Los firewalls desempeñan un papel clave en la seguridad de sus redes corporativas y la protección de los recursos internos. Este artículo contiene recomendaciones y mejores prácticas para ayudarle a crear la política de seguridad más sólida para su organización. También explicamos cómo mantener sus políticas de firewall limpias y manejables.
El firewall de Internet le ayuda a gestionar el acceso de los usuarios y dispositivos en su red a una amplia variedad de servicios web, aplicaciones y contenidos. El firewall WAN le permite gestionar el tráfico WAN para recursos internos y entre usuarios y sitios. Esta guía le ayuda a configurar y ajustar las reglas en cada firewall para maximizar la efectividad de la política de seguridad.
Para más información sobre configuraciones específicas de reglas, consulte Referencia para Objetos de Reglas.
Existen dos enfoques para las bases de reglas de firewall, lista de permitidos y lista de bloqueados. Permitir en la base de reglas del firewall significa que las reglas definen qué tráfico permite el firewall. Todo el tráfico restante es bloqueado por el firewall. Bloquear en la base de reglas del firewall es lo contrario, las reglas definen el tráfico que se bloquea. Todo el tráfico restante es permitido por el firewall. Las organizaciones eligen el enfoque que mejor se adapta a sus necesidades y situaciones específicas.
-
Una política de seguridad de lista de permitidos tiene una regla de Bloqueo ANY ANY como la regla final para bloquear todo el tráfico que no coincida con una regla de permitidos
-
Una política de seguridad de lista de bloqueados tiene una regla de Permitir ANY ANY como la regla final para permitir todo el tráfico que no coincida con una regla de bloqueos
Las recomendaciones para cada enfoque se discuten a continuación en las secciones respectivas para los firewalls de Internet y WAN.
Los firewalls de Internet y WAN de Cato utilizan dos tipos diferentes de reglas de firewall:
-
Reglas de firewall tradicionales (también conocidas como reglas simples)
-
Reglas de firewall de próxima generación (NG) (también conocidas como reglas complejas)
Esta sección describe las diferencias entre estos tipos de reglas y la lógica que el firewall utiliza para aplicarlas al tráfico de red.
Cato le permite definir una política de seguridad de red y configurar reglas de firewall tradicionales para controlar el tráfico entrante y saliente en su red. Las reglas de firewall tradicionales de Cato solo tienen una o más de las siguientes configuraciones:
-
Rango de IPs
-
ASN
-
Países
-
Sitio
-
Host
-
Protocolo/Puerto
-
Protocolos disponibles: TCP, UDP, TCP/UDP e ICMP
-
El motor de firewall tradicional evalúa el tráfico en el primer paquete. Por ejemplo, los administradores de red pueden configurar reglas de firewall basadas en protocolos y puertos. Para este tipo de regla, el firewall decide permitir o bloquear el tráfico basado en el primer paquete.
La siguiente captura de pantalla muestra un ejemplo de una regla de firewall WAN tradicional que bloquea el tráfico TCP en el puerto 80:
La siguiente figura muestra un ejemplo de una conexión TCP desde Host A a Host B y el punto para que el motor de firewall tradicional evalúe una regla de Bloqueo:
Nota
Nota: El motor de firewall tradicional no descarta los paquetes. El PoP completa el handshake TCP sin enviar ningún paquete al destino (Host B). La razón de esto es mostrar la página de redirección de Internet para acciones de bloqueo o aviso. Para más información sobre la página de redirección, consulte Personalizando la Página de Bloqueo/Aviso.
