Le pare-feu de nouvelle génération (NGFW) de Cato fournit une inspection et une application constantes à travers le trafic WAN, Internet et LAN en utilisant plusieurs politiques adaptées à chaque type de trafic. Cela vous permet d'appliquer des contrôles précis à chaque frontière réseau et de bénéficier d'une application unifiée.
Les PoP mondiaux de Cato agissent comme le point d'application pour le FWaaS, où la pile de sécurité inspecte et protège le trafic WAN et Internet à la périphérie du réseau.
Toutes les politiques de pare-feu fonctionnent sur un contexte de trafic partagé qui alimente les données et les analyses pour vos comptes. Vous configurez et surveillez ces politiques dans l'application de gestion Cato (CMA), une console unifiée qui simplifie la gestion des politiques et permet une analyse détaillée des données d'application à travers le trafic WAN, Internet et LAN.
Le pare-feu LAN Socket s'adresse au trafic est-ouest derrière un site. En inspectant directement sur l'appareil Socket les communications entre VLAN et entre hôtes, vous pouvez prévenir les mouvements latéraux non autorisés, appliquer la microsegmentation et éliminer le besoin de matériel de pare-feu LAN tiers. Cela étend la protection NGFW au trafic local tout en maintenant un contrôle centralisé des politiques dans le CMA.
Cato propose trois politiques de pare-feu distinctes dans le CMA qui s'alignent sur différents types de trafic et exigences de sécurité. Au lieu d'une seule base de règles généralisée, chaque politique est optimisée pour le trafic Internet, le trafic WAN, ou la segmentation LAN interne. Cette séparation améliore la clarté, réduit la complexité des politiques et garantit que les contrôles de sécurité correspondent au contexte du trafic inspecté.
-
Pare-feu WAN : Assure l'application Zero Trust pour le trafic site à site et utilisateur à site sur le WAN. Dans le CMA, les admins définissent des règles d'autorisation explicites qui garantissent que seules les applications, services et identités autorisés peuvent communiquer sur le backbone de Cato
-
Pare-feu Internet : Applique des contrôles granulaires pour le trafic Internet sortant. Les admins définissent des règles dans le CMA qui correspondent au trafic basé sur l'application, l'identité de l'utilisateur et le domaine ou la catégorie de destination. Des fonctionnalités comme le filtrage d'URL et la prise de conscience des applications offrent une visibilité profonde du trafic pour soutenir l'application précise des règles
-
Pare-feu LAN nouvelle génération : Fournit une inspection du trafic est-ouest couche-7 entre VLAN et hôtes sur un site. Le pare-feu LAN applique des politiques de segmentation et de microsegmentation définies dans le CMA, sans nécessiter d'appareils tiers
|
Type de trafic |
Nom d'affichage |
Comment le trafic est traité |
Configuration des politiques |
|---|---|---|---|
|
Internet |
Trafic vers des destinations externes Internet |
Le PoP reçoit le trafic du site ou de l'utilisateur distant et applique la politique de pare-feu Internet |
|
|
WAN |
Trafic des sites ou des utilisateurs ZTNA distants vers d'autres destinations Cato Cloud |
Le PoP reçoit le trafic du site ou de l'utilisateur distant et applique la politique de pare-feu WAN |
|
|
LAN |
Trafic entre hôtes (par exemple, VLAN) derrière le même Socket - à la fois les adresses IP source et destination d'un flux appartiennent au même site Socket. |
Le Socket applique la politique de pare-feu LAN Le trafic reste local et n'est pas envoyé au PoP |
Cato applique les politiques de pare-feu WAN et Internet sans nécessiter d'installation sur site, de configuration manuelle ou de maintenance matérielle. Toute la création et la distribution des politiques sont gérées centralement dans le CMA, et l'application est appliquée automatiquement à travers les PoP mondiaux de Cato. Cette approche accélère l'intégration de nouveaux sites et utilisateurs et maintient une application cohérente avec un effort administratif minimal.
-
Définition centralisée des politiques dans le CMA avec distribution automatique à tous les PoP
-
Propagations globales de politiques qui appliquent les changements en temps réel à travers les pare-feux WAN et Internet
-
Aucune tâche de cycle de vie d'appareil telles que les correctifs, les mises à niveau ou le remplacement du matériel
Les analyses de pare-feu dans le CMA offrent une visibilité approfondie sur le comportement du trafic, les performances des règles et l'efficacité des politiques. Les admins peuvent surveiller les données, voir les événements de pare-feu, suivre l'utilisation des règles et corréler l'activité à travers la pile de sécurité. Ces perspectives aident à valider les politiques, à résoudre les problèmes et à soutenir les efforts d'audit ou de conformité.
