¿Qué es el Firewall WAN de Cato?

Este artículo proporciona información de fondo sobre el Firewall WAN para su cuenta.

Para más información acerca de trabajar con el Firewall WAN, consulte Gestión de la Política del Firewall WAN.

Resumen del Firewall WAN de Cato

El Firewall WAN en la Nube de Cato controla el acceso a objetos y entidades en su Red de Área Amplia (WAN). Configure la base de reglas del Firewall WAN para crear una política de control de acceso segura y proteger la red.

El Firewall WAN forma parte del Firewall de Nueva Generación (NGFW) que está integrado en la Nube de Cato y le permite crear reglas para prevenir el acceso no autorizado a la red. El Firewall WAN utiliza un enfoque de lista blanca, y hay una regla de bloqueo por defecto ANY-ANY para eliminar todas las conexiones que no están explícitamente permitidas en la base de reglas.

Use las reglas para configurar el firewall con el fin de inspeccionar todas las conexiones y solo permitir aquellas que coincidan con sus configuraciones. El firewall utiliza una base de reglas ordenada. Esto significa que comienza inspeccionando la conexión y verifica si coincide con la primera regla. Si no, continúa aplicando secuencialmente cada regla a la conexión hasta que una regla coincida con la conexión.

El Firewall WAN también incluye funcionalidad completa de capa 7 con Conciencia de Usuario, permitiendo políticas de acceso cero trust a aplicaciones específicas en la WAN.

Caso de Uso - Solo Permitiendo Fabricantes Aprobados de Dispositivos de Videoconferencia

Un administrador de seguridad recibe una tarea para revisar la postura de seguridad de las salas de reuniones en el sitio de la sucursal de Londres. El admin va a la página de Inventario de Dispositivos, filtra por Campo - Tipo de Dispositivo, Operador - En, Valor - Videoconferencia , y ve todos los dispositivos de videoconferencia en el sitio de Londres. El admin se da cuenta de que hay dispositivos de videoconferencia de varios fabricantes diferentes, y esto no cumple con la política de seguridad organizacional. El equipo de TI ya tiene una licencia de seguridad IoT y crea nuevas reglas en las políticas de firewall de WAN e Internet con configuraciones de Atributo del Dispositivo que solo permiten los dos fabricantes aprobados para los dispositivos de videoconferencia. Algunos de los dispositivos de videoconferencia en el sitio de Londres ya no funcionarán porque están bloqueados por las políticas de firewall hasta que puedan ser reemplazados por nuevos dispositivos de los fabricantes aprobados.

Comprendiendo Información Autónoma del Firewall

Los Insights Autónomos del Firewall WAN son una lista de Comprobaciones de Postura que evalúan su política de Firewall WAN y muestran cómo cumplen con las recomendaciones de Cato. Seguir estas recomendaciones optimiza las configuraciones de su firewall y mejora la postura de seguridad.

Hay dos tipos de insights:

Ícono de estrella (potenciado por la IA): Las reglas activadas en su política de Firewall WAN son analizadas automáticamente por Inteligencia Artificial (IA) para detectar problemas, por ejemplo, reglas que pueden ser descartadas o modificadas como:
- Regla Temporal: Introducida como una solución a corto plazo para abordar una necesidad inmediata. Estas reglas son mayormente creadas para funcionar temporalmente mientras se despliega o desarrolla una solución adecuada o permanente.
- Regla de Prueba: Reglas creadas explícitamente para validar, depurar o experimentar con una característica o escenario específico.
- Regla Expirada o Regla con Fecha de Expiración Futura: Reglas creadas para abordar una necesidad específica y tienen una fecha límite deseable que ya ha pasado o que aún no se ha alcanzado o no puede ser probada/evaluada.
- Reglas Demasiado Permisivas: Reglas que pueden ser exageradamente permisivas basadas en usuarios, hosts, aplicaciones o protocolos definidos para la regla. Este insight utiliza heurísticas topológicas indica que recomendamos que elimine los elementos adicionales de la regla para adherirse mejor a su estrategia de cero trust.
  
  Por ejemplo: restringir el acceso de usuario solo a sampleAdmin, condicionado por un perfil específico de Postura del Dispositivo, limitar la aplicación solo a RDP, y restringir el protocolo solo a TCP.
- Regla No Utilizada: Identifica las reglas de firewall con una acción de Permitir que no han generado ningún evento en los últimos 60 días.
Basado en Configuración: Las configuraciones y ajustes en su política de Firewall de Internet aseguran que sigan las mejores prácticas.