El motor de firewall NG de Cato es con estado y utiliza la inspección de datos de la capa de aplicación para lograr una plena conciencia y control sobre aplicaciones y servicios. Aplica inspección profunda de paquetes (DPI) y múltiples motores de seguridad para inspeccionar el tráfico. El elemento clave del motor de firewall NG es la conciencia de las aplicaciones, que le permite definir reglas que permiten o bloquean el tráfico basado en aplicaciones y servicios. El motor de firewall NG inspecciona el contenido del paquete basado en aplicaciones, aplicaciones personalizadas, categorías, categorías personalizadas, servicios, FQDN, dominio y más. Por ejemplo, puede definir una regla para bloquear el tráfico de la aplicación uTorrent en su red. Para inspeccionar el contenido de datos del flujo de comunicación, el firewall evalúa múltiples paquetes en el flujo, incluyendo paquetes que pueden ayudar a identificar la aplicación y otros atributos de la carga útil de contenido.
La siguiente figura muestra un ejemplo de una conexión TCP desde el Host A al Host B y el punto para que el NG firewall evalúe una regla de bloqueo:
Esta sección contiene mejores prácticas para una política de seguridad sólida que son relevantes para los firewalls de Internet y WAN.
Los firewalls de WAN e Internet en Cato Networks son firewalls ordenados. El firewall inspecciona las conexiones secuencialmente y verifica si la conexión coincide con una regla. Por ejemplo, si una conexión coincide con la regla #3, se aplica la acción a la conexión y el firewall deja de inspeccionarla. El firewall no continúa aplicando las reglas #4 y posteriores a la conexión.
Cuando las reglas de firewall están en un orden incorrecto, puede bloquear accidentalmente o permitir tráfico. Esto puede llevar a una mala experiencia del usuario o crear riesgos de seguridad. Para más información sobre el orden de las reglas de firewall, consulte los artículos de la base de conocimiento del firewall.
Este es el orden recomendado de la base de reglas para la mayoría de los casos:
-
Reglas de bloqueo específicas
-
Reglas de permitidos generales
-
Reglas de permitidos específicas
-
Regla ANY ANY
-
La lista de permitidos (firewall WAN predeterminado) usa una regla de bloqueo final
-
La lista de bloqueados (firewall de Internet predeterminado) usuarios una regla de permitidos final
-
Dado que el firewall de Cato sigue una base de reglas ordenada, si configura las reglas de firewall NG antes que las reglas de firewall tradicionales, el motor DPI inspecciona el tráfico para identificar la aplicación o servicio antes de aplicar la acción. Esto significa que el primer paquete puede pasar y llegar al destino. Por lo tanto, para que las reglas tradicionales protejan adecuadamente su red y apliquen la acción en el primer paquete, deben tener alta prioridad y estar ubicadas en la parte superior de la base de reglas (antes que cualquier regla de firewall NG). Recomendamos que coloque todas las reglas de firewall tradicionales en la parte superior de la base de reglas antes de las reglas de firewall NG.
Para más información, vea más arriba, Reglas de Firewall Tradicionales vs. NG.
Las políticas de Firewall WAN e Internet soportan hasta 64 predicados por regla.
La opción Track para reglas de firewall le permite monitorear y analizar los eventos y notificaciones de tráfico del firewall. Recomendamos configurar reglas para generar eventos para la acción de Bloqueo para monitorizar fácilmente las fuentes que intentan acceder a contenido restringido. También puede configurar eventos y notificaciones para reglas que manejan tráfico con riesgos de seguridad significativos.
Como práctica recomendada, recomendamos usar el monitoreo para registrar todo el tráfico de internet. Para implementar esto, agregue una regla explícita de Permitir ANY-ANY como regla final del Firewall de Internet y configúrelo para generar eventos. Esto proporciona visibilidad para todo el tráfico de Internet en su red para que pueda entender cómo proteger mejor la red y los usuarios mientras mantiene la usabilidad.
Para más información sobre notificaciones por correo electrónico y eventos, vea Alertas a Nivel de Cuenta y Notificaciones del Sistema.
La configuración de Time le permite definir un rango de tiempo específico para la regla de firewall. Fuera del rango de tiempo, el firewall ignora esta regla. Esta característica le permite limitar el acceso a Internet y mejorar el control de acceso en su red. Por ejemplo, puede definir una regla en el firewall de Internet que solo bloquee el acceso a la categoría Social durante las horas laborales normales. O puede crear una regla en el firewall WAN que solo permita el acceso a un centro de datos en la nube durante el horario laboral. La sección Actions para una regla proporciona una opción preestablecida para Limitar a horas laborales.