Les capacités comprennent :
-
Événements et rapports : Les admins peuvent configurer des règles dans le CMA pour générer des événements de trafic qui sont journalisés pour la visibilité sur l'activité des règles, l'application des politiques et les anomalies
-
Analytique des applis : Affiche les tendances du trafic et l'utilisation des applications sur le réseau. Les équipes de sécurité peuvent identifier les principales applications, surveiller les comportements inhabituels et informer les décisions politiques en fonction du trafic observé
-
Notifications personnalisées : Génère des notifications en temps réel pour les règles de pare-feu qui peuvent être livrées à des groupes d'abonnement définis par les administrateurs ou intégrées à des systèmes tiers via des webhooks. Les notifications peuvent également être distribuées via e-mail pour assurer une visibilité rapide à travers les équipes de sécurité et d'opérations
-
Intégration SIEM : Exportez les journaux et les données d'événements de pare-feu vers des plateformes SIEM tierces pour une analyse avancée, une corrélation des menaces et des rapports de conformité
Articles connexes
La licence de plateforme principale de Cato inclut des capacités de pare-feu qui inspectent constamment le trafic à travers les réseaux WAN, Internet et LAN. Ces fonctionnalités sont fournies depuis les PoP mondiaux de Cato et gérées centralement dans le CMA, donnant aux admins un contrôle unifié sur tous les segments de réseau. La plateforme suit les principes de conception SASE : architecture cloud-native, application des politiques basée sur l'identité, et une pile de sécurité en un seul passage à la périphérie.
Les capacités comprennent :
-
Prise de conscience des applications : Identifie les applications sur tous les ports et protocoles en utilisant l'inspection couche 7 dans les PoP Cato
-
Cato utilise des modèles AI/ML pour collecter de nouveaux indicateurs d'application directement depuis notre flux de trafic cloud (650+ Gbps) à travers des milliers de clients. Notre équipe de recherche les assigne et les note dans le cadre du processus semi-automatisé de découverte de nouvelles applications et de leur intégration dans la plateforme Cato
-
Le catalogue d'applications dans le CMA vous assure d'avoir toujours accès aux dernières informations sur des milliers d'apps et de services, y compris des métadonnées spécifiques à Cato telles que des scores de risque et des activités CASB
-
-
Conscience de l'utilisateur : Permet des règles qui correspondent au trafic basé sur l'identité de l'utilisateur et du groupe, intégrant avec les fournisseurs d'identité d'entreprise
-
Filtrage URL : Catégorise les domaines et URLs pour autoriser ou bloquer l'accès en fonction du contenu et du risque de destination
-
Posture de l'appareil : Prend en charge l'accès conditionnel en évaluant les attributs de posture de l'appareil définis dans les profils de posture d'appareil
-
Perspectives de pare-feu autonomes : Utilise l'analyse basée sur l'IA pour identifier les règles non utilisées, trop permissives ou conflictuelles et fournir des suggestions d'optimisation
-
Pare-feu LAN Socket : Inspecte le trafic inter-VLAN et hôte à hôte au niveau du site, permettant la segmentation et la microsegmentation sans appareils LAN additionnels
-
Support API : Fournit un accès API complet pour configurer et surveiller les politiques de pare-feu, permettant l'automatisation et l'intégration avec des systèmes de gestion et de sécurité externes
Articles connexes
Cato offre des capacités de pare-feu supplémentaires en tant que services sous licence pour étendre l'inspection et le contrôle à travers plus de types de trafic et de catégories d'appareil. Ces services s'intègrent avec le CMA et le Cato Cloud pour améliorer la protection contre les menaces et la visibilité des actifs.
-
Isolation de navigateur distant (RBI) : Diffuse du contenu web visuel depuis un navigateur distant hébergé dans le cloud. Le code web s'exécute en isolation et n'atteint jamais l'appareil de l'utilisateur, protégeant contre les menaces basées sur le navigateur telles que le phishing, les malwares et les scripts malveillants. Requiert la licence de prévention avancée contre les menaces
-
Vous pouvez définir RBI comme l'action pour les règles de pare-feu Internet
-
-
Sécurité IoT/OT : Utilise le moteur d'inventaire des appareils pour détecter, classer et surveiller les appareils IoT et OT connectés. Le Cato Cloud identifie passivement les appareils en analysant le trafic entrant et sortant vers le WAN, aucun agent ou configuration spéciale requise. Requiert la licence de sécurité IoT/OT
-
Vous pouvez utiliser les Attributs d'Appareil IoT comme conditions dans les règles de pare-feu WAN et Internet
-
Articles connexes
Les services de sécurité de Cato étendent la fonctionnalité NGFW avec une prévention avancée des menaces, une visibilité SaaS et une protection des données pour la conformité.
-
Système de prévention des intrusions (IPS) : Détecte et bloque les exploits et attaques basées sur le réseau grâce à l'analyse par signature et heuristique. Requiert la licence de prévention contre les menaces
-
CASB et DLP : Ajoute la visibilité des apps SaaS et l'application des politiques, ainsi que la protection des données pour prévenir les fuites de données et répondre aux exigences de conformité. Requiert les licences CASB ou DLP
Articles connexes
0 commentaire
Vous devez vous connecter pour laisser un commentaire.