Este artículo proporciona información básica sobre el firewall de Internet para su cuenta.
Para más información sobre la configuración del firewall de Internet, consulte Gestión de la Política de Firewall de Internet.
El firewall de Internet inspecciona el tráfico entre la WAN y el Internet y le permite crear reglas para controlar este tráfico. Similar al firewall de WAN, el firewall de Internet utiliza una base de reglas ordenadas; comenzando desde la primera regla, las conexiones se inspeccionan de acuerdo a cada regla. El firewall de Internet utiliza un enfoque de lista negra. Esto significa que hay una regla ANY - ANY implícita para permitir cualquier tráfico y conexiones que no estén explícitamente bloqueadas en la base de reglas. El firewall de Internet también incluye funcionalidad completa de capa 7 con Conciencia de Usuario, y puede crear reglas para aplicaciones específicas. Por ejemplo, puede usar el firewall de Internet para:
-
Bloquear sitios web específicos como Facebook o LinkedIn
-
Bloquear categorías de sitios web inapropiados, como Armas, Alcohol y Juegos de Azar
-
Permitir solo al departamento de TI usar aplicaciones de administración remota (SaaS y IaaS)
The Autonomous Firewall Insights are a list of best practices that evaluate your Internet Firewall policy and show how they comply with Cato’s recommendations. Seguir estas recomendaciones optimiza la configuración de su firewall y mejora la postura de seguridad.
Existen dos tipos de insights:
-
Icono de estrella (impulsado por IA): Las reglas habilitadas en tu política de Firewall de Internet son analizadas automáticamente por Inteligencia Artificial (IA) para detectar problemas, por ejemplo, reglas que pueden descartarse o modificarse, como:
-
Regla Expirada o Regla con Fecha de Expiración Futura: Reglas creadas para atender una necesidad específica y tienen una fecha de corte deseable que ya ha pasado, que aún no se ha alcanzado o que no puede probarse/evaluarse.
-
Regla Temporal: Introducida como una solución a corto plazo para atender una necesidad inmediata. Estas reglas se crean principalmente para funcionar temporalmente mientras se despliega o desarrolla una solución adecuada o permanente.
-
Regla de Prueba: Reglas creadas explícitamente para validar, depurar o experimentar con una característica o escenario específico.
-
Regla No Utilizada: identifica reglas del firewall con una acción de Permitir que no han generado eventos en los últimos 30 días
-
Verificación de Reglas Contradictorias: identifica reglas del firewall con predicados idénticos pero acciones diferentes, lo que puede crear conflictos que evitan que se apliquen reglas de menor prioridad
-
-
Basado en Configuración: Las configuraciones y ajustes en tu política de Firewall de Internet son para asegurar que sigan las mejores prácticas.
Una de las funcionalidades básicas de un NGFW es proteger contra ataques de anti-suplantación. Los motores de seguridad en el Cato Cloud descartan implícitamente cualquier conexión donde la IP de origen esté fuera del alcance de la entidad configurada (como sitio, rango de red, dispositivo o usuario). Esto bloquea ataques de anti-suplantación y previene violaciones de la topología lógica configurada.
El firewall de Internet inspecciona las conexiones secuencialmente, y verifica si la conexión coincide con una regla. La regla final en la base de reglas es una regla implícita de permitir ANY - ANY - por lo que si una conexión no coincide con una regla, entonces es permitida por la regla implícita final.
Las reglas que están en la parte superior de la base de reglas tienen una prioridad más alta porque se aplican a las conexiones antes que las reglas más abajo en la base de reglas. Si una conexión coincide con la regla #3, la acción se aplica a la conexión y el firewall deja de inspeccionarla. El firewall no continúa aplicando las reglas #4 y siguientes a la conexión.
Trabajando con el Asistente de Configuración del Cortafuegos de Internet
El Asistente de Configuración del Cortafuegos de Internet revisa autónomamente su política usando estos chequeos e información. Cuando un chequeo falla, puede revisar y actualizar su política directamente en el Asistente sin editar reglas individuales. Esto le ayuda a mantenerse seguro mientras simplifica la gestión de políticas.
El Acuerdo de Servicio Maestro de Cato Networks (MSA) define el tráfico que es potencialmente ilegal o malicioso y que es bloqueado automáticamente. Hay una regla implícita oculta en la parte superior de la base de reglas del firewall de Internet que bloquea estas conexiones.
Para más sobre el MSA, consulte Cato Networks MSA.
Cuando hay una regla con objetos en múltiples columnas, como una aplicación y un servicio, entonces hay una relación AND entre ellos. Por ejemplo, si hay una regla que bloquea la aplicación de Netflix para el puerto 443, entonces el tráfico es bloqueado cuando coincide tanto con la aplicación como con el puerto.