También puede programar Personalizadas restricciones de tiempo y limitar la regla a las horas especificadas. Asegúrese de que el tiempo de From se establezca antes que el tiempo de To, de lo contrario, la regla no funcionará correctamente. Si desea crear una restricción que abarque el final de un día y el comienzo del siguiente, cree dos reglas y defina una restricción para las horas relevantes de cada día. Por ejemplo, una regla con una restricción definida de 23:00-23:59 el lunes, y una segunda regla con una restricción definida de 00:00 a 01:00 el martes.
Nota
Nota: Las reglas de firewall restringidas por tiempo tienen diferentes clasificaciones basadas en el tipo de usuario:
-
Para sitios, se utilizará la zona horaria configurada para hacer cumplir las reglas de firewall restringidas por tiempo
-
Para los usuarios SDP, las reglas de firewall restringidas por tiempo se basarán en la geo-localización de su dirección IP pública
Una base de reglas de firewall simple y limpia ayuda a implementar una política de seguridad sólida porque es más fácil de gestionar y reduce la confusión. Las recomendaciones de esta sección le ayudarán a crear una política de seguridad clara y consistente y evitar errores.
Cuando crea una regla, dele un nombre específico y único. Los nombres de reglas autoexplicativos permiten a otros administradores del equipo entender fácilmente el propósito de la regla. Las reglas mal nombradas pueden causar errores y crear confusión.
Por ejemplo, nombre una regla de firewall de Internet que bloquea sitios de apuestas como Bloquear Apuestas en lugar del poco claro Sitios Bloqueados.
Cada regla de firewall individual puede ser desactivada o activada. Sin embargo, recomendamos que solo desactive las reglas por un corto período de tiempo. Para las reglas que están obsoletas y ya no se utilizan, elimínelas de la base de reglas en lugar de desactivarlas. Las reglas desactivadas hacen la base de reglas más compleja y difícil de gestionar.
Cuando crea una regla de firewall, use un Grupo de usuarios o sitios y restrinja el acceso a la red para los miembros de este grupo. Por ejemplo, puede crear un grupo de usuarios (Recursos > Grupos) y bloquear el acceso a Internet solo para este grupo.
Las excepciones son herramientas poderosas para las reglas de firewall, pero pueden hacer que la base de reglas sea difícil de leer. En los casos donde utilices excepciones en las reglas, nombra las reglas de manera que sea obvio que contienen excepciones. Por ejemplo, Bloqueo Social (con excepción).
Aunque no hay limitación en el número de reglas que se pueden agregar a una política de firewall, un número extremadamente alto puede resultar en problemas de rendimiento y hacer que la política sea difícil de gestionar. Recomendamos diseñar la base de reglas para evitar la necesidad de un número muy alto de reglas.
El firewall de Internet de Cato inspecciona el tráfico de Internet y te permite crear reglas para controlar el acceso a Internet. El firewall de Internet se basa en un conjunto de reglas de seguridad que te permiten permitir o bloquear el acceso desde sitios y usuarios a sitios web, categorías, aplicaciones, etc. El enfoque predeterminado del firewall de Internet es lista de bloqueo (ANY ANY Permitir).
La siguiente captura de pantalla muestra una política de firewall de Internet de ejemplo en la Aplicación de Gestión de Cato (Seguridad > Firewall de Internet):
La sección contiene mejores prácticas para ayudarte a asegurar el acceso a Internet para tu cuenta.
QUIC es un nuevo transporte multiplexado construido sobre UDP. HTTP/3 está diseñado para aprovechar las características de QUIC, incluida la ausencia de bloqueo de Head-Of-Line entre flujos. El proyecto QUIC comenzó como una alternativa a TCP+TLS+HTTP/2, con el objetivo de mejorar la experiencia del usuario, en particular los tiempos de carga de página. Cato puede identificar y bloquear tráfico QUIC así como tráfico GQUIC (Google QUIC).
