Cet article fournit des informations de base sur le pare-feu Internet pour votre compte.
Pour plus d'informations sur la configuration du pare-feu Internet, voir Gestion de la politique de pare-feu Internet.
Le pare-feu Internet inspecte le trafic entre le WAN et l'Internet et vous permet de créer des règles pour contrôler ce trafic. Similaire au pare-feu WAN, le pare-feu Internet utilise une base de règles ordonnée, en commençant par la première règle, les connexions sont inspectées selon chaque règle. Le pare-feu Internet utilise une approche par liste noire. Cela signifie qu'il existe une règle implicite ANY - ANY pour autoriser tout trafic et les connexions qui ne sont pas explicitement bloquées dans la base de règles. Le pare-feu Internet inclut également une fonctionnalité complète de couche 7 avec Conscience de l'utilisateur, et vous pouvez créer des règles pour des applications spécifiques. Par exemple, vous pouvez utiliser le pare-feu Internet pour :
- Bloquer un site Web spécifique, tel que Facebook ou LinkedIn
- Bloquer les catégories de sites Web inappropriés, telles que Armes, Alcool et Jeux de hasard
- Autoriser uniquement le service informatique à utiliser des applications d'administration à distance (SaaS et IaaS)
Les informations autonomes sur le pare-feu sont une liste de meilleures pratiques qui évaluent votre politique de pare-feu Internet et montrent comment elles se conforment aux recommandations de Cato. Suivre ces recommandations optimise vos configurations de pare-feu et améliore la posture de sécurité.
Il existe deux types d'informations :
-
Icône étoile (alimentée par l'IA) : Les règles activées dans votre politique de pare-feu Internet sont automatiquement analysées par l'Intelligence Artificielle (IA) pour détecter les problèmes, par exemple, les règles qui peuvent être supprimées ou modifiées telles que :
- Règle expirée ou Règle avec date d'expiration future : Règles créées pour répondre à un besoin spécifique et ont une date limite souhaitable qui est passée ou qui n'a pas encore été atteinte ou qui ne peut pas être prouvée/évaluée.
- Règle temporaire : Introduite comme solution à court terme pour répondre à un besoin immédiat. Ces règles sont principalement créées pour fonctionner temporairement tandis qu'une solution appropriée ou permanente est déployée ou développée.
- Règle de test : Règles créées explicitement pour valider, déboguer ou expérimenter une fonctionnalité ou un scénario spécifique.
- Règle non utilisée : Identifie les règles de pare-feu avec une action Autoriser qui n'ont généré aucun événement au cours des 60 derniers jours
- Vérification des règles contradictoires : Identifie les règles de pare-feu avec des prédicats identiques mais des actions différentes, ce qui peut créer des conflits empêchant l'application des règles de priorité inférieure
- Basé sur la configuration : Les configurations et les paramètres de votre politique de pare-feu Internet doivent garantir qu'ils suivent les meilleures pratiques.
L'assistant de configuration du Pare-feu Internet revoit de manière autonome votre politique de déploiement à l'aide de ces vérifications et aperçus. Lorsqu'une vérification échoue, vous pouvez revoir et mettre à jour votre politique directement dans l'assistant sans éditer les règles individuelles. Cela vous aide à rester sécurisé tout en simplifiant la gestion des politiques. Pour plus d'information, voir Utilisation de l'Assistant de Configuration.
Une des fonctionnalités de base d'un NGFW est de protéger contre les attaques anti-spoofing. Les moteurs de sécurité du Cloud Cato rejettent implicitement toute connexion où l'adresse IP source est en dehors de la portée de l'entité configurée (telle que site, plage d'adresses IP, appareil ou utilisateur). Cela bloque les attaques d'usurpation d'identité et empêche les violations de la topologie logique configurée.
Le pare-feu Internet inspecte les connexions séquentiellement et vérifie si la connexion correspond à une règle. La dernière règle dans la base de règles est une règle implicite ANY - ANY qui autorise, donc si une connexion ne correspond pas à une règle, elle est autorisée par la règle implicite finale.
