Configuración de la política de Firewall LAN de Socket

Nota

Nota: Migración automática próxima de las reglas de Firewall LAN del sitio a la Política de cuenta.

Recientemente lanzamos el Firewall LAN Socket Next Gen que proporciona configuraciones a nivel de cuenta y aplicación de Capa 7. A partir del 1 de julio de 2025, migraremos las políticas de enrutamiento BGP de LAN existentes a nivel de sitio al nivel de política de cuenta.

  • Cada regla a nivel de sitio se configurará automáticamente en la nueva política como una Regla de Red para especificar el enrutamiento y una Regla de Firewall para permitir o bloquear el tráfico
  • Las reglas para cada sitio se agregarán como una sección separada en la base de reglas
  • La migración es un proceso automático sin interrupción del servicio anticipada
  • Si está interesado en migrar su póliza antes del 1 de julio, comuníquese con ea@catonetworks.com

Visión General

El comportamiento predeterminado para el Socket es reenviar todo el tráfico WAN e Internet al PoP para la inspección de seguridad. Esto incluye tráfico LAN entre segmentos de red adyacentes dentro de un sitio (por ejemplo, VLANs).  En algunos escenarios, es posible que desee anular el comportamiento predeterminado y configurar el Socket en un sitio para permitir o bloquear la comunicación entre dos segmentos de red o hosts, directamente en el Socket, sin enviar el tráfico al PoP de Cato.  Con la política de Firewall LAN, puede configurar reglas para permitir o bloquear el tráfico LAN directamente en el Socket. Opcionalmente, puede habilitar el seguimiento (eventos) para cada regla.

Nota

Nota: El Firewall LAN es una mejora de la política de Routing Local. Para más información, consulte a continuación Requisitos previos para usar el Firewall LAN y Actualización de la política de Enrutamiento Local al Firewall LAN.

Comprensión del Firewall de LAN

El Firewall LAN le permite bloquear o permitir ciertos tipos de tráfico a nivel de Socket, creando políticas de acuerdo a sus necesidades.

El siguiente diagrama muestra una regla del Firewall LAN que permite el tráfico de LAN1 a LAN2.

imagen.png

Este diagrama muestra una regla del Firewall LAN que bloquea el tráfico de LAN1 a LAN2.

image.png

Usando el Firewall de LAN - Base de Reglas de Ejemplo

Lo siguiente es una muestra de la base de reglas de configuración del Firewall LAN. Cada regla se explica a continuación:

imagen.png

Regla 1 - 'Bloquear invitados' - Esta regla impide que los hosts que utilizan la red 'Guest-Wifi' accedan a cualquier otro host o recurso interno en el sitio mientras rastrean estos eventos. Los hosts aún pueden acceder a Internet.

Regla 2 - 'Permitir compartir archivos' - Esta regla permite solo a los hosts conectados a la red 'Corp-Users' conectarse a servidores en la red local 'File-Servers' a través de HTTPS o SMB (TCP/445). Cada flujo se rastrea en los eventos. Con esta política de permitir localmente, la sobrecarga del túnel para SMB y HTTPS entre las redes disminuye ya que el tráfico se gestiona localmente en el sitio y no atraviesa el túnel.

Regla 3 - 'Permitir servidor CCTV' - Esta regla permite a los hosts de la red 'IOT-Cameras' conectarse a la red 'IOT-File-Servers' solo a través de HTTPS. Cada flujo se rastrea en los eventos. 

Comportamiento implícito: Cualquier otro tráfico de host que no esté definido en la base de reglas será enviado al PoP de Cato para su inspección antes de regresar a 'File-Servers'. Por ejemplo, cualquier tráfico de 'Corp-Users' a 'File-Servers' sobre TCP/21 (FTP) no coincidirá con la base de reglas de ejemplo y activará el comportamiento predeterminado (enviar tráfico al PoP de Cato).

Trabajando con la Base de Reglas del Firewall de LAN

La política de firewall LAN se procesa en un orden desde la primera hasta la última regla configurada. Una vez que se encuentra una regla, se aplica una acción. De lo contrario, el tráfico se envía al PoP de Cato por defecto.

