Este artículo explica cómo configurar las reglas de Firewall LAN de Sockets Next Gen para enrutar y controlar el tráfico del sitio localmente en el Socket. Para más información sobre el Socket Next Gen LAN Firewall, ver Qué es el Socket Next Gen LAN Firewall.
Configurar\nInicios de sesión fuera de Cato: {total}\nTotal fallido: {totalFailed}\n{deviceName} IPsec: Túnel ID {tunnelID}, Nombre: {tunnelName} {what} está desconectado (desde {lastConnected})\nCopiar texto
Este es un ejemplo de flujo de trabajo de alto nivel para configurar la política:
-
Determine qué sitios requieren capacidades de aplicación en la Capa 7 y configúrelos en la política.
Esto habilita la aplicación en la Capa 7 para las reglas de Firewall LAN, así como eventos con datos de Capa 7 para el sitio.
-
Monitorear Socket Uso de CPU y eventos para los sitios para evaluar el impacto de Habilitar usuarios LDAP 7.
-
Crear Políticas de configuración de red LAN para definir qué tráfico de sitio es Enrutado localmente a través del Socket en lugar de a través del WAN.
-
Para cada Regla de Red LAN, crear Regla de Firewall LAN para aplicar la Política de implementación durante el Tráfico.
Habilite las capacidades de inspección de Capa 7 para el tráfico de un sitio. Después de Habilitar usuarios LDAP, el Socket realiza una inspección profunda de paquetes en Tráfico si una Regla de Firewall LAN está Activo, mientras hay Tráfico Definida a utilizar Transporte LAN (ver What is the Socket Next Gen LAN Firewall). Esto significa que los datos de Capa 7 aparecen en los eventos para el tráfico del sitio, incluyendo campos como Aplicación, Riesgo de Aplicación y Aplicación Personalizada. Esto también impacta el uso de la CPU del Socket.
Para Habilitar usuarios LDAP Capacidad de nivel 7 para licencia de sitio:
-
Desde el menú de navegación, haga clic en Seguridad > Firewall LAN.
La página de Firewall LAN se abre en su revisión no publicada existente o en la revisión publicada más reciente.
-
Seleccionar la pestaña Sitios nivel 7.
-
Haga clic en Nuevo. Se abre el panel Agregar Sitio.
-
Debajo de licencia de sitio, seleccionar uno o más sitios de la lista desplegable de sitios del Socket.
-
Haga clic en Aplicar. El Sitio es Agregar a la Lista de Sitios de nivel 7.
-
Haz clic en Guardar. Funcionalidad de nivel 7 es Activo para la licencia de sitio.
Cree una nueva regla de red LAN y configure los parámetros para definir el transporte para el tráfico. Para las reglas definidas con transporte LAN, puede agregar reglas de Firewall LAN para gestionar el control de acceso del tráfico. Para más información, consulte abajo Crear reglas de Firewall LAN.
Para Crear Regla de Red LAN:
-
Desde el menú de navegación, haga clic en Seguridad > Firewall LAN.
La página de Firewall LAN se abre en su revisión no publicada existente o en la revisión publicada más reciente.
-
Haga clic en Nuevo y de la lista desplegable, seleccione Nueva Regla de Red LAN. Se abre el panel Nueva Regla de Red.
-
Ingrese el Nombre para la Regla.
-
Habilitar usuarios LDAP o Deshabilitar la regla usando el deslizador (verde es habilitado, gris es deshabilitado).
-
Configure la Posición y Dirección para la nueva regla.
-
Por Defecto, la regla es Aplicar en una Dirección, Desde la Fuente hacia el Destino. Haga clic en el menú desplegable Dirección para establecer la regla a operar en Ambas direcciones.
-
-
Expandir la sección Sitio y Seleccionar uno o más sitios o grupos de sitios a los que se aplica la regla. El Valor Predeterminado es Cualquiera.
-
Expandir la sección Fuente y Seleccionar uno o más Objetos para la Fuente del Tráfico para esta Regla.
-
Seleccionar el Tipo (por ejemplo: Host, Interfaz de Red, IP, Usuario, Grupo de Administradores, Cualquiera). El Valor Predeterminado es Cualquiera.
-
Cuando sea necesario, Seleccionar un Objeto Específico de la lista desplegable para ese Tipo.