Les règles qui sont au sommet de la base de règles ont une priorité plus élevée car elles s'appliquent aux connexions avant les règles plus bas dans la base de règles. Si une connexion correspond à la règle #3, l'action est appliquée à la connexion et le pare-feu cesse de l'inspecter. Le pare-feu ne continue pas à appliquer les règles #4 et inférieures à la connexion.
Lorsqu'il y a une règle avec des objets dans plusieurs colonnes, comme une application et un service, alors il y a une relation ET entre eux. Par exemple, s'il y a une règle qui bloque l'application Netflix pour le port 443, alors le trafic est bloqué lorsqu'il correspond à la fois à l'application et au port.
Pour les règles qui utilisent plusieurs objets dans une seule colonne, comme plus d'une application, alors il y a une relation OU entre eux. Par exemple, s'il y a une règle qui bloque l'accès aux applications Netflix, iTunes et YouTube, alors le trafic est bloqué lorsqu'il correspond à l'une des applications.
Remarque
Note : Chaque règle peut avoir un maximum de 64 conditions avec une relation ET entre elles, et les exceptions d'une règle sont incluses dans la limite de la règle. Par exemple, s'il y a une règle avec deux conditions ET (comme une source et un service), et que la règle a 25 exceptions avec 3 conditions ET chacune (comme une source, une application, et un service), alors la règle a 77 conditions. Cela dépasse la limite prise en charge de 64 conditions et la règle pourrait ne pas fonctionner correctement. Cependant, vous pouvez attribuer plus de 64 objets dans la même colonne d'une règle, car il y a une relation OU entre eux. Par exemple, vous pouvez attribuer plus de 64 applications dans une règle.
Le nombre de coups vous aide à identifier les règles inutilisées qui peuvent être retirées d'une politique, et à optimiser la configuration des règles pour mieux correspondre à l'étendue du trafic requis. Le nombre de coups pour une règle est basé sur le nombre d'événements générés par la règle. Si une règle ne génère pas d'événements, le nombre de coups est zéro.
Le nombre de coups contient deux chiffres :
- Le nombre approximatif d'événements générés par chaque règle de la politique
- La fréquence à laquelle la règle est atteinte par rapport aux autres règles (classée par percentile)
Ces valeurs sont mises à jour une fois toutes les 24 heures et se basent sur les 14 derniers jours de trafic.
Vous pouvez rapidement identifier les règles avec le plus et le moins de coups, en fonction de la couleur de la barre de statut. Cette couleur reflète à quelle fréquence la règle est touchée par rapport aux autres règles :
- Bleu : 0 - 24e percentile
- Vert : 25e - 49e percentile
- Orange : 50e - 74e percentile
- Rouge : 75e - 100e percentile
Les valeurs de comptage des hits sont mises à jour automatiquement toutes les 24 heures et sont basées sur les 14 derniers jours de trafic. À partir des trois points à la fin de chaque règle, vous pouvez réinitialiser ou rafraîchir le nombre de hits pour une visibilité à jour. Cela vous permet de mesurer précisément l'efficacité des règles et de valider immédiatement l'activité des règles.
- Réinitialiser le compteur de hits pour une règle de pare-feu spécifique ramène le nombre de hits à 0
- Rafraîchir le compteur de hits met à jour le nombre de hits à la demande pour toutes les règles de pare-feu
Le pare-feu Internet permet à différents administrateurs de modifier la politique en parallèle. Chaque administrateur peut modifier les règles et enregistrer les modifications dans la base de règles dans leur propre révision privée, puis les publier dans la politique de compte (la révision publiée). Pour plus d'informations sur la gestion des révisions de politique, voir Travailler avec les révisions de politique.
Vous pouvez configurer les paramètres de temps pour une règle afin qu'elle soit activée ou désactivée à une date et une heure définies. Dans le menu déroulant Heure, vous pouvez configurer le Programme Quotidien et/ou la Période Active.
Vous pouvez configurer chacune de ces options afin que, par exemple, la règle soit active en semaine pendant le mois de mai 2025. Alternativement, vous pouvez configurer chaque option indépendamment pour répondre à vos exigences.
Le Programme Quotidien définit le programme pour lorsque la règle est active. Si un programme est configuré pour une règle, dans le tableau des règles, un symbole de l'horloge est affiché dans la colonne Actions.
