Este artículo ofrece información de fondo sobre el firewall de Internet para su cuenta.
Para obtener más información sobre la configuración del firewall de Internet, consulte Administración de la Política de Firewall de Internet.
El firewall de Internet inspecciona el tráfico entre la WAN y el Internet y le permite crear reglas para controlar este tráfico. Similar al firewall de WAN, el firewall de Internet utiliza una base de reglas ordenada, comenzando desde la primera regla, las conexiones se inspeccionan de acuerdo con cada regla. El firewall de Internet utiliza un enfoque de lista negra. Esto significa que hay una regla implícita ANY - ANY para permitir cualquier tráfico y conexiones que no estén explícitamente bloqueadas en la base de reglas. El firewall de Internet también incluye funcionalidad completa de capa 7 con Conciencia de Usuario, y puede crear reglas para aplicaciones específicas. Por ejemplo, puede utilizar el firewall de Internet para:
- Bloquear sitio Web específico, como Facebook o LinkedIn
- Bloquear categorías de sitios Web inapropiados, como Armas, Alcohol, y Juegos de Azar
- Permitir solo al Departamento de IT usar aplicaciones de administración de conexión de origen (SaaS y IaaS)
Los Insights del Firewall Autónomo son una lista de mejores prácticas que evalúan su política de Firewall de Internet y muestran cómo cumplen con las recomendaciones de Cato. Seguir estas recomendaciones optimiza sus configuraciones de firewall y mejora la postura de seguridad.
Hay dos tipos de perspectivas:
-
Icono de estrella (alimentado por IA): Las reglas habilitadas en su política de Firewall de Internet son analizadas automáticamente por Inteligencia Artificial (IA) para detectar problemas, por ejemplo, reglas que pueden ser descartadas o modificadas como:
- Regla Expirada o Regla con Fecha de Expiración Futura: Reglas creadas para abordar una necesidad específica y tienen una fecha de corte deseable que ya ha pasado o que aún no se ha alcanzado o no puede ser comprobada/evaluada.
- Regla Temporal: Introducida como una solución a corto plazo para abordar una necesidad inmediata. Estas reglas son creadas en su mayoría para funcionar temporalmente mientras se despliega o desarrolla una solución adecuada o permanente.
- Regla de Prueba: Reglas creadas explícitamente para validar, depurar o experimentar con una característica o escenario específico.
- Regla No Utilizada: Identifica reglas de firewall con una acción de Permitir que no han generado eventos en los últimos 60 días
- Verificación de Reglas Contradictorias: Identifica reglas de firewall con predicados idénticos pero acciones diferentes, lo que puede crear conflictos que impiden que se apliquen reglas de menor prioridad
- Basado en Configuración: Las configuraciones y ajustes en su política de Cortafuegos de Internet están para garantizar que sigan las mejores prácticas.
El Asistente de Configuración del Cortafuegos de Internet revisa de forma autónoma su política de implementación utilizando estos controles e información. Cuando una verificación falla, puede revisar y actualizar su política directamente en el Asistente sin editar reglas individuales. Esto le ayuda a mantenerse seguro mientras simplifica la gestión de políticas. Para más información, consulte Usando el Asistente de Configuración.
Una de las funcionalidades básicas de un NGFW es proteger contra ataques de suplantación. Los motores de seguridad en el Cato Cloud descartan implícitamente cualquier conexión donde la IP de origen está fuera del alcance de la entidad configurada (como sitio, rango de red, dispositivo o usuario). Esto bloquea ataques de suplantación y previene violaciones de la topología lógica configurada.
El firewall de Internet inspecciona las conexiones secuencialmente y verifica si la conexión coincide con una regla. La última regla en la base de reglas es una regla de permiso implícita ANY - ANY, por lo que si una conexión no coincide con una regla, entonces se permite bajo la regla implícita final.
Las reglas que están en la parte superior de la base de reglas tienen una mayor prioridad porque se aplican a las conexiones antes que las reglas más abajo en la base de reglas. Si una conexión coincide en la regla #3, la acción se aplica a la conexión y el firewall deja de inspeccionarla. El firewall no continúa aplicando las reglas #4 y siguientes a la conexión.