Para gestionar el tráfico QUIC en una regla de firewall o red, utiliza el servicio QUIC y la aplicación GQUIC en las reglas relevantes. Estos son ejemplos de reglas de firewall de Internet que bloquean tráfico QUIC para una cuenta:
Dado que el protocolo QUIC opera sobre UDP 443, el tráfico HTTP encapsulado no se analiza. Esto significa que la pantalla de Analytics de Aplicaciones solo muestra entradas para el tráfico QUIC en lugar de la aplicación en sí.
Por lo tanto, recomendamos crear reglas específicas para bloquear tráfico QUIC y GQUIC, de modo que el navegador utilice la versión predeterminada de HTTP en lugar de HTTP 3.0 y QUIC. Esto proporciona análisis detallados para las aplicaciones utilizadas, en lugar de solo informar sobre el uso del servicio QUIC o la aplicación GQUIC.
Para reglas que permitan el acceso a Internet, recomendamos que selecciones un sitio, host o usuario específico en la columna Fuente, en lugar de usar la opción Cualquiera. Las reglas que permiten cualquier tráfico hacia Internet representan un potencial riesgo de seguridad porque permiten tráfico desde fuentes inesperadas.
La siguiente captura de pantalla muestra una regla donde la columna Fuente está configurada para los grupos Todos los Sitios y Todos los Usuarios SDP en lugar de Cualquiera:
Las reglas del Firewall de Internet que usan Cualquiera en algunos ajustes, pueden generar eventos que no incluyen información importante y útil. Por ejemplo, una regla configurada con Cualquier aplicación podría generar eventos que no identifican la aplicación en el flujo de tráfico. Esto ocurre porque el firewall activa la regla antes de completar la identificación de la aplicación, ya que cualquier aplicación coincide con la regla. Entonces, cuando la pila de seguridad de Cato completa el proceso de identificación de la aplicación, estos datos de uso de la aplicación se incluyen en la pantalla de App Analytics. Sin embargo, los eventos no incluyen toda la misma información, y puede resultar difícil continuar investigando más sobre el uso de la aplicación.
Para ayudar a mejorar el análisis del uso de aplicaciones, recomendamos que minimices Cualquiera en las condiciones de las reglas, y que en su lugar utilices reglas granulares con aplicaciones, servicios, puertos específicos, etc.
Cuando sea necesario configurar reglas de firewall que permitan cualquier tráfico saliente de Internet para un servicio o puerto específico, recomendamos que bloquees categorías o aplicaciones que sean potenciales riesgos de seguridad.
Por ejemplo, si tienes una regla que permite todo el tráfico HTTP, agrega una excepción a la regla para categorías como: Trampa, Apuestas, Violencia y Odio, Dominios Estacionados, Desnudez, Armas, Educación Sexual, Sectas, y Anonimizadores. Estas son categorías de ejemplo que pueden contener contenido malicioso, y la excepción bloquea el acceso a Internet para estas categorías.
En general, recomendamos que para reglas que permiten tráfico en Internet, utilices protocolos seguros encriptados en lugar de protocolos de texto plano regulares. Por ejemplo, usa FTPS en lugar de FTP, o SSH en lugar de Telnet o SNMP. El tráfico de Internet que se permite con protocolos seguros está encriptado y es muy difícil para los hackers interceptar y desencriptar.
Si tienes una regla que permite el acceso a sitios web con un riesgo de seguridad menor, recomendamos que uses la acción Solicitar Confirmación en lugar de Permitir. Cuando los usuarios intentan acceder a uno de estos sitios web, la acción Solicitar Confirmación redirige a los usuarios a una página web donde deciden si continuar o no. Debido a que estos sitios web añaden un riesgo de seguridad para tu red, recomendamos que rastrees eventos para el tráfico que coincida con esta regla.