Trabajando con el Asistente de Configuración de Firewall WAN

El Asistente de Configuración de Firewall WAN revisa autónomamente su política utilizando estos chequeos e insights. Cuando una revisión falla, puede revisar y actualizar su política directamente en el Asistente sin editar reglas individuales. Esto le ayuda a mantenerse seguro mientras simplifica la gestión de políticas. Para más información consulte Usando el Asistente de Configuración.

Protecciones Anti-Spoofing en el Firewall de Cato

Una de las funcionalidades básicas de un NGFW es proteger contra ataques de suplantación. Los motores de seguridad en la Cato Cloud descartan implícitamente cualquier conexión donde la IP de origen esté fuera del alcance de la entidad configurada (como sitio, rango de red, dispositivo o usuario). Esto bloquea ataques de suplantación y previene violaciones de la topología lógica configurada.

Trabajando con Reglas Ordenadas

El firewall WAN inspecciona las conexiones secuencialmente y verifica si la conexión coincide con una regla. La regla final en la base de reglas es una regla predeterminada de bloqueo ANY-ANY - por lo que si una conexión no coincide con una regla, entonces es bloqueada por la regla predeterminada final. Una política de control de acceso sólida contiene reglas de firewall que permiten conexiones y tráfico específicos en la WAN.

Puede revisar la configuración de las reglas predeterminadas en la sección Reglas Predeterminadas al final de la base de reglas. Estas configuraciones de reglas no pueden ser editadas.

Las reglas que están en la parte superior de la base de reglas tienen una mayor prioridad porque se aplican a las conexiones antes que las reglas más abajo en la base de reglas. Por ejemplo, si una conexión coincide con la regla #3, la acción se aplica a la conexión, y el firewall deja de inspeccionarla. El firewall no continúa aplicando las reglas #4 y siguientes a la conexión. Puede aumentar la eficiencia del firewall WAN y dar una alta prioridad a las reglas que coincidan con el mayor número de conexiones.

Trabajando con Múltiples Objetos en una Sola Regla

Cuando hay una regla con objetos en múltiples columnas, como una aplicación y un servicio, entonces hay una relación AND entre ellos. Por ejemplo, si hay una regla que permite la aplicación de Servicios de Respaldo para el puerto 443, entonces el tráfico está permitido cuando coincide tanto con la aplicación como con el puerto.

Para reglas que usan múltiples objetos en una sola columna, como más de un puerto, hay una relación OR entre ellos. Por ejemplo, si hay una regla que permite acceso al servidor de correo para el servicio SMTP y los puertos 25, 265, 587, y 2525, entonces el tráfico está permitido cuando coincide con el servicio SMTP o cualquiera de los puertos.

Nota: Cada regla puede tener un máximo de 64 condiciones con una relación Y entre ellas, y las excepciones de una regla se incluyen en el límite de la regla. Por ejemplo, si hay una regla con dos condiciones Y (como una fuente y un servicio), y la regla tiene 25 excepciones con 3 condiciones Y cada una (como una fuente, una aplicación y un servicio), entonces la regla tiene 77 condiciones. Esto excede el límite admitido de 64 condiciones y la regla podría no funcionar correctamente. Sin embargo, puede asignar más de 64 objetos dentro de la misma columna de una regla, ya que hay una relación O entre ellos. Por ejemplo, puede asignar más de 64 aplicaciones en una regla.

Comprendiendo el Recuento de Aciertos

El conteo de impactos le ayuda a identificar reglas no utilizadas que pueden ser eliminadas de una política, y a optimizar la configuración de las reglas para que coincidan mejor con el alcance del tráfico requerido. El conteo de impactos para una regla se basa en el número de eventos generados por la regla. Si una regla no genera eventos, el conteo de impactos es cero.

El conteo de impactos contiene dos números:

El número aproximado de eventos generados por cada regla en la política
La frecuencia con la que la regla es acertada en relación con otras reglas (clasificadas por percentil)

Puede identificar rápidamente las reglas con el conteo de impactos más alto y más bajo, basado en el color de la barra de estado. Este color refleja con qué frecuencia se activa la regla en relación a otras reglas:

Azul: 0 - 24 percentil
Verde: 25 - 49 percentil
Naranja: 50 - 74 percentil
Rojo: 75 - 100 percentil

Restableciendo y Actualizando el Recuento de Aciertos

Los valores de recuento de aciertos se actualizan automáticamente cada 24 horas y se basan en los últimos 14 días de tráfico. Desde los tres puntos al final de cada regla, puede restablecer o actualizar el recuento de aciertos para obtener una visibilidad actualizada. Esto le permite medir con precisión la efectividad de la regla y validar inmediatamente la actividad de la regla.