Las reglas en la parte superior de la base de reglas tienen una prioridad más alta porque se aplican a las conexiones antes que las reglas más abajo en la base. Por ejemplo, si una conexión coincide con la regla #3, se aplica la acción a la conexión y el firewall deja de inspeccionarla. El firewall no continúa aplicando las reglas #4 y siguientes a la conexión. Puede aumentar la eficiencia del firewall LAN y dar alta prioridad a las reglas que coincidan con el mayor número de conexiones.

Rendimiento para el Firewall de LAN

La siguiente tabla representa el rendimiento soportado sobre el Firewall LAN para cada modelo de Socket.

Nota: Los valores representados a continuación se basan en pruebas unidimensionales de Socket v19.0 en un entorno de laboratorio.

Modelo Socket

TCP BW

UDP BW

X1500

hasta 1Gb/seg

hasta 2Gb/seg

X1600

hasta 8Gb/seg

hasta 8.5Gb/seg

X1700

hasta 10Gb/seg

hasta 12Gb/seg

Requisitos previos para usar el Firewall de LAN

El Firewall LAN es una mejora de la política de Routing Local existente. Esta función está habilitada por sitio.

Make sure that all Sockets in the site are running Socket version 18.0 or higher.

Actualizar las Reglas de Enrutamiento Local al Firewall de LAN

  • Si no hay reglas de Routing Local configuradas para el sitio, puede actualizar inmediatamente a la política de Firewall LAN

  • Si hay reglas de Routing Local configuradas para el sitio, migre las reglas de Routing Local al firewall LAN, vea Actualización de la política de Routing Local al Firewall LAN

  • Después de actualizar al Firewall LAN, habilite la función (toggle LAN Firewall Enabled en la parte superior derecha de la pantalla).

    Cuando esta función está deshabilitada, todo el tráfico se envía al PoP.

Configuración del Firewall de LAN

Esta sección explica cómo definir reglas para el Firewall LAN y los objetos, puertos y servicios que puede configurar.

Definiendo una Regla de Firewall de LAN

Crea una nueva regla de Firewall LAN y configura los ajustes de la regla para gestionar el routing del tráfico LAN. Utiliza la opción Add Rule Below para agregar fácilmente una regla en el lugar correcto en la base de reglas.

Nota

Nota: Aplicar la nueva configuración al Socket puede tardar hasta un minuto.

Para definir una regla de Firewall LAN:

  1. Desde el menú de navegación, haz clic en Network > Sites y selecciona el sitio.

  2. Desde el menú de navegación, haz clic en Site Configuration > LAN Firewall.

  3. Haz clic en New. Se abre el panel Add Rule.

  4. En la sección General:

    1. Introduce un Nombre para la nueva regla.

    2. Por defecto, la regla está Habilitada. Puede desactivar la regla usando el toggle Habilitada.

    3. Bajo Dirección, seleccione To para habilitar el tráfico en una sola dirección, o Both para habilitar el tráfico bidireccional.

    4. Elija el Orden de Regla. Recomendamos que defina un orden de regla alto para reglas más específicas y un orden bajo para reglas menos específicas

      Nota: Por favor, consulte la sección "Trabajando con la Base de Reglas del Firewall LAN" para más información sobre la configuración del orden de reglas.

      image.png

  5. Expanda las secciones Source y Destination, y defina las entidades de origen y destino del tráfico para esta regla.

  6. Expanda la sección Service/Port, y seleccione los protocolos a los que se aplica la regla.

    1. If selected Port/Protocol, define the relevant port and protocol as you wish in the "Protocol/Port" format (i.e. TCP/80-88, UDP/53, ICMP, etc.)

    2. Si selecciona Simple Service, seleccione los servicios de Capa 4 relevantes según lo predicho.

      La lista de servicios predefinidos se basa en la definición RFC de cada servicio.