Para que la acción Solicitar Confirmación funcione correctamente, recomendamos que instales el certificado de Cato en todos los dispositivos compatibles.
Cuando incluyes muchas categorías en una regla, hace que la base de reglas sea más difícil de gestionar. Puedes en su lugar definir una Categoría Personalizada que contenga todas las categorías relevantes, y luego agregar esta única Categoría Personalizada a la regla. Definir reglas simples que usan una Categoría Personalizada facilita que la base de reglas sea fácil de leer y buscar.
Por ejemplo, puedes crear una Categoría Personalizada llamada Perfil de Internet que contenga todas las categorías, aplicaciones y servicios a los que deseas permitir acceso, y luego agregar la Categoría Personalizada a la regla de firewall de Internet relevante. Para mantener la regla actualizada, simplemente puedes editar la Categoría Personalizada y eliminar o agregar las actualizaciones necesarias.
Estas son sugerencias adicionales para reglas que implementan mejores prácticas usando Categorías Personalizadas:
-
Crea una regla para todo el tráfico que desees definir con la acción Solicitar Confirmación. Luego crea una Categoría Personalizada llamada Sitios para Solicitar Confirmación que contenga todas las URL y categorías relevantes, y añádela a la regla. Categorías recomendadas para la acción Solicitar Confirmación incluyen: Trampa, Apuestas, Violencia y Odio, De Mal Gusto, Dominios Estacionados, Armas, Educación Sexual, Sectas, y Anonimizadores. Configura el rastreo para la regla para generar eventos para el tráfico coincidente.
-
Crea una regla para todo el tráfico que desees definir con la acción Bloquear. Luego crea una Categoría Personalizada llamada Sitios para Bloquear que contenga todas las URL y categorías relevantes, y añádela a la regla. Categorías recomendadas para la acción Bloquear incluyen: Botnets, Comprometida, Pornografía, Keyloggers, Malware, Phishing, Spyware, Drogas Ilegales, Hackeo, SPAM, Cuestionable. Configura el rastreo para la regla para generar eventos para el tráfico coincidente.
La regla final en el firewall de Internet es una regla implícita Any - Any - Allow, sin embargo, recomendamos que añadas una regla explícita Any - Any - Allow como la regla final. De esta manera, puedes registrar fácilmente TODO el tráfico de Internet, solo selecciona rastrear Eventos para todas las reglas.
Implementar un firewall de Internet con comportamiento de permitlista significa que por defecto el firewall bloquea todo el tráfico de Internet. Agrega reglas al firewall que permitan específicamente el tráfico de Internet de acuerdo con las necesidades de la política de seguridad corporativa.
Para implementar un firewall de Internet de permitlista en la Aplicación de Gestión de Cato, la regla final al final de la base de reglas debe ser una regla explícita que bloquee cualquier tráfico de cualquier fuente a cualquier destino. Ver el siguiente ejemplo:
También recomendamos que habilites el rastreo para la regla final para generar eventos que te ayuden a monitorear y analizar el tráfico de Internet en tu red.
Esta sección discute las reglas que recomendamos que incluyas en las bases de reglas para el firewall de Internet que usa el enfoque de permitlista.
Cuando permitas tráfico HTTP y HTTPS, recomendamos que bloquees sitios web que contengan contenido riesgoso e inapropiado. Estos sitios web son típicamente bloqueados por empresas y también pueden ser fuentes potenciales de malware. Cada categoría (Recursos > Categorías) contiene una variedad de sitios web y aplicaciones que puedes agregar fácilmente a las reglas. Las categorías incluyen, por ejemplo, Botnets, Comprometida, Pornografía, Keyloggers, Malware, Phishing, Spyware, Drogas Ilegales, Hackeo, SPAM, Cuestionable.
En la parte superior de la base de reglas, asegúrate de que haya una regla que permita todos los servicios DNS como parte del tráfico de Internet.
