একটি শক্তিশালী নিরাপত্তা নীতি তৈরি করতে সহায়তার জন্য চূড়ান্ত যেকোনো যেকোনো অনুমতি নিয়মের উপরে নিম্নলিখিত নিয়মগুলি যোগ করার সুপারিশ করি:
- নিরাপত্তা ঝুঁকি এবং পরিচিত দুর্বলতাসমূহ যেমন SMBv1 রয়েছে এমন সেবাকে ব্লক করার নিয়মসমূহ
- যে সাইটগুলি যোগাযোগের প্রয়োজন নেই তাদের মধ্যে সংযোগ ব্লক করার নিয়মগুলো
0 মন্তব্য
একটি মন্তব্য করার জন্য সাইন ইন করুন করুন।