-
-
Expandir la sección Destino y Seleccionar uno o más Objetos de Destino para esta Regla.
-
Seleccionar el Tipo (por ejemplo: Host, Interfaz de Red, IP, Usuario, Grupo de Administradores, Cualquiera). El Valor Predeterminado es Cualquiera.
-
Cuando sea necesario, Seleccionar un Objeto Específico de la lista desplegable para ese Tipo.
-
-
Expandir la sección Criterios y Agregar las condiciones del dispositivo a la Regla. Para más información, ver Añadiendo Condiciones de Dispositivo a Reglas de Firewall. Los Valores Predeterminados son Cualquiera.
-
Expanda la sección de Servicio/Puerto y seleccione los protocolos a los que se aplica la regla usando una de las siguientes opciones:
-
Servicio Simple - Seleccione los servicios de Capa 4 relevantes de la lista.
La lista de servicios predefinidos está basada en la definición RFC de cada servicio.
-
IServicio Personalizado - Ingrese el puerto y protocolo relevante en el formato "Protocolo/Puerto" (e.g. TCP/80-88, UDP/53, ICMP)
El valor predeterminado es Cualquiera.
-
-
(Opcional) Expanda la sección de NAT para habilitar NAT en la interfaz de salida. Esto traduce todas las IPs de origen a una IP de NAT.
-
Seleccione el Transporte para el tráfico que coincide con la regla. Las opciones son:
-
LAN - El tráfico se enruta localmente por el Socket y no se envía al PoP
-
WAN - El tráfico se envía a través de la WAN al PoP para inspección
-
-
Haga clic en Guardar.
Los Cambios son Guardar en su Revisión sin publicar y están Disponible para editar hasta que se Publicar o Descartado.
Cree una nueva regla de Firewall LAN y configure los parámetros para gestionar el control de acceso del tráfico. Una regla de Firewall LAN solo puede ser configurada con objetos dentro del alcance de su regla de red LAN parental.
Las reglas para sitios habilitados con capacidades de Capa 7 pueden incluir condiciones con objetos de la capa de aplicación como Aplicación y Dominio. Si las reglas para sitios sin capacidades de Capa 7 incluyen estos objetos, las reglas no funcionarán correctamente.
Nota: Tráfico dentro de la misma licencia de sitio que no Coincidencia una Regla de Firewall LAN es considerado Tráfico WAN, incluso si viaja al PoP y regresa a la misma licencia de sitio.
Nota
Nota: Para usar Objetos de Usuario y Grupo de Usuarios en los campos Fuente y Destino, o para usar criterios de dispositivo en una Regla, por favor contactar a feature-releases@catonetworks.com para Más Información sobre Habilitar usuarios LDAP y usar esta característica.
Para crear una regla de Firewall LAN:
-
Desde el menú de navegación, haga clic en Seguridad > Firewall LAN.
La página de Firewall LAN se abre en su revisión no publicada existente o en la revisión publicada más reciente.
-
Haga clic en Nuevo y en el menú desplegable seleccione Nueva Regla de Firewall LAN. El panel de Nueva Regla de Firewall se abre.
-
Ingrese el Nombre para la regla.
-
Habilite o deshabilite la regla usando el control deslizante (verde está habilitado, gris está deshabilitado).
-
Configure la Posición para la regla, y desde el menú desplegable de Reglas seleccione la regla de referencia relevante, de la siguiente manera:
-
Para las opciones de Antes de la Regla y Después de la Regla, seleccione del menú desplegable de Reglas una regla de Firewall LAN bajo la regla de red LAN relevante.
-
Para las opciones de Primera en la Regla y Última en la Regla, seleccione del menú desplegable de Reglas la regla de red LAN parental para esta regla.
-
-
Configure la Dirección para la regla.
-
Por defecto, la regla se aplica en una dirección, desde la fuente A el destino. Haga clic en el menú desplegable de Dirección para configurar la regla para operar en Ambas direcciones.
-
-
Expanda la sección de Origen y seleccione uno o más objetos para la fuente del tráfico para esta regla.
-
Seleccionar el Tipo (por ejemplo: Host, Interfaz de Red, IP, Usuario, Grupo de Administradores, Cualquiera). El valor predeterminado es Cualquiera.
-
Cuando sea necesario, seleccione un objeto específico de la lista desplegable para ese tipo.