Restablecer el contador de aciertos para una regla específica del firewall devuelve el recuento de aciertos a 0
Actualizar el contador de aciertos actualiza el recuento de aciertos a demanda para todas las reglas del firewall

Revisiones de Políticas y Edición Concurrente por Múltiples Administradores

El Firewall WAN permite a diferentes administradores editar la política en paralelo. Cada administrador puede editar reglas y guardar los cambios en la base de reglas en su propia revisión privada, y luego publicarlos en la política de la cuenta (la revisión publicada). Para más información sobre cómo gestionar las revisiones de políticas, ver Trabajando con Revisions de Políticas.

Configurando los Ajustes de Tiempo para una Regla

Puede configurar la configuración de tiempo para una regla para que esté habilitada o deshabilitada en una fecha y hora definida. En el menú desplegable Hora, puede configurar el Horario Diario y/o el Periodo Activo.

Puede configurar ambas opciones para que, por ejemplo, la regla esté activa en días laborables durante el mes de mayo de 2025. Alternativamente, puede configurar cada opción de forma independiente para cumplir con sus requisitos.

Comprender el Horario Diario

El Horario Diario define el horario en el que la regla está activa. Si se configura un horario para una regla, en la tabla de reglas, se muestra un símbolo de reloj en la columna Acción.

Las opciones para el Horario Diario son:

Sin restricción de tiempo: No hay horario para la regla. Este es el comportamiento predeterminado de las reglas.
Limitar a horas laborales: La regla está activa solo durante las horas laborales configuradas en la Aplicación de Gestión de Cato. Para más información sobre horas laborales, consulte Definiendo Horas Laborables Predeterminadas para la Cuenta.
Personalizado: Seleccione el horario del día y los días de la semana en que la regla está activa. Desmarque la opción Recurrente y seleccione la Fecha para la configuración de tiempo de la regla.
- Recurrente: La configuración de tiempo se aplicará más de una vez, por ejemplo, todos los martes de 9:00 a.m. a 5:00 p.m.

Comprendiendo el Período Activo

El Periodo Activo define el periodo de fecha y hora en el que la regla está activa en UTC. Si el campo Vigente Desde no está seleccionado, la regla está activa inmediatamente después de ser guardada y publicada.

En la tabla de reglas, si se define un Periodo Activo, se muestra un símbolo de reloj de arena en la columna Acción. El color del símbolo refleja el estado:

Negro: La regla no está activa y se activará en el futuro
Verde: La regla está activa
Rojo: La regla ha expirado

Comprensión de la Configuración para Reglas de Firewall WAN

Esta sección explica los campos y configuraciones para las reglas en la base de reglas del firewall WAN. Una comprensión exhaustiva del firewall WAN ayuda a gestionar exitosamente el control de acceso para la red corporativa.

Acciones de la Regla

La siguiente tabla describe las acciones que cada regla de firewall puede aplicar al tráfico de red. Para las acciones que generan eventos, puede mostrar registros de eventos en Home > Eventos.

Artículo Descripción

Permitir Firewall permite tráfico coincidido.

Bloquear Firewall bloquea tráfico coincidido.

Solicitar

Artículo	Descripción
Permitir	Firewall permite tráfico coincidido.
Bloquear	Firewall bloquea tráfico coincidido.
Solicitar	El firewall redirige el tráfico coincidente a una página web con un mensaje. Al usuario se le solicita decidir si continuar o no. Puede personalizar la página de prompt/bloqueo, consulte Personalización de la Página de Bloquear/Prompt. La página de solicitud de Cato es una página HTML que usa JavaScript y cookies de sesión para gestionar el consentimiento del usuario. Estas cookies son específicas del dominio, temporales y suelen eliminarse cuando se cierra el navegador. Actualmente, Cato utiliza tres prefijos de nombre de cookie, (`tls_cert_err`, `fw_wan`, y `fw_inet`). El manejo de cookies y la persistencia de la sesión dependen de la configuración y comportamiento del usuario, del navegador y del sistema operativo. Para revisar eventos cuando un usuario decide continuar después de una página de aviso, filtre la página de Eventos para mostrar eventos con el campo Acción de Aviso establecido en Continuar.

