Por defecto, el tráfico LAN detrás de un sitio es enviado a través del WAN al PoP para inspección del tráfico. Esto significa que para los hosts detrás del mismo sitio, el tráfico se envía por el último tramo al PoP y luego se devuelve al mismo sitio. También puede usar el Socket como un firewall LAN para segmentar el tráfico localmente, sin necesidad de un dispositivo firewall de terceros.
El Firewall LAN de Socket Next Gen le permite aplicar controles de política de capa 2 a capa 7 (capa de aplicación) al tráfico este-oeste mientras enruta y segmenta el tráfico detrás del sitio. Enrutar el tráfico localmente también garantiza que los entornos críticos como OT e IoT puedan seguir operando en la red local, incluso si la conexión a Internet falla.
El Firewall LAN es una política a nivel de cuenta que le permite configurar reglas para aplicar políticas corporativas en múltiples sitios, sin configurar manualmente cada sitio. Para más información sobre la configuración de reglas de Firewall LAN de próxima generación, consulte Gestión de la Política de implementación del Firewall LAN de próxima generación de Socket.
Para información sobre el rendimiento del Firewall LAN de próxima generación para diferentes tipos de Socket, consulte Umbrales y Límites de Cato Cloud.
Ejemplo Corp tiene 200 sucursales globales que usan el mismo diseño de red LAN. Esto incluye VLAN ID 10 para servidores y VLAN ID 20 para dispositivos OT críticos para el negocio. El equipo de red decide enrutar el tráfico entre estas VLANs localmente, lo que permite que los dispositivos OT y los servidores continúen comunicándose incluso si hay una falla del ISP. Además, solo quieren permitir protocolos específicos entre las VLANs.
El equipo de red crea una regla de Red LAN con el Sitio configurado como un objeto de Grupo que contiene los 200 sitios relevantes, y el Transporte configurado como LAN para enrutar el tráfico localmente. Luego crean una regla de Firewall LAN bajo la regla de Red LAN, con VLAN 10 y VLAN 20 configurados como Fuente y Destino, y Dirección como Ambos. En Servicio/Puerto, configuran los protocolos que desean permitir, y la Acción está configurada como Permitir.
Esta única regla de Firewall LAN aplica la política a cada uno de los 200 redes locales, sin tener que configurar reglas separadas para todos los sitios.
-
El firewall de LAN avanzado de Socket está disponible solo para cuentas que no tienen configurada una política de firewall de LAN a nivel de sitio. En el futuro, Cato convertirá las políticas de firewall de LAN a nivel de sitio en la política de firewall de LAN avanzado de Socket.
-
Compatible desde Socket v22 y superior
El rendimiento máximo soportado para el Socket Next Gen Firewall de LAN está basado en una mezcla de aplicaciones TCP y UDP definida por Cato.
|
Modelo de Socket |
Rendimiento de L4 Mbps |
Rendimiento de L7 Mbps |
|---|---|---|
|
X1500 |
1000 |
740 |
|
X1500B |
1000 |
1000 |
|
X1600 y X1600 LTE |
8000 |
2500 |
|
X1700 |
8000 |
8000 |
|
X1700B |
13000 |
10000 |
Nota: El rendimiento y el throughput se miden bajo condiciones de prueba ideales basado en MTU de paquetes 1500.
Esta sección explica los conceptos básicos para entender el papel y las capacidades del firewall LAN de capa 7.
Para comprender el rol del Firewall LAN y su relación con otras políticas de Cato, es importante entender que Cato identifica el tráfico como uno de tres tipos diferentes: LAN, WAN o Internet. Comprender las distinciones y características de estos tipos de tráfico es crucial para la planificación óptima de políticas y el uso de las diferentes políticas de firewall de Cato. Para más información, consulta Introducción a los Firewalls de Cato.
