Gestión de la Política del Firewall de Internet

Este artículo explica cómo gestionar la política del firewall de Internet para controlar el acceso a Internet de su organización.

Para obtener más información sobre la política del firewall de Internet en Cato, consulte ¿Qué es el Firewall de Internet de Cato?.

Visión general

El firewall de Internet inspecciona el tráfico entre la WAN y el Internet y le permite crear reglas para controlar este tráfico. Similar al firewall WAN, el firewall de Internet utiliza una base de reglas ordenadas, comenzando desde la primera regla, las conexiones se inspeccionan según cada regla.

El Firewall de Internet permite que diferentes admins editen la política en paralelo. Cada admin puede editar reglas y guardar los cambios en la base de reglas en su propia revisión privada, y luego publicarlos en la política de cuentas (la revisión publicada). Para más información sobre cómo gestionar revisiones de políticas, consulte Trabajando con Revisiones de Políticas.

La asistente de configuración del Cortafuegos de Internet revisa su política de manera autónoma utilizando estas verificaciones y conocimientos. Cuando una verificación falla, puede revisar y actualizar su política directamente en la asistente sin editar reglas individuales. Esto le ayuda a mantenerse seguro mientras simplifica la gestión de políticas.

Configuración de la política de Cortafuegos de Internet

Esta sección explica los procedimientos para crear reglas del firewall de Internet, anular bloqueos para editar reglas y publicar o descartar una revisión no publicada.

Creación de nuevas reglas de Cortafuegos de Internet

Cree reglas de Firewall de Internet y guarde los cambios en su revisión no publicada.

Para más información sobre los elementos Fuente, Aplicación y Categoría para una regla, consulte Referencia para objetos de regla.

Las opciones de Time definen el rango de tiempo en el que la regla está habilitada. Puede configurar opciones personalizadas para una regla, o elegir las horas de trabajo predeterminadas que están definidas para la cuenta.

Para crear una nueva regla para el firewall de Internet:

Desde el menú de navegación, seleccione Security > Internet Firewall.

La página de Firewall de Internet se abre a su revisión no publicada existente, o a la revisión publicada más reciente.
Haga clic en New.
Ingrese el Name para la regla.
Habilite o deshabilite la regla usando el control deslizante (verde está habilitado, gris está deshabilitado).
Configure el Rule Order para esta regla.

Para más información sobre las opciones de orden de reglas, consulte ¿Qué es el Firewall de Internet de Cato?.
Expanda Source y seleccione el tipo de fuente.
- Seleccione el tipo (por ejemplo: Host, Network Interface, IP, Any). El valor predeterminado es Any.
- Cuando sea necesario, seleccione un objeto específico de la lista desplegable para ese tipo.
Expand the Device section and add the device conditions to the rule. Para más información, ver Añadiendo Condiciones de Dispositivo a Reglas de Firewall. Los valores predeterminados son Any.
Expanda la sección App/Category y seleccione una o más aplicaciones para la regla.

Cuando hay más de un objeto de App/Category en una regla, hay una relación OR entre ellos. El valor predeterminado es Any.
Expanda la sección Service/Port y defina el tipo o tipos (Service, Port/Protocol, Any) que se aplican a esta regla.

Cuando hay más de un objeto de Service/Ports en una regla, hay una relación OR entre ellos. El valor predeterminado es Any.
Seleccione la Action para esta regla. Las opciones son Allow, Block, Prompt.
(Opcional) Configurar opciones de seguimiento para generar Eventos y Enviar notificación. La frecuencia comienza a contar después de que se envíe la primera notificación.

Para obtener más información sobre notificaciones, consulte el artículo relevante sobre Grupos de Suscripción, Listas de Correo y Integraciones de Alertas en la sección de Alertas.
(Optional) Configure las opciones de Time que definen cuándo esta regla está habilitada.
Haga clic en Apply. La nueva regla se añade a la base de reglas.
Haz clic en Guardar.

Los cambios se guardan en su revisión no publicada, y están disponibles para editar hasta que sean publicados o descartados.

Uso de excepciones para permitir conexiones a Internet

Puede usar excepciones en la base de reglas de firewall de Internet para ignorar una regla específica y continuar con las reglas de menor prioridad. Recuerde asegurarse de que una regla de menor prioridad no coincida y bloquee el tráfico. La regla final implícita ANY ANY Allow permite todo el tráfico. Por ejemplo, si la regla #3 bloquea el acceso a la categoría de Contratación, puede crear una excepción que no bloquee el acceso para el departamento de Recursos Humanos (RRHH).

La excepción para una regla es un subconjunto de la regla, y algunas configuraciones se aplican tanto a la regla como a la excepción:

Cuando deshabilita la regla, la excepción también se deshabilita
Cuando mueve la regla y cambia la prioridad, la excepción también se mueve

Para añadir una excepción a una regla de firewall:

Desde el menú de navegación, seleccione Security > Internet Firewall.
A la derecha de la regla, haga clic en y seleccione Añadir excepción.

Se abre el panel Add Exception.
Expanda y configure las configuraciones para la excepción de regla.

La Acción de la regla principal no se aplica a la excepción de regla.
Haga clic en Apply. La excepción se añade debajo de la regla.
Haz clic en Guardar. La excepción se guarda en su revisión no publicada y está disponible para editar hasta que sea publicada o descartada.

Para eliminar una excepción de una regla de firewall:

Desde el menú de navegación, seleccione Security > Internet Firewall.
Desde la columna derecha de la regla, haga clic en y en la ventana emergente seleccione Eliminar excepción.

La excepción se elimina de la regla.
Haz clic en Guardar. La excepción se elimina de su revisión no publicada, y puede publicar la revisión para eliminar la excepción de la política de la cuenta.

Limitaciones conocidas

Para la aplicación Facebook Messenger, no es posible usar el Firewall de Internet para bloquear la aplicación Messenger y permitir la aplicación Facebook porque Messenger comparte el mismo dominio que Facebook para cargar recursos. Puede usar la política de Control de Aplicaciones CASB para gestionar el acceso a estas aplicaciones.