La siguiente captura de pantalla muestra una regla de ejemplo permitiendo tráfico DNS:
Crea una regla para permitir los servicios que utiliza tu cuenta y que requieren acceso a Internet. Además, si hay servicios que solo se utilizan para sitios específicos, entonces puedes crear una regla separada que solo permita el acceso para esos sitios.
Agrega las aplicaciones que utiliza tu organización a las reglas del firewall de Internet de la lista de aplicaciones predefinidas. Cato actualiza continuamente esta lista con nuevas aplicaciones. Si necesitas una aplicación que no aparece en la lista, puedes definir una aplicación personalizada. Para más información sobre la configuración de aplicaciones personalizadas, consulta Trabajando con Aplicaciones Personalizadas.
Implementar un firewall de Internet con comportamiento de lista de bloqueo significa que por defecto el firewall permite todo el tráfico de Internet. Agrega reglas al firewall que bloqueen específicamente el tráfico de Internet de acuerdo con las necesidades de tu política de seguridad corporativa. La lista de bloqueo es la estructura predeterminada para el firewall de Internet, permite cualquier tráfico que no esté bloqueado por una regla.
Además, recomendamos que uses un período de aprendizaje para identificar el tráfico de Internet no deseado. Durante este período de aprendizaje, temporalmente agrega una regla al final de la base de reglas que permita cualquier tráfico de cualquier fuente a cualquier destino con seguimiento habilitado. Esta regla genera un evento para cada conexión que se le permite acceder a Internet. Cuando revises el tráfico de Internet para tu cuenta, si identificas tráfico no deseado, puedes entonces añadir una regla para bloquearlo.
Para más información sobre eventos del firewall, consulta Analizando Eventos en tu Red.
Esta sección describe reglas que recomendamos incluir en las bases de reglas para el firewall de Internet que utiliza el enfoque de lista de bloqueo.
Servicios como Telnet y SNMP v1 & v2 son riesgos potenciales de seguridad, y pueden ser bloqueados en bases de reglas de Internet. Si tu organización requiere acceso a estos servicios, recomendamos que añadas una excepción a la regla de bloqueo para esos usuarios o grupos específicos.
La siguiente captura de pantalla muestra una regla de ejemplo bloqueando tráfico Telnet y SNMP, con una excepción que permite el acceso para el Departamento de IT:
La categoría No Categorizado contiene sitios web que no están asignados a una categoría existente de la lista de categorías. Estos sitios web pueden ser un riesgo de seguridad potencial para su Network. Cree una Rule que bloquee la Category Uncategorized para todo el tráfico de Internet.
También puede utilizar el servicio RBI de Cato para habilitar el Access seguro a sitios Uncategorized. Para más información sobre RBI, consulte Securing Browsing Sessions Through Remote Browser Isolation (RBI).
Hay varios Countries que son conocidos por generar tráfico Malicious. Si su organización no tiene negocios con estos Countries, recomendamos que bloquee el Access a Internet para ellos y reduzca el potencial tráfico Malicious. Puede crear una Rule que utilice el ajuste Country en la sección App / Category para bloquear el tráfico de Internet hacia los Countries especificados.
El Firewall WAN de Cato es responsable de controlar el tráfico entre los diferentes elementos de Network que están conectados al Cato Cloud. Con el Firewall WAN, puede controlar el tráfico WAN en su Network y lograr una Security de Network óptima.
El Firewall WAN utiliza el enfoque de ANY ANY Block (allowlist) por Default. Esto significa que cualquier conectividad entre Sites y Users está bloqueada a menos que defina reglas específicas del Firewall WAN que permitan las conexiones.
La siguiente captura de pantalla muestra un ejemplo de una poliza del Firewall WAN en la Cato Management Application (Security > WAN Firewall)
Esta Section contiene las best practices para ayudarle a asegurar la conectividad WAN para su Account.
La regla de oro para el Firewall WAN es permitir solo el tráfico deseado. Para estas reglas de permitir, agregue servicios específicos y puertos que se utilizan y proporcionen una conectividad segura mejorada para el Firewall WAN.