El tráfico entre hosts dentro del mismo sitio puede ser manejado como tráfico LAN (enrutado por el Socket y no enviado al PoP), o tráfico WAN (enviado al PoP y luego al sitio), dependiendo de su configuración. El comportamiento predeterminado para el Socket es enrutar todo el tráfico al PoP para inspección y el PoP bloquea o permite el tráfico. Sin embargo, el tráfico que coincide con la política de Firewall LAN se enruta localmente y no se envía al PoP.
Cuando el tráfico de un host en la LAN llega al Socket, el Socket verifica para ver si el tráfico coincide con una regla en la política de firewall LAN.
-
Si coincide con una regla, el Socket enruta el tráfico al destino local sin enviarlo al PoP.
-
Si el tráfico no coincide con una regla de firewall LAN, se envía al PoP para ser manejado por el firewall WAN o Internet.
Para más información sobre cómo definir el tráfico de LAN, vea a continuación, La Política de implementación del Firewall LAN.
Lo siguiente es un diagrama de máquina de estados mostrando cómo el Firewall LAN del Socket maneja el tráfico de un host en la red local.
El firewall LAN admite inspección de capas 2 a 4 y capa 7 (capa de aplicación), permitiéndole controlar el tráfico en función de aplicaciones, servicios y contenido específico dentro de las aplicaciones. Por defecto, los sitios admiten funcionalidad de capas 2-4, y usted define en la política qué sitios también están habilitados con capacidades de capa 7. Esta sección describe la diferencia entre el firewall de capas 2-4 y el de capa 7.
Los firewalls de capas 2-4 filtran el tráfico en función de criterios básicos como direcciones IP, puertos y protocolos de capa de transporte como TCP o UDP. Para estos criterios, el firewall Socket puede decidir permitir o bloquear el tráfico basado en el primer paquete. Aunque eficaz para el control básico del tráfico, este enfoque no analiza los datos reales que se transmite dentro de los paquetes.
Los firewalls de capa 7 (Capa de Aplicación) inspeccionan la carga útil del paquete para identificar aplicaciones específicas, dominios o protocolos. Por ejemplo, un firewall de capa 7 puede distinguir entre tráfico SMBv1 y SMBv3 o identificar la aplicación específica que genera el tráfico (como Office 365). Esta inspección más profunda permite una aplicación de política más granular y un control mejorado sobre el tráfico de la red local. Sin embargo, debido a que la inspección de capa 7 requiere analizar paquetes adicionales para determinar los datos de la aplicación (por ejemplo, extraer un nombre de dominio en el tráfico HTTP), y mayores recursos de Socket que el procesamiento de capa 4. Esto debe tomarse en consideración al planificar su política de firewall LAN corporativa y decidir qué sitios habilitar con capacidades de capa 7.
Cuando habilita un sitio con capacidades de Capa 7, el Socket realiza una inspección profunda de paquetes en el tráfico, independientemente de si una regla de Firewall de LAN está configurada, siempre que haya tráfico definido para usar el transporte de LAN (vea a continuación, La Política de implementación del Firewall LAN). Esto significa que los datos de capa 7 aparecen en eventos para el tráfico del sitio, incluidos campos como Aplicación, Riesgo de App, y App personalizada.
El Socket aplica la política de firewall LAN determinando primero una decisión de enrutamiento para el tráfico LAN - ya sea para enviar el tráfico al PoP o para enrutarlo localmente. En segundo lugar, se aplican las reglas de firewall LAN para determinar si el tráfico está bloqueado o permitido.
Para implementar esto, la política de firewall LAN incluye reglas de Red LAN y reglas de Firewall LAN. Las reglas de Red LAN definen cómo el Socket enruta el tráfico, localmente sobre el LAN, o como tráfico WAN enviado a un PoP. Una vez que se coincide con una regla de Red LAN y define el Transporte como LAN, las reglas asociadas de Firewall LAN determinan si el tráfico está permitido o bloqueado, y el Socket aplica la regla. Si el tráfico no coincide con ninguna regla de Red LAN, se trata como tráfico WAN y se envía al PoP.