-
-
Expanda la sección de Destino y seleccione uno o más objetos de destino para esta regla.
-
Seleccionar el Tipo (por ejemplo: Host, Interfaz de Red, IP, Usuario, Grupo de Administradores, Cualquiera). El valor predeterminado es Cualquiera.
-
Cuando sea necesario, seleccione un objeto específico de la lista desplegable para ese tipo.
-
-
Expanda la sección de App/Categoría y seleccione una o más aplicaciones para la regla.
Cuando hay más de un objeto de App/Categoría en una regla, hay una relación O entre ellos. El valor predeterminado es Cualquiera.
Nota: Solo configure objetos de App/Categoría para reglas para sitios con capacidades de Capa 7 habilitadas. De lo contrario, la regla no funcionará correctamente.
-
Expanda la sección de Servicio/Puerto y seleccione los protocolos a los que se aplica la regla usando una de las siguientes opciones:
-
Servicio Simple - Seleccione los servicios de Capa 4 relevantes de la lista
La lista de servicios predefinidos está basada en la definición RFC de cada servicio.
-
Servicio - Seleccione los servicios de Capa 7 relevantes de la lista
-
IServicio Personalizado - Ingrese el puerto y protocolo relevante en el formato "Protocolo/Puerto" (e.g. TCP/80-88, UDP/53, ICMP)
El valor predeterminado es Cualquiera.
-
-
Seleccione la Acción para esta regla. Las opciones son Permitir y Bloquear.
-
(Opcional) Configure las opciones de seguimiento para generar Eventos y Enviar Notificación. La frecuencia comienza a contar después de que se envíe la primera notificación.
Para obtener Más Información sobre Notificaciones, ver el artículo relevante sobre Grupos de Suscripción, Listas de Correo y Integraciones de Alerta en la sección de Alertas.
-
Haga clic en Guardar.
Los Cambios son Guardar en su Revisión sin publicar y están Disponible para editar hasta que se Publicar o Descartado.
Puede habilitar opcionalmente el seguimiento de eventos para cada regla definida en la política del Firewall LAN de Nueva Generación.
Nota
Nota: El tráfico del firewall LAN no será visible en los paneles de análisis de aplicaciones y redes.
Los eventos aparecen bajo Supervisión del Sitio > Eventos.
-
Tipo de Evento - Seguridad
-
Subtipo - Firewall LAN
Para filtrar los eventos del Firewall LAN:
-
Vaya a Inicio > Eventos.
-
Haga clic en Filtrar y seleccione el campo, operador y valor relevantes.
-
Campo - Se pueden seleccionar múltiples campos como filtro. Por ejemplo, podemos optar por filtrar por "Sitio de origen" o "Subtipo" (Firewall LAN)
-
Operador - Elija incluir o excluir valores específicos (Es, No es) o múltiples valores (En, No en), por ejemplo, "Sitio de origen" con operador "En" permite seleccionar múltiples sitios de origen como valores.
-
Valor - El valor para el campo.
-
-
Haga clic en Agregar filtro.
En el siguiente ejemplo, puede ver los detalles de un evento de Firewall LAN.
-
Acción - Bloquear o Supervisar. (El tráfico fue bloqueado o permitido localmente por el Firewall LAN)
-
Nombre de Host Configurado - Información adicional del host sobre la IP de origen, si está disponible.
-
Subtipo - Firewall LAN. Todos los eventos generados por el Firewall LAN tendrán este subtipo.
-
Regla de Red - La regla de red LAN padre para la regla de Firewall LAN que generó el evento.
-
Nombre de la Regla - El nombre de la regla del Firewall LAN que generó el evento.
A diferencia del Firewall WAN o de Internet, donde los eventos son generados por el PoP de Cato, los eventos del Firewall LAN son generados en el Socket mismo. Estos eventos se envían a través del túnel del sitio para ser almacenados en la Aplicación de Gestión de Cato.
Todo el tráfico de flujo a través del túnel tiene prioridad antes que los eventos del Firewall LAN, que tienen una prioridad de QoS predeterminada de 255 y pueden generar sobrecarga adicional.
Cato recomienda rastrear solo las reglas del Firewall LAN de alta prioridad para evitar sobrecarga adicional a través del túnel.
0 comentarios
El artículo está cerrado para comentarios.