Para las reglas que utilizan múltiples objetos en una sola columna, como más de una aplicación, entonces hay una relación OR entre ellas. Por ejemplo, si hay una regla que bloquea el acceso a las aplicaciones de Netflix, iTunes y YouTube, entonces el tráfico es bloqueado cuando coincide con cualquiera de las aplicaciones.
Note
Nota: Cada regla puede tener un máximo de 64 condiciones con una relación AND entre ellas, y las excepciones de una regla están incluidas en el límite de la regla. Por ejemplo, si hay una regla con dos condiciones AND (como una fuente y un servicio), y la regla tiene 25 excepciones con 3 condiciones AND cada una (como una fuente, una app, y un servicio), entonces la regla tiene 77 condiciones. Esto excede el límite soportado de 64 condiciones y la regla podría no funcionar correctamente. Sin embargo, puede asignar más de 64 objetos dentro de la misma columna de una regla, ya que hay una relación OR entre ellos. Por ejemplo, puede asignar más de 64 apps en una regla.
El recuento de impacto le ayuda a identificar reglas no utilizadas que pueden ser eliminadas de una política, y optimizar la configuración de reglas para que coincidan mejor con el alcance de tráfico requerido. El recuento de impacto de una regla se basa en el número de eventos generados por la regla. Si una regla no genera eventos, el recuento de impacto es cero.
El recuento de impacto contiene dos números:
-
El número aproximado de eventos generados por cada regla en la política
-
Con qué frecuencia la regla es activada en relación con otras reglas (clasificada por percentil)
Estos valores se actualizan una vez cada 24 horas y se basan en los últimos 14 días de tráfico.
Puede identificar rápidamente las reglas con el recuento de impacto más alto y más bajo, basado en el color de la barra de estado. Este color refleja con qué frecuencia la regla es activada en relación a otras reglas:
-
Azul: 0 - 24 percentil
-
Verde: 25 - 49 percentil
-
Naranja: 50 - 74 percentil
-
Rojo: 75 - 100 percentil
El Firewall de Internet permite a diferentes administradores editar la política en paralelo. Cada administrador puede editar reglas y guardar los cambios en la base de reglas en su propia revisión privada, y luego publicarlos en la política de la cuenta (la revisión publicada). For more information on how to manage policy revisions, see Working with Policy Revisions.
Esta sección explica los campos y configuraciones para las reglas en la base de reglas del firewall de Internet. Una comprensión exhaustiva del firewall de Internet ayuda a gestionar con éxito el control de acceso para la red corporativa.
La siguiente tabla describe las acciones que cada regla de firewall puede aplicar al tráfico de red. Para acciones que generan eventos, puede mostrar registros de eventos en Inicio > Eventos.
|
Ítem |
Descripción |
|---|---|
|
Permitir |
El firewall permite el tráfico coincidente. |
|
Bloquear |
El firewall bloquea el tráfico coincidente. |
|
Aviso |
El firewall redirige el tráfico coincidente hacia una página web con un mensaje. Se le solicita al usuario que decida si continuar o no. Puede personalizar la página web de aviso, consulte Personalización de la Página de Advertencia / Bloqueo. To review events for when a user chooses to proceed after a prompt page, filter the Events page to show events with the Prompt Action field set with the value Proceed. mm |
|
Navegación Remota (RBI) |
Matching traffic is delivered by RBI. |
|
Portal Cautivo |
Matching traffic is directed to the captive portal. |
For a description of the different rulebase columns and Source, App, and Category items for rules, see What is the Cato WAN Firewall? and Reference for Rule Objects. A diferencia del firewall de WAN, el Destino para el firewall de Internet es siempre el Internet. Cuando hay múltiples columnas configuradas para una regla, entonces hay una relación AND entre ellas.
El orden de las reglas se define estableciendo la posición de una regla en relación con otras reglas. Por ejemplo, establecer una regla para seguir una regla específica, o para ser la primera en una sección.
Estas son las opciones para definir el orden de la regla:
-
Antes de la Regla - La regla se posiciona inmediatamente antes de la regla seleccionada
-
Después de la Regla - La regla se posiciona inmediatamente después de la regla seleccionada
-
Primera en la Sección - La regla se posiciona primero en la sección seleccionada
-
Última en la Sección - La regla se posiciona última en la sección seleccionada
-
Primera - La regla se posiciona en la parte superior de la base de reglas
-
Última - La regla se posiciona en la parte inferior de la base de reglas
El firewall de Internet en el Cato Cloud le permite controlar el acceso a Internet para su red corporativa. Cree fácilmente una política de seguridad de Internet que permita a los usuarios acceder a contenido web relacionado con negocios y bloquee sitios web inapropiados, aplicaciones, y así sucesivamente.
0 comentarios
Inicie sesión para dejar un comentario.