Cet article fournit des informations générales sur le pare-feu WAN pour votre compte.
Pour plus d'informations sur l'utilisation du pare-feu WAN, consultez Gestion des politiques du pare-feu WAN.
Le pare-feu WAN dans le cloud de Cato contrôle l'accès aux objets et entités de votre réseau étendu (WAN). Configurez la base de règles du pare-feu WAN pour créer une politique de contrôle d'accès sécurisée et protéger le réseau.
Le pare-feu WAN fait partie du pare-feu de nouvelle génération (NGFW) intégré dans le cloud de Cato et vous permet de créer des règles pour empêcher un accès non autorisé au réseau. Le pare-feu WAN utilise une approche de liste blanche, et il existe une règle par défaut de blocage TOUT-TOUT pour interrompre toutes les connexions qui ne sont pas explicitement autorisées dans la base de règles.
Utilisez les règles pour configurer le pare-feu afin d'inspecter toutes les connexions et de n'autoriser que celles qui correspondent à ses paramètres configurés. Le pare-feu utilise une base de règles ordonnées. Cela signifie qu'il commence à inspecter la connexion et vérifie si elle correspond à la première règle. Sinon, il continue d'appliquer chaque règle séquentiellement à la connexion jusqu'à ce qu'une règle corresponde.
Le pare-feu WAN inclut également une fonctionnalité complète au niveau 7 avec Sensibilisation de l'Utilisateur, permettant des politiques d'accès zéro confiance à des applications spécifiques sur le WAN.
Cas d'utilisation - Autorisation uniquement des fabricants de dispositifs de vidéoconférence approuvés
Un administrateur de sécurité reçoit la tâche de passer en revue la posture de sécurité des salles de réunion sur le site du bureau de la succursale de Londres. L'administrateur accède à la page de Inventaire des Appareils, applique les filtres Champ - Type d'Appareil, Opérateur - Dans, Valeur - Vidéo Conférence, et voit tous les appareils de vidéoconférence sur le site de Londres. L'administrateur réalise qu'il y a des appareils de vidéo conférence de plusieurs fabricants différents, ce qui ne respecte pas la politique de sécurité organisationnelle. L'équipe informatique a déjà une licence de sécurité IoT et crée de nouvelles règles dans les politiques de pare-feu WAN et Internet avec des paramètres d’Attribut de l'Appareil ne permettant que les deux fabricants approuvés pour les appareils de vidéoconférence. Certains appareils de vidéoconférence sur le site de Londres ne fonctionneront plus car ils sont bloqués par les politiques de pare-feu jusqu'à ce qu'ils puissent être remplacés par de nouveaux appareils des fabricants approuvés.
Les Aperçus Autonomes du Pare-feu WAN sont une liste de vérifications de posture qui évaluent votre politique de pare-feu WAN et montrent comment elles se conforment aux recommandations de Cato. Suivre ces recommandations optimise vos configurations de pare-feu et améliore la posture de sécurité.
Il y a deux types d'aperçus :
-
Icône d'étoile (alimenté par l'IA) : Les règles activées dans votre politique de pare-feu WAN sont automatiquement analysées par l'Intelligence Artificielle (IA) pour détecter des problèmes, par exemple, des règles qui peuvent être supprimées ou modifiées telles que :
- Règle Temporaire : Introduit comme une solution à court terme pour répondre à un besoin immédiat. Ces règles sont principalement créées pour fonctionner temporairement pendant qu'une solution appropriée ou permanente est déployée ou développée.
- Règle de Test : Règles créées explicitement pour la validation, le débogage ou l'expérimentation d'une fonctionnalité ou d'un scénario spécifique.
- Règle Expirée ou Règle avec Date d'Expiration Future : Règles créées pour répondre à un besoin spécifique et qui ont une date de fin souhaitée déjà passée ou pas encore atteinte ou qui ne peut pas être prouvée/évaluée.
-
Règles Trop Permissives : Règles qui peuvent être trop permissives en fonction des utilisateurs, hôtes, applications ou protocoles définis pour la règle. Cet aperçu utilise des heuristiques topologiques indiquant que nous vous recommandons de retirer les éléments supplémentaires de la règle pour mieux adhérer à votre stratégie de zéro confiance.
Par exemple : restreindre l'accès utilisateur uniquement à exempleAdmin, conditionné par un profil de poste de poste d'appareil à confiance zéro, limiter l'application uniquement à RDP et restreindre le protocole uniquement à TCP.
- Règle Non Utilisée : Identifie les règles de pare-feu avec une action d'autorisation qui n'ont généré aucun événement au cours des 60 derniers jours.
- Basé sur la Configuration : Les configurations et paramètres de votre politique de pare-feu Internet doivent suivre les meilleures pratiques.
Travailler avec l'Assistant de Configuration du Pare-feu WAN
L'Assistant de Configuration du Pare-feu WAN examine automatiquement votre politique en utilisant ces vérifications et aperçus. Lorsqu'une vérification échoue, vous pouvez revoir et mettre à jour votre politique directement dans l'Assistant sans modifier les règles individuelles. Cela vous aide à rester sécurisé tout en simplifiant la gestion des politiques. Pour plus d'informations, consultez Utilisation de l'Assistant de Configuration.
Protecteurs Anti-Spoofing dans le Pare-feu Cato
L'une des fonctionnalités de base d'un NGFW est de se protéger contre les attaques de type anti-spoofing. Les moteurs de sécurité dans le Cloud Cato bloquent implicitement toute connexion dont l'IP source est hors du champ de l'entité configurée (telle que le site, la plage de réseau, le dispositif ou l'utilisateur). Cela bloque les attaques de type anti-spoofing et empêche les violations de la topologie logique configurée.
Le pare-feu WAN inspecte les connexions séquentiellement et vérifie si la connexion correspond à une règle. La règle finale de la base de règles est une règle par défaut ANY-ANY - donc si une connexion ne correspond pas à une règle, elle est bloquée par la règle finale par défaut. Une politique de contrôle d'accès solide contient des règles de pare-feu qui permettent des connexions et du trafic spécifiques dans le WAN.
Vous pouvez examiner les paramètres de règle par défaut dans la section Règles par défaut à la fin de la base de règles. Ces paramètres de règle ne peuvent pas être modifiés.
Les règles qui sont en haut de la base de règles ont une priorité plus élevée car elles sont appliquées aux connexions avant les règles plus basses dans la base de règles. Par exemple, si une connexion correspond à la règle n°3, l'action est appliquée à la connexion, et le pare-feu cesse de l'inspecter. Le pare-feu ne continue pas à appliquer les règles n°4 et inférieures à la connexion. Vous pouvez augmenter l'efficacité du pare-feu WAN et donner une haute priorité aux règles qui correspondent au plus grand nombre de connexions.
Lorsqu'il y a une règle avec des objets dans plusieurs colonnes, tels qu'une application et un service, alors il y a une relation ET entre eux. Par exemple, s'il y a une règle qui permet l'application Backup Services pour le port 443, alors le trafic est autorisé lorsqu'il correspond à la fois à l'application et au port.
Pour les règles qui utilisent plusieurs objets dans une seule colonne, tels que plus d'un port, il y a une relation OU entre eux. Par exemple, s'il y a une règle qui permet l'accès au serveur de messagerie pour le service SMTP et les ports 25, 265, 587 et 2525, alors le trafic est autorisé lorsqu'il correspond au service SMTP, ou à l'un des ports.
- Note : Chaque règle peut avoir un maximum de 64 conditions avec une relation ET entre elles, et les exceptions d'une règle sont incluses dans la limite de la règle. Par exemple, si une règle comporte deux conditions ET (comme une source et un service), et la règle a 25 exceptions avec 3 conditions ET chacune (comme une source, une app et un service), alors la règle a 77 conditions. Cela dépasse la limite prise en charge de 64 conditions et la règle peut ne pas fonctionner correctement. Cependant, vous pouvez attribuer plus de 64 objets dans la même colonne d'une règle, car il existe une relation OU entre eux. Par exemple, vous pouvez attribuer plus de 64 applications dans une seule règle.
Le compte de touches vous aide à identifier les règles non utilisées qui peuvent être supprimées d'une politique, et à optimiser la configuration des règles pour mieux correspondre au champ de trafic requis. Le compte de touches pour une règle est basé sur le nombre d'événements générés par la règle. Si une règle ne génère pas d'événements, le compte de touches est zéro.
Le compte de touches contient deux chiffres :
- Le nombre approximatif d'événements générés par chaque règle dans la politique
- À quelle fréquence la règle est-elle frappée par rapport aux autres règles (classées par percentile)
Vous pouvez rapidement identifier les règles avec le compte de touches le plus élevé et le plus bas, en fonction de la couleur de la barre d'état. Cette couleur reflète la fréquence à laquelle la règle est touchée par rapport aux autres règles :
- Bleu : 0 - 24e percentile
- Vert : 25e - 49e percentile
- Orange : 50e - 74e percentile
- Rouge : 75e - 100e percentile
Les valeurs du nombre de hits sont mises à jour automatiquement toutes les 24 heures et sont basées sur les 14 derniers jours de trafic. À partir des trois points à la fin de chaque règle, vous pouvez réinitialiser ou rafraîchir le nombre de hits pour une visibilité à jour. Cela vous permet de mesurer avec précision l'efficacité des règles et de valider immédiatement l'activité des règles.
- Réinitialiser le compteur de hits pour une règle de pare-feu spécifique ramène le nombre de hits à 0
- Rafraîchir le compteur de hits met à jour le nombre de hits à la demande pour toutes les règles de pare-feu
Le pare-feu WAN permet à différents administrateurs de modifier la politique en parallèle. Chaque administrateur peut modifier les règles et enregistrer les modifications dans la base de règles dans leur propre révision privée, puis les publier dans la politique du compte (la révision publiée). Pour plus d'informations sur la gestion des révisions de politiques, voir Travailler avec les Révisions Politiques.
Vous pouvez configurer les paramètres de temps pour qu'une règle soit activée ou désactivée à une date et une heure définies. Dans le menu déroulant Heure, vous pouvez configurer le Programme Quotidien et/ou la Période Active.
Vous pouvez configurer ces deux options pour que, par exemple, la règle soit active les jours de semaine pendant le mois de mai 2025. Alternativement, vous pouvez configurer chaque option indépendamment pour répondre à vos exigences.
Le Programme Quotidien définit le programme pour lequel la règle est active. Si un programme est configuré pour une règle, dans le tableau des règles, un symbole d'horloge est affiché dans la colonne Action.
Les options pour le Programme Quotidien sont :
- Aucune contrainte de temps : Il n'y a pas de programme pour la règle. C'est le comportement par défaut des règles.
- Limiter aux heures de travail : La règle est active uniquement pendant les heures de travail configurées dans l'application de gestion Cato. Pour plus d'informations sur les heures de travail, consultez Définir les heures ouvrées par défaut pour le compte.
-
Personnalisé : Sélectionnez l'heure de la journée et les jours de la semaine où la règle est active. Décochez l'option Récurrent, et sélectionnez la Date pour les paramètres de temps de la règle.
- Récurrent : Le paramètre de temps sera appliqué plus d'une fois, par exemple, chaque mardi de 9 h 00 à 17 h 00.
La Période Active définit la date et l'heure où la règle est active en UTC. Si le champ En vigueur à partir du n'est pas sélectionné, la règle est active immédiatement après avoir été enregistrée et publiée.
Dans le tableau des règles, si une Période Active est définie, un symbole de sablier est affiché dans la colonne Action. La couleur du symbole reflète l'état :
- Noir : La règle n'est pas active et deviendra active à l'avenir
- Vert : La règle est active
- Rouge : La règle a expiré
Cette section explique les champs et paramètres pour les règles dans la base de règles de pare-feu WAN. Une compréhension approfondie du pare-feu WAN aide à gérer avec succès le contrôle d'accès pour le réseau d'entreprise.
Le tableau suivant décrit chaque colonne dans la base de règles du pare-feu WAN. Lorsqu'il y a plusieurs colonnes configurées pour une règle, il y a une relation ET entre elles.
Pour plus d'informations sur les éléments Source, Destination, Application et Catégorie pour une règle, voir Référence pour les Objets de Règle.
| Éléments | Description |
|---|---|
| # |
Affiche la priorité de la règle dans la base de règles du pare-feu WAN.
|
| Nom | Entrez un Nom pour la règle |
| Source | Source du trafic pour cette règle |
| Critère |
Définir l'accès conditionnel basé sur les attributs du dispositif réel d'un utilisateur final ou d'autres dispositifs communiquant sur votre réseau, tels que IoT/OT. Les options incluent :
|
| Direction |
Indique la direction de la règle. Les options incluent :
|
| Destination | Destination du trafic pour cette règle |
| App/Catégorie | Applique uniquement aux objets correspondant aux applications, catégories et autres objets spécifiques |
| Service/Port | Applique uniquement au trafic qui correspond aux services et ports spécifiés |
| Action |
Appliquer l'action spécifiée au trafic correspondant à la règle Par exemple, lorsque le trafic est bloqué, la connexion est interrompue et les règles de priorité inférieure ne sont pas appliquées à cette connexion |
| Suivi | Lorsque la règle est correspondante, un événement est généré ou une alerte de notification par email est envoyée à la liste spécifiée |
| Nombre de hits | Le nombre de hits pour cette règle |
|
Ouvre un menu déroulant avec ces options :
|
- Pour plus d'informations sur les applications et catégories, voir Travailler avec des catégories
- Pour plus d'informations sur les paramètres du pare-feu WAN, voir Gestion de la politique du pare-feu WAN
0 commentaire
Vous devez vous connecter pour laisser un commentaire.