La siguiente captura de pantalla muestra un ejemplo de una Rule del Firewall WAN que permite que todos los SDP Users accedan al Site del centro de datos. Esta Rule mejora la Security porque solo permite el tráfico RDP para los SDP Users.
Las reglas del Firewall WAN que dan Access a cualquier Source o Destination son menos seguras que los Sites y Users específicos. Los ajustes más específicos le brindan un mayor control sobre la conectividad WAN para el Account.
La siguiente captura de pantalla muestra un ejemplo de una Rule del Firewall WAN que utiliza Sites específicos en los ajustes de Source y Destination:
Cuando configura las reglas del Firewall WAN utilizando Any en algunos ajustes, los Events relacionados con la Rule no necesariamente incluyen todos los datos relevantes, y pueden dificultar el análisis del uso de App. Para más información sobre los Events para reglas utilizando ajustes de Any, vea arriba Improving Event Data with Granular Rules. Para ayudar a mejorar el análisis del uso de App, recomendamos que minimice el uso de Any para las condiciones de las Rules, y en su lugar use reglas granulares con Apps, Services, Ports específicos, etc.
Implementar un Firewall WAN con comportamiento de allowlist significa que por Default el Firewall bloquea toda la conectividad WAN entre Sites, servidores, Usuarios, etc. Agregue reglas al Firewall que permitan específicamente la conectividad de tráfico WAN en su Network. Allowlisting es la estructura Default para el Firewall WAN de Cato, la Rule final implícita de la base de reglas WAN es ANY ANY Block.
Recomendamos encarecidamente que no agregue una Rule que permita la conectividad de cualquier Source a cualquier Destination en el WAN. Este tipo de Rule ANY ANY Allow expone su Network a riesgos significativos de Security.
Una Security Policy sólida para un Firewall WAN de allowlist incluye reglas que solo permiten los Services y Applications específicos que utiliza su organización. En lugar de utilizar reglas que permitan cualquier Service para el tráfico entre Sites, agregue los Services o Applications a esta Rule. Dado que los Services son más específicos que los Ports, recomendamos definir Rules utilizando Services en lugar de Ports cuando sea posible.
Ejemplos de Services que a menudo utilizan las organizaciones incluyen: DNS, DHCP, SMB, Bases de datos, Citrix, RDP, DCE/RPC, SMTP, FTP, ICMP, NetBIOS, NTP, SNMP, etc.
Ejemplos de Applications que a menudo utilizan las organizaciones incluyen: SharePoint, Slack, Citrix ShareFile, etc.
También puede crear una Category Custom que contenga todas las Applications y Services para el Firewall WAN, y luego agregar esta Category Custom a las Rules relevantes. Use las Applications Custom para Applications o Services que no estén Predefined en el Firewall. Esto también permite que los Events contengan el Name de la Application para un mejor análisis.
Implementar un Firewall WAN con comportamiento de blocklist significa que por Default el Firewall permite toda la conectividad WAN entre Sites, servidores, Usuarios, etc. Agregue reglas al Firewall que bloqueen específicamente el tráfico WAN de acuerdo con las necesidades de la Security Policy corporativa. No recomendamos utilizar este enfoque para una Security Policy WAN. Sin embargo, si su organización lo utiliza, asegúrese de bloquear el tráfico WAN no deseado.
Para implementar un Firewall WAN de blocklist en la Cato Management Application, la base de reglas contiene una Rule ANY ANY Allow al final.
Para Firewalls WAN de blocklist, recomendamos que agregue las siguientes Rules por encima de la Rule final ANY ANY Allow para ayudar a crear una Security Policy fuerte:
-
Rules para bloquear Services que son riesgos de Security y tienen vulnerabilidades conocidas, como SMBv1
-
Rules que bloquean la conectividad entre Sites que no necesitan comunicarse
0 comentarios
Inicie sesión para dejar un comentario.