Remarque
Note : Migration automatique à venir des règles de pare-feu LAN des sites vers la politique de niveau compte
Nous avons récemment publié le pare-feu LAN Socket Next Gen qui offre des configurations de niveau compte et une application de couche 7. À partir du 1er juillet 2025, nous migrerons les règles de pare-feu LAN existantes au niveau des sites vers la politique de niveau compte.
- Chaque règle de niveau site sera automatiquement configurée dans la nouvelle politique comme une règle réseau pour spécifier le routage, et une règle de pare-feu pour autoriser ou bloquer le trafic
- Les règles pour chaque site seront ajoutées comme une section distincte dans la base de règles
- La migration est un processus automatique et sans interruption de service anticipée
- Si vous êtes intéressé à migrer votre politique avant le 1er juillet, veuillez contacter ea@catonetworks.com
Vue d'ensemble
Le comportement par défaut pour le Socket est de transmettre tout le trafic WAN et Internet au PoP pour une inspection de sécurité. Cela inclut le trafic LAN entre des segments de réseau adjacents sur un site (par exemple, VLANs). Dans certains scénarios, vous pouvez vouloir remplacer le comportement par défaut et configurer le Socket sur un site pour permettre ou bloquer la communication entre deux segments de réseau ou hôtes, directement sur le Socket, sans envoyer le trafic au PoP de Cato. Avec la politique de firewall LAN, vous pouvez configurer des règles pour autoriser ou bloquer le trafic LAN directement sur le Socket. Optionnellement, vous pouvez activer le suivi (événements) pour chaque règle.
Remarque
Remarque : Le firewall LAN est une amélioration de la politique de routage local. Pour plus d'informations, voir ci-dessous Prérequis pour l'utilisation du firewall LAN et Mise à niveau de la politique de routage local vers le firewall LAN.
Le firewall LAN vous permet de bloquer ou autoriser certains types de trafic au niveau du Socket, en créant des politiques selon vos besoins.
Le diagramme ci-dessous montre une règle de firewall LAN qui autorise le trafic de LAN1 à LAN2.
Ce diagramme montre une règle de firewall LAN qui bloque le trafic de LAN1 à LAN2.
Voici un exemple de base de configuration des règles de firewall LAN. Chaque règle est expliquée ci-dessous :
Règle 1 - 'Bloquer l'invité' - Cette règle empêche les hôtes utilisant le réseau 'Guest-Wifi' d'accéder à tout autre hôte ou ressource interne sur le site tout en suivant ces événements. Les hôtes peuvent toujours accéder à Internet.
Règle 2 - 'Autoriser le partage de fichiers' - Cette règle permet uniquement aux hôtes connectés au réseau 'Corp-Users' de se connecter aux serveurs sur le réseau local 'File-Servers' via HTTPS ou SMB (TCP/445). Chaque flux est suivi dans les événements. Avec cette politique de permettre localement, la surcharge du tunnel pour SMB et HTTPS entre les réseaux est réduite puisque le trafic est géré localement sur le site et ne traverse pas le tunnel.
Règle 3 - 'Autoriser le serveur CCTV' - Cette règle permet aux hôtes du réseau 'IOT-Cameras' de se connecter au réseau 'IOT-File-Servers' uniquement via HTTPS. Chaque flux est suivi dans les événements.
Comportement implicite - Tout autre trafic d'hôte qui n'est pas défini dans la base de règles sera envoyé au PoP de Cato pour inspection avant de revenir à 'File-Servers'. Par exemple, tout trafic de 'Corp-Users' vers 'File-Servers' via TCP/21 (FTP) ne correspondra pas à la base de règles d'exemple et déclenchera le comportement par défaut (envoyer le trafic au PoP de Cato).
La politique de firewall LAN est traitée dans un ordre allant de la première à la dernière règle configurée. Une fois qu'une règle est trouvée, une action est appliquée. Sinon, le trafic est envoyé par défaut au PoP de Cato.