El firewall redirige el tráfico coincidente a una página web con un mensaje. Al usuario se le solicita decidir si continuar o no. Puede personalizar la página de prompt/bloqueo, consulte Personalización de la Página de Bloquear/Prompt.

La página de solicitud de Cato es una página HTML que usa JavaScript y cookies de sesión para gestionar el consentimiento del usuario. Estas cookies son específicas del dominio, temporales y suelen eliminarse cuando se cierra el navegador. Actualmente, Cato utiliza tres prefijos de nombre de cookie, (tls_cert_err, fw_wan, y fw_inet). El manejo de cookies y la persistencia de la sesión dependen de la configuración y comportamiento del usuario, del navegador y del sistema operativo.

Para revisar eventos cuando un usuario decide continuar después de una página de aviso, filtre la página de Eventos para mostrar eventos con el campo Acción de Aviso establecido en Continuar.

Columnas de Base de Reglas

La siguiente tabla describe cada columna en la base de reglas del firewall WAN. Cuando hay múltiples columnas configuradas para una regla, entonces hay una relación AND entre ellas.

Para más sobre los elementos Fuente, Destino, Aplicación y Categoría de una regla, ver Referencia para Objetos de Regla.

Artículo	Descripción
#	Muestra la prioridad de la regla en la base de reglas de firewall WAN. Utilizar el campo Orden de la Regla para cambiar la prioridad de la regla. Utilizar el conmutador Habilitado para habilitar o deshabilitar la regla. El conmutador está en verde cuando está habilitado.
Nombre	Ingrese un Nombre para la regla
Fuente	Fuente del tráfico para esta regla
Criterios	Definir acceso condicional basado en atributos del dispositivo real de un usuario final u otros dispositivos que se comuniquen en su red, como IoT/OT. Opciones incluyen: Atributos de Dispositivo - Atributos de dispositivos según lo identificado por el motor de detección de Inventario de Dispositivos Plataformas - Sistema operativo del dispositivo (OS) Países - País de origen para la conexión basado en la ubicación física del dispositivo (según la geolocalización de la dirección IP) Perfiles de Postura de Dispositivo - Perfiles de Dispositivo (configurados en Acceso > Postura de Dispositivo) Origen de la Conexión - La geolocalización del dispositivo (remoto o detrás de un sitio)
Dirección	Indica la dirección de la regla. Opciones incluyen: A Hacia - Esta regla permite el tráfico solo en una dirección, de la Fuente al Destino. Por ejemplo, el sitio Alpha está permitido para conectar al sitio Bravo, pero el sitio Bravo no puede conectar con el sitio Alpha. Ambas - Esta regla gestiona el tráfico en ambas direcciones, hacia y desde la Fuente y Destino.
Destino	Destino del tráfico para esta regla
Aplicación/Categoría	Solo se aplica a objetos coincidentes para aplicaciones específicas, categorías y otros objetos
Servicio/Puerto	Solo se aplica al tráfico que coincide con los servicios y puertos especificados
Acción	Aplicar la acción especificada al tráfico que coincide con la regla Por ejemplo, cuando el tráfico es bloqueado, la conexión se descarta y las reglas de menor prioridad no se aplican a esta conexión
Seguimiento	Cuando la regla coincide, se genera un evento o se envía una alerta de notificación por correo electrónico a la lista especificada
Recuento de Aciertos	El recuento de aciertos para esta regla
	Abre un menú desplegable con estas opciones: Agregar Regla Arriba - Agregar una nueva regla arriba de la regla seleccionada Agregar Regla Abajo - Agregar una nueva regla debajo de la regla seleccionada Duplicar Regla: Crear una nueva regla idéntica directamente debajo de la regla original seleccionada en la misma sección Mover Regla - Cambiar la prioridad de la regla definiendo una posición diferente para ella en el orden de las reglas Añadir Excepción - Crear una nueva excepción a la regla seleccionada Habilitar/Deshabilitar - Cuando una regla está deshabilitada, el firewall no inspecciona las conexiones para la configuración en la regla Ver Eventos de Regla - Mostrar la página de Eventos prefiltrada para eventos relacionados con la regla Eliminar Regla - Eliminar la regla seleccionada

Recursos Relacionados para el Firewall WAN

Para más información sobre las aplicaciones y categorías, vea Trabajando con Categorías
Para más información sobre la configuración en el firewall WAN, vea Administración de la política del firewall WAN