Cuando hay una regla con objetos en múltiples columnas, como una aplicación y un servicio, entonces hay una relación AND entre ellos. Por ejemplo, si hay una regla que bloquea la aplicación Netflix para el puerto 443, entonces el tráfico se bloquea cuando coincide tanto con la aplicación como con el puerto.
Para reglas que utilizan múltiples objetos en una sola columna, como más de una aplicación, entonces hay una relación OR entre ellos. Por ejemplo, si hay una regla que bloquea el acceso a las aplicaciones Netflix, iTunes y YouTube, entonces el tráfico se bloquea cuando coincide con cualquiera de las aplicaciones.
Nota
Nota: Cada regla puede tener un máximo de 64 condiciones con una relación AND entre ellas, y las excepciones de la regla se incluyen en el límite de la regla. Por ejemplo, si hay una regla con dos condiciones AND (como una fuente y un servicio), y la regla tiene 25 excepciones con 3 condiciones AND cada una (como una fuente, una app, y un servicio), entonces la regla tiene 77 condiciones. Esto excede el límite soportado de 64 condiciones y la regla puede no funcionar correctamente. Sin embargo, puede asignar más de 64 objetos dentro de la misma columna de una regla, ya que hay una relación OR entre ellos. Por ejemplo, puede asignar más de 64 apps en una regla.
El recuento de hits le ayuda a identificar reglas sin uso que pueden eliminarse de una política, y optimizar la configuración de reglas para que coincidan mejor con el alcance del tráfico requerido. El recuento de hits para una regla se basa en el número de eventos generados por la regla. Si una regla no genera eventos, el recuento de hits es cero.
El recuento de hits contiene dos números:
- El número aproximado de eventos generados por cada regla en la política
- Con qué frecuencia se impacta la regla en relación con otras reglas (clasificadas por percentil)
Estos valores se actualizan una vez cada 24 horas y se basan en los últimos 14 días de tráfico.
Puede identificar rápidamente las reglas con el recuento de hits más alto y más bajo, basado en el color de la barra de estado. Este color refleja con qué frecuencia la regla es golpeada en relación con otras reglas:
- Azul: percentil 0 - 24
- Verde: percentil 25 - 49
- Naranja: percentil 50 - 74
- Rojo: percentil 75 - 100
Los valores del recuento de aciertos se actualizan automáticamente cada 24 horas y se basan en los últimos 14 días de tráfico. Desde los tres puntos al final de cada regla, puede restablecer o actualizar el recuento de aciertos para obtener una visibilidad actualizada. Esto le permite medir con precisión la efectividad de la regla y validar inmediatamente la actividad de la regla.
- Restablecer el contador de aciertos para una regla específica de firewall devuelve el recuento de aciertos a 0
- Actualizar el contador de aciertos actualiza el recuento de aciertos a demanda para todas las reglas de firewall
El Firewall de Internet permite que diferentes administradores editen la política en paralelo. Cada administrador puede editar reglas y guardar los cambios en la base de reglas en su propia revisión privada, y luego publicarlos en la política de la cuenta (la revisión publicada). Para más información sobre cómo gestionar las revisiones de políticas, ver Trabajando con Revisions de Políticas.
Puedes configurar la hora para una regla para que esté habilitada o deshabilitada en una fecha y hora definidas. En el menú desplegable de Hora, puedes configurar el Horario diario y/o el Período activo.
Puede configurar ambas opciones para que, por ejemplo, la regla esté activa en los días laborables durante el mes de mayo de 2025. Alternativamente, puede configurar cada opción independientemente para cumplir con sus requisitos.
El Horario diario define el horario para cuando la regla está activa. Si se configura un horario para una regla, en la tabla de reglas se muestra un símbolo de reloj en la columna Acción.
Las opciones para el Horario diario son:
- Sin restricción de tiempo: No hay horario para la regla. Este es el comportamiento predeterminado de las reglas.