Les règles en haut de la base de règles ont une priorité plus élevée car elles sont appliquées aux connexions avant les règles plus basses dans la base. Par exemple, si une connexion correspond à la règle #3, l'action est appliquée à la connexion et le firewall cesse de l'inspecter. Le firewall ne continue pas à appliquer les règles #4 et suivantes à la connexion. Vous pouvez augmenter l'efficacité du firewall LAN et donner une haute priorité aux règles qui correspondent au plus grand nombre de connexions.
Le tableau suivant représente la performance supportée par le firewall LAN pour chaque modèle de Socket.
Remarque : Les valeurs représentées ci-dessous sont basées sur des tests unidimensionnels de Socket v19.0 en environnement de laboratoire.
|
Modèle Socket |
TCP BW |
UDP BW |
|---|---|---|
|
X1500 |
jusqu'à 1 Gb/s |
jusqu'à 2 Gb/s |
|
X1600 |
jusqu'à 8 Gb/s |
jusqu'à 8,5 Gb/s |
|
X1700 |
jusqu'à 10 Gb/s |
jusqu'à 12 Gb/s |
Le firewall LAN est une amélioration de la politique de routage local existante. Cette fonctionnalité est activée par site.
Assurez-vous que tous les Sockets du site utilisent la version 18.0 ou supérieure.
-
Si aucune règle de routage local n'est configurée pour le site, vous pouvez immédiatement le mettre à niveau vers la politique de firewall LAN
-
Si des règles de routage local sont activées pour le site, migrez les règles de routage local vers le pare-feu LAN, voir Mise à niveau de la politique de routage local vers le pare-feu LAN
-
Après avoir effectué la mise à niveau vers le firewall LAN, activez la fonctionnalité (commutateur Firewall LAN activé en haut à droite de l'écran).
Lorsque cette fonctionnalité est désactivée, tout le trafic est envoyé au PoP.
Cette section explique comment définir des règles pour le firewall LAN et les objets, ports et services que vous pouvez configurer.
Créez une nouvelle règle de firewall LAN et configurez les paramètres de la règle pour gérer le routage du trafic LAN. Utilisez l'option Ajouter une règle en dessous pour ajouter facilement une règle à l'emplacement correct dans la base de règles.
Remarque
Remarque : Appliquer la nouvelle configuration au Socket peut prendre jusqu'à une minute.
Pour définir une règle de firewall LAN :
-
Dans le menu de navigation, cliquez sur Réseau > Sites et sélectionnez le site.
-
Dans le menu de navigation, cliquez sur Configuration du site > Firewall LAN.
-
Cliquez sur Nouveau. Le panneau Ajouter une règle s'ouvre.
-
Dans la section Général :
-
Saisissez un Nom pour la nouvelle règle.
-
Par défaut, la règle est activée. Vous pouvez désactiver la règle en utilisant le commutateur activée.
-
Sous Direction, sélectionnez To pour autoriser le trafic dans une seule direction, ou Both pour autoriser le trafic bidirectionnel.
-
Choisissez l'ordre de la règle. Nous vous recommandons de définir un ordre de règle élevé pour les règles plus spécifiques et un ordre bas pour les règles moins spécifiques.
Remarque: Veuillez consulter la section "Travailler avec la base des règles du pare-feu LAN" pour plus d'informations sur la configuration de l'ordre des règles.
-
-
Développez les sections Source et Destination, définissez les entités source et destination du trafic pour cette règle.
-
Développez la section Service/Port, sélectionnez les protocoles auxquels la règle s'applique.
-
Si sélectionné Port/Protocol, définissez le port et le protocole pertinents comme vous le souhaitez au format "Protocol/Port" (c'est-à-dire. TCP/80-88, UDP/53, ICMP etc.)
-
Si sélectionné Service Simple, sélectionnez les services de couche 4 pertinents comme prévu.
La liste des services prédéfinis est basée sur la définition RFC de chaque service.