Las reglas de Firewall LAN están vinculadas a una única regla de Red LAN, asegurando que las acciones del firewall sean específicas para el tráfico definido por esa regla de Red LAN.
Las siguientes secciones describen las características de las reglas de Red LAN y Firewall LAN.
Las reglas de Red LAN controlan qué transporte (LAN o WAN) se usa para enrutar el tráfico entre varios hosts de red o segmentos. Esta es una política global configurada para toda la cuenta, y no por sitios específicos. Esto significa que cada regla puede ser configurada para aplicarse a múltiples sitios en la cuenta. Por ejemplo, si establece múltiples sitios usando la misma configuración de VLAN, puede crear una única regla que se aplique a las VLANs en cada sitio definido en la regla.
Las reglas de Red LAN toman decisiones de enrutamiento de capa 4 y no usan funcionalidad de capa 7. Por ejemplo, puede definir reglas de Red con condiciones para sitios, VLANs, o protocolos específicos, pero no puede hacer una condición basada en la aplicación.
Una regla de Red LAN puede ser padre de múltiples reglas de Firewall LAN debajo de ella. Hay una regla de Bloqueo por defecto ANY-ANY configurada como la última regla bajo una regla de Red LAN. Por lo tanto, si el tráfico coincide con una regla de Red LAN pero no coincide con una regla de Firewall LAN, se bloquea.
Las reglas de Firewall LAN permiten o bloquean tipos específicos de tráfico, y rastrean estos eventos para propósitos de monitoreo y cumplimiento. Cada regla de Firewall LAN está directamente vinculada a una regla de Red LAN padre específica y se limita al alcance de origen y destino de la regla padre. Las reglas de Firewall LAN admiten hasta segmentación de capa 4 por defecto, incluyendo segmentación basada en direcciones MAC. Además, para los sitios configurados para funcionalidades de capa 7, las reglas de Firewall LAN pueden incluir filtrado inteligente de tráfico basado en aplicaciones, dominios y otras condiciones de capa 7.
Hay una regla de Bloqueo ANY-ANY por defecto configurada como la última regla bajo cada regla de Red LAN. Por lo tanto, si el tráfico coincide con una regla de Red de LAN, pero no coincide con una regla de Firewall de LAN, se bloquea. Este comportamiento implícito refuerza un verdadero enfoque de confianza cero para la segmentación en instalaciones, asegurando que solo el tráfico explícitamente permitido puede atravesar la red local.
El recuento de aciertos te ayuda a identificar reglas no utilizadas que se pueden eliminar de una política, y optimizar la configuración de reglas para coincidir mejor con el alcance del tráfico requerido. El recuento de aciertos para una regla se basa en la cantidad de eventos generados por la regla. Si una regla no genera eventos, el recuento de impactos es cero.
El recuento de impactos contiene dos números:
-
El número aproximado de eventos generados por cada regla en la política
-
Con qué frecuencia se activa la regla en relación con otras reglas (clasificada por percentil)
Estos valores se actualizan una vez cada 24 horas y se basan en los últimos 14 días de tráfico.
Puedes identificar rápidamente las reglas con el recuento de impactos más alto y más bajo, basado en el color de la barra de estado. Este color refleja con qué frecuencia se activa la regla en relación con otras reglas:
-
Azul: 0 - 24º percentil
-
Verde: 25º - 49º percentil
-
Naranja: 50º - 74º percentil
-
Rojo: 75º - 100º percentil
Los valores de recuento de impactos se actualizan automáticamente cada 24 horas y se basan en los últimos 14 días de tráfico. Desde los tres puntos al final de cada regla, puedes restablecer o actualizar el recuento de impactos para una visibilidad actualizada. Esto te permite medir con precisión la efectividad de las reglas y validar inmediatamente la actividad de las mismas.
-
Restablecer el contador de impactos para una regla específica devuelve el recuento de aciertos a 0
-
Actualizar el contador de impactos actualiza el recuento de aciertos bajo demanda para todas las reglas de la política
0 comentarios
El artículo está cerrado para comentarios.