  7. Sección NAT:

    1. Habilitar NAT - Opcionalmente, habilite NAT en la interfaz de salida. Esto traduce todas las IPs originarias a una IP NAT.

    imagen.png

  8. En la sección Acciones:

    1. Permitir localmente - Esta acción permite el tráfico local coincidente entre las redes LAN del Socket.

    2. Bloquear localmente - Esta acción bloquea el tráfico local coincidente entre las redes LAN del Socket.

    Nota:  Si el tráfico no coincide con ninguna de las reglas, la acción predeterminada es Enviar a PoP.

  9. En la sección Acciones bajo Rastrear:

    1. Opcionalmente, active la casilla de verificación de Evento. Cuando se encuentra una coincidencia, se genera un evento para esta regla.

  10. Haz clic en aplicar, y luego haz clic en Guardar.

Reglas de NAT y Firewall de LAN

Existen escenarios que requieren el uso de NAT entre las redes LAN dentro de un sitio, esto puede ser entre dos (o más) redes directamente conectadas, o entre redes enrutadas (rutas estáticas o rutas BGP).

  1. NAT es configurable solo en la dirección To.

  2. Después de guardar la configuración para la regla, la aplicación de gestión de Cato calcula automáticamente la Red de Salida y la IP de Salida para la regla.

Objetos de Origen y Destino del Firewall de LAN

Se pueden definir los siguientes objetos de origen y destino:

  • Rango Global - Rango nativo para la interfaz LAN de un sitio.

  • Host - Hosts y servidores definidos en el sitio.

  • Interface Subnet - VLAN, routed, or direct ranges, or a secondary AWS vSocket native range.

  • Network Interface -  Subnets and network ranges defined for the LAN interfaces of a site.

  • Any - Any source or destination within the site.

Servicios y Puertos del Firewall de LAN

La siguiente es una lista predefinida de servicios disponibles:

Servicio

Puerto

Protocolo

RDP

3389

TCP

MYSQL

3306

TCP

HTTP

80

TCP

HTTPS

443

TCP

SSH

22

TCP

SMTP

25

TCP

DNS TCP

53

TCP

DNS UDP

53

UDP

Monitorización y Eventos

Puede habilitar opcionalmente el seguimiento de eventos para cada regla definida en el Firewall LAN.

Nota

Nota: El tráfico del firewall LAN no será visible en las tablas de análisis de aplicación y Network.

Los eventos aparecen bajo Site Monitoring > Events.

  • Tipo de Evento - Seguridad

  • Subtipo - Cortafuegos LAN

Para filtrar eventos de firewall LAN:

  1. Vaya a Inicio > Events.

  2. Haga clic en Filtro y seleccione el campo, operador y valor relevante.

    1. Campo - Se pueden seleccionar varios campos como filtro. Por ejemplo, podemos optar por filtrar "Site origen" o "Sub-Tipo" (Firewall LAN)

    2. Operador - Escoja incluir o excluir valores específicos (Es, No es) o múltiples valores (En, No en), por ejemplo "Site origen" con operador "En" permite seleccionar varios Sites origen como valores.

    3. Valor - El valor para el campo.

  3. Haga clic en Agregar filtro.

image.png

En el siguiente ejemplo, puede ver los detalles de un evento de Firewall LAN.

  • Acción - Bloquear o Monitor. (El tráfico fue bloqueado o permitido localmente por el Firewall LAN)

  • Nombre de host configurado - Información adicional del host sobre el IP fuente, si está disponible.

  • Sub-Tipo - Firewall LAN.  Todos los eventos generados por el Firewall LAN tendrán este sub-tipo.

  • Regla - El nombre de la regla definida que generó este evento.

imagen.png

A diferencia del firewall WAN o Internet, donde los eventos son generados por el Cato PoP, los eventos del Firewall LAN se generan en el Socket mismo. Estos eventos se envían a través del túnel de Site para ser almacenados en el Cato Management Application. 

Todo el tráfico de flujo a través del túnel tiene prioridad antes que los eventos de Firewall LAN, que tienen una prioridad de QoS predeterminada de 255 y pueden generar un sobrecarga adicional. 

Cato recomienda realizar el seguimiento solo de reglas de Firewall LAN de alta prioridad para evitar una sobrecarga adicional a través del túnel.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios