Cet article fournit des informations générales sur le pare-feu Internet pour votre compte.
Pour plus d'informations sur la configuration du pare-feu Internet, voir Gestion de la politique de pare-feu Internet.
Le pare-feu Internet inspecte le trafic entre le WAN et l'Internet et vous permet de créer des règles pour contrôler ce trafic. Similaire au pare-feu WAN, le pare-feu Internet utilise une base de règles ordonnées ; à partir de la première règle, les connexions sont inspectées selon chaque règle. Le pare-feu Internet utilise une approche basée sur des listes noires. Cela signifie qu'il y a une règle implicite ANY - ANY pour permettre tout trafic et connexions qui ne sont pas explicitement bloqués dans la base de règles. Le pare-feu Internet comprend également une fonctionnalité complète de couche 7 avec la sensibilisation des utilisateurs, et vous pouvez créer des règles pour des applications spécifiques. Par exemple, vous pouvez utiliser le pare-feu Internet pour :
-
Bloquer des sites web spécifiques tels que Facebook ou LinkedIn
-
Bloquer des catégories de sites web inappropriés, tels que Armes, Alcool et Jeux d'argent
-
Permettre seulement au département informatique d'utiliser des applications d'administration à distance (SaaS et IaaS)
The Autonomous Firewall Insights are a list of best practices that evaluate your Internet Firewall policy and show how they comply with Cato’s recommendations. Suivre ces recommandations optimise vos configurations de pare-feu et améliore la posture de sécurité.
Il existe deux types d'insights :
-
Icône étoile (alimentée par IA) : Les règles activées dans votre politique de pare-feu Internet sont automatiquement analysées par l'intelligence artificielle (IA) pour détecter les problèmes, par exemple, des règles pouvant être supprimées ou modifiées telles que :
-
Règle expirée ou Règle avec date d'expiration future : Règles créées pour répondre à un besoin spécifique et ayant une date limite souhaitable déjà passée ou qui n'a pas encore été atteinte ou ne peuvent pas être prouvées/évaluées.
-
Règle temporaire : Introduite comme une solution à court terme pour répondre à un besoin immédiat. Ces règles sont principalement créées pour fonctionner temporairement pendant qu'une solution appropriée ou permanente est déployée ou développée.
-
Règle de test : Règles explicitement créées pour valider, déboguer ou expérimenter une fonctionnalité ou un scénario spécifique.
-
Règle non utilisée : Identifie les règles de pare-feu avec une action Autoriser qui n'ont généré aucun événement au cours des 30 derniers jours
-
Vérification des Règles Contradictoires : Identifie les règles de pare-feu avec des prédicats identiques mais des actions différentes, ce qui peut créer des conflits qui empêchent l'application des règles de priorité inférieure
-
-
Basé sur la configuration : Les configurations et paramètres de votre politique de pare-feu Internet assurent qu'ils suivent les meilleures pratiques.
L'une des fonctionnalités de base d'un NGFW est de protéger contre les attaques de falsification d'identité. Les moteurs de sécurité dans le Cato Cloud rejettent implicitement toute connexion dont l'adresse IP source est hors du champ de l'entité configurée (tel que site, plage de réseau, périphérique ou utilisateur). Cela bloque les attaques de falsification d'identité et prévient les violations de la topologie logique configurée.
Le pare-feu Internet inspecte les connexions de manière séquentielle et vérifie si la connexion correspond à une règle. La règle finale dans la base de règles est une règle implicite de permettre ANY - ANY - donc si une connexion ne correspond pas à une règle, elle est autorisée par la règle implicite finale.
Les règles en haut de la base de règles ont une priorité plus élevée car elles sont appliquées aux connexions avant les règles plus basses dans la base de règles. Si une connexion correspond à la règle #3, l'action est appliquée à la connexion et le pare-feu cesse de l'inspecter. Le pare-feu ne continue pas à appliquer les règles #4 et suivantes à la connexion.
Travailler avec l'Assistant de Configuration du Pare-feu Internet
L'Assistant de Configuration du Pare-feu Internet examine de manière autonome votre politique en utilisant ces vérifications et aperçus. Lorsqu'une vérification échoue, vous pouvez réviser et mettre à jour votre politique directement dans l'Assistant sans modifier les règles individuelles. Cela vous aide à rester sécurisé tout en simplifiant la gestion de la politique.
Le Contrat de Service Directeur de Cato Networks (MSA) définit le trafic potentiellement illégal ou malveillant qui est automatiquement bloqué. Il y a une règle implicite cachée en haut de la base de règles du pare-feu Internet qui bloque ces connexions.
Pour plus d'informations sur le MSA, consultez Cato Networks MSA.
Lorsque vous avez une règle avec des objets dans plusieurs colonnes, comme une application et un service, alors il y a une relation ET entre eux. Par exemple, si vous avez une règle qui bloque l'application Netflix pour le port 443, alors le trafic est bloqué lorsqu'il correspond à la fois à l'application et au port.
Pour les règles qui utilisent plusieurs objets dans une seule colonne, comme plus d'une application, alors il y a une relation OU entre eux. Par exemple, si vous avez une règle qui bloque l'accès aux applications Netflix, iTunes, et YouTube, alors le trafic est bloqué lorsqu'il correspond à l'une des applications.
Note
Remarque : Chaque règle peut avoir un maximum de 64 conditions avec une relation ET entre elles, et les exceptions d'une règle sont incluses dans la limite de la règle. Par exemple, si vous avez une règle avec deux conditions ET (comme une source et un service), et que la règle a 25 exceptions avec 3 conditions ET chacune (comme une source, une app, et un service), alors la règle a 77 conditions. Cela dépasse la limite prise en charge de 64