-
-
Section NAT :
-
Activer NAT - Facultativement, activez le NAT sur l'interface de sortie. Cela traduit toutes les IPs d'origine en une IP NAT.
-
-
Dans la section Actions :
-
Autoriser localement - Cette action permet de faire correspondre le trafic local entre les réseaux LAN du Socket.
-
Bloquer localement - Cette action bloque le trafic correspondant localement entre les réseaux LAN du Socket.
Remarque : Si le trafic ne correspond à aucune des règles, l'action par défaut est Envoyer au PoP.
-
-
Dans la section Actions sous Suivi :
-
Facultativement, activez la case à cocher Événement. Lorsqu'une correspondance est trouvée, un événement est généré pour cette règle.
-
-
Cliquez sur Appliquer, puis cliquez sur Sauvegarder.
Il existe des scénarios nécessitant l'utilisation du NAT entre les réseaux LAN au sein d'un site, cela peut se produire entre deux (ou plusieurs) réseaux connectés directement, ou entre des réseaux routés (routes statiques ou routes BGP).
-
NAT est configurable uniquement dans la direction To.
-
Après avoir sauvegardé la configuration de la règle, l'application de gestion Cato calcule automatiquement le Réseau Sortant et l'IP Sortante pour la règle.
Les objets source et destination suivants peuvent être définis :
-
Portée Globale - Portée native pour l'interface LAN d'un site.
-
Hôte - Hôtes et serveurs définis sur le site.
-
Sous-réseau d'interface - VLAN, portées routées ou directes, ou une deuxième portée native AWS vSocket.
-
Interface Réseau - Sous-réseaux et portées réseau définis pour les interfaces LAN d'un site.
-
Tout - Toute source ou destination au sein du site.
Vous pouvez activer en option le suivi des événements pour chaque règle définie dans le pare-feu LAN.
Remarque
Remarque : Le trafic du pare-feu LAN ne sera pas visible dans les tableaux de bord d'applications et d'analyses réseau.
Les événements apparaissent sous Surveillance du site > Événements.
-
Type d'Événement - Sécurité
-
Sous-type - Pare-feu LAN
Pour filtrer les événements du pare-feu LAN :
-
Allez à Accueil > Événements.
-
Cliquez sur Filtrer et sélectionnez le champ, l'opérateur et la valeur pertinents.
-
Champ - Plusieurs champs peuvent être sélectionnés comme filtre. Par exemple, nous pouvons choisir de filtrer "Site source" ou "Sous-type" (Pare-feu LAN)
-
Opérateur - Choisissez d'inclure ou d'exclure des valeurs spécifiques (Est, N'est pas) ou plusieurs valeurs (Dans, Pas dans), par exemple "Site source" avec l'opérateur "Dans" permet de sélectionner plusieurs sites source comme valeurs.
-
Valeur - La valeur pour le champ.
-
-
Cliquez sur Ajouter un filtre.
Dans l'exemple suivant, vous pouvez voir les détails d'un événement de pare-feu LAN.
-
Action - Bloquer ou Surveiller. (Le trafic a été bloqué ou autorisé localement par le pare-feu LAN)
-
Nom de l'hôte configuré - Informations supplémentaires sur l'hôte sur l'IP source, si disponible.
-
Sous-Type - Pare-feu LAN. Tous les événements générés par le pare-feu LAN auront ce sous-type.
-
Règle - Le nom de la règle définie qui a généré cet événement.
Contrairement au pare-feu WAN ou Internet, où les événements sont générés par le PoP de Cato, les événements du pare-feu LAN sont générés directement sur le Socket. Ces événements sont transmis via le tunnel du site pour être stockés dans l'application de gestion Cato.
Tout le trafic à travers le tunnel est priorisé avant les événements du pare-feu LAN, qui ont une priorité QoS par défaut de 255 et peuvent générer une surcharge supplémentaire.
Cato recommande de suivre uniquement les règles de pare-feu LAN haute priorité pour éviter une surcharge supplémentaire à travers le tunnel.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.