- Limitar a horario laboral: La regla está activa solo durante el horario laboral configurado en la Aplicación de Gestión de Cato. Para más información sobre horas laborales, consulte Definiendo Horas Laborables Predeterminadas para la Cuenta.
-
Personalizado: Seleccione la hora del día y los días de la semana en que la regla está activa. Desmarque la opción Recurrente, y seleccione la Fecha la configuración de tiempo para la regla.
- Periódico: La configuración de tiempo se aplicará más de una vez, por ejemplo, todos los martes de 9:00am a 5:00pm.
El Período activo define el período de fecha y hora en que la regla está activa en UTC. Si el campo Vigente Desde no está seleccionado, la regla está activa inmediatamente después de que la regla se guarda y publica.
En la tabla de reglas, si se define un Período activo, se muestra un símbolo de reloj de arena en la columna Acción. El color del símbolo refleja el estado:
- Negro: La regla no está activa y se activará en el futuro
- Verde: La regla está activa
- Rojo: La regla ha expirado
El Acuerdo de Servicios Maestros de Cato Networks (MSA) define el tráfico que es potencialmente ilegal o malicioso que se bloquea automáticamente. Hay una regla implícita oculta en la parte superior de la base de reglas del firewall de Internet que bloquea estas conexiones.
Para más información sobre el MSA, consulte MSA de Cato Networks.
Esta sección explica los campos y ajustes para las reglas en la base de reglas del firewall de Internet. Una comprensión detallada del firewall de Internet ayuda a gestionar exitosamente el control de acceso para la red corporativa.
La siguiente tabla describe las acciones que cada regla de firewall puede aplicar al tráfico de la red. Para acciones que generan eventos, puede mostrar registros de eventos en Inicio > Eventos.
| Artículo | Descripción |
|---|---|
| Permitir | Firewall permite tráfico coincidente. |
| Bloquear | Firewall bloquea tráfico coincidente. |
| Solicitar |
El firewall redirige el tráfico coincidente a una página web con un mensaje. Se solicita al usuario decidir si continuar o no. Puede personalizar la página de prompt/bloqueo, consulte Personalización de la Página de Bloquear/Prompt. La página de aviso de Cato es una página HTML que utiliza JavaScript y cookies de sesión para gestionar el consentimiento del usuario. Estas cookies son específicas del dominio, temporales, y por lo general se eliminan cuando el navegador se cierra. Cato actualmente usa tres prefijos de nombre de cookie, ( Para revisar eventos cuando un usuario decide continuar después de una página de aviso, filtre la página de Eventos para mostrar eventos con el campo Acción de Aviso establecido en Continuar. |
| Navegación Remota (RBI) | El tráfico coincidente es entregado por RBI. |
| Portal cautivo | El tráfico coincidente es dirigido al portal cautivo. |
Para una descripción de las diferentes columnas de la base de reglas y elementos de Fuente, App, y Categoría para las reglas, consulte ¿Qué es el Cato WAN Firewall? y Referencia para Objetos de Regla. A diferencia del Firewall de WAN, el Destino del firewall de Internet es siempre la Internet. Cuando hay múltiples columnas configuradas para una regla, entonces existe una relación Y entre ellas.
El orden de las reglas se define al establecer la posición de una regla en relación con otras reglas. Por ejemplo, establecer una regla para seguir una regla específica o para ser la primera en una sección.
Estas son las opciones para definir el orden de las reglas:
- Antes de la Regla - La regla se posiciona inmediatamente antes de la regla seleccionada
- Después de la Regla - La regla se posiciona inmediatamente después de la regla seleccionada
- Primero en la Sección - La regla se posiciona primero en la sección seleccionada
- Último en la Sección - La regla se posiciona último en la sección seleccionada
- Primero - La regla se posiciona en la parte superior de la base de reglas
- Último - La regla se posiciona en la parte inferior de la base de reglas
0 comentarios
Inicie sesión para dejar un comentario.