Les options pour le Programme Quotidien sont :
- Aucune contrainte de temps : Il n'y a pas de programme pour la règle. Ceci est le comportement par défaut des règles.
- Limiter aux heures de travail : La règle est active uniquement pendant les heures de travail configurées dans l'application de gestion Cato. Pour plus d'informations sur les heures de travail, consultez Définir les heures de travail par défaut pour le compte.
-
Personnalisée : Sélectionnez l'heure de la journée et les jours de la semaine où la règle est active. Décochez l'option Périodique, et sélectionnez la Date du paramètre temporel pour la règle.
- Récurrent : Le paramètre de temps sera appliqué plus d'une fois, par exemple, chaque mardi de 9h00 à 17h00.
La Période Active définit la date et la période de temps pendant laquelle la règle est active en UTC. Si le champ En vigueur à partir du n'est pas sélectionné, la règle est active immédiatement après sa sauvegarde et publication.
Dans le tableau des règles, si une Période Active est définie, un symbole de sablier est affiché dans la colonne Actions. La couleur du symbole reflète le statut :
- Noir : La règle n'est pas active et deviendra active à l'avenir
- Vert : La règle est active
- Rouge : La règle a expiré
Le Master Service Agreement (MSA) de Cato Networks définit le trafic potentiellement illégal ou malveillant qui est automatiquement bloqué. Il existe une règle implicite cachée au sommet de la base de règles du pare-feu Internet qui bloque ces connexions.
Pour plus d'informations sur la MSA, voir MSA de Cato Networks.
Cette section explique les champs et les paramètres des règles dans la base de règles du pare-feu Internet. Une compréhension approfondie du pare-feu Internet aide à gérer avec succès le contrôle d'accès pour le réseau de l'entreprise.
Le tableau suivant décrit les actions que chaque règle de pare-feu peut appliquer au trafic réseau. Pour les actions qui génèrent des événements, vous pouvez afficher les journaux d'événements dans Accueil > Événements.
| Éléments | Description |
|---|---|
| Autoriser | Le pare-feu autorise les trafics correspondants. |
| Bloquer | Le pare-feu bloque les trafics correspondants. |
| Inviter |
Le pare-feu redirige les trafics correspondants vers une page web avec un message. L'utilisateur est invité à décider de continuer ou non. Vous pouvez personnaliser la page d'invite, voir Personnalisation de la Page Bloquer/Inviter. La page d'invite Cato est une page HTML qui utilise JavaScript et des cookies de session pour gérer le consentement de l'utilisateur. Ces cookies sont spécifiques au domaine, temporaires et généralement supprimés lorsque le navigateur est fermé. Cato utilise actuellement trois préfixes de nom de cookie, ( Pour examiner les événements lorsqu'un utilisateur choisit de poursuivre après une page d'invite, filtrez la page des Événements pour afficher les événements avec le champ Prompt Action défini avec la valeur Poursuivre. |
| Navigation à distance (RBI) | Les trafics correspondants sont livrés par RBI. |
| Portail captif | Les trafics correspondants sont dirigés vers le portail captif. |
Pour une description des différentes colonnes de la base de règles et des éléments Source, App et Catégorie pour les règles, voir Qu'est-ce que le pare-feu Cato WAN? et Référence pour les objets de règle. Contrairement au pare-feu WAN, la Destination pour le pare-feu Internet est toujours Internet. Lorsqu'il y a plusieurs colonnes configurées pour une règle, il y a alors une relation ET entre elles.
L'ordre des règles est défini en plaçant une règle par rapport à d'autres règles. Par exemple, définir une règle pour suivre une règle spécifique ou pour être la première dans une section.
Voici les options pour définir l'ordre des règles :
- Avant la Règle - La règle est positionnée immédiatement avant la règle sélectionnée
- Après la Règle - La règle positionnée immédiatement après la règle sélectionnée
- Premier dans la Section - La règle est positionnée en premier dans la section sélectionnée
- Dernier dans la Section - La règle est positionnée en dernier dans la section sélectionnée
- Premier - La règle est positionnée en haut de la base de règles
- Dernier - La règle est positionnée en bas de la base de règles
0 commentaire
Vous devez vous connecter pour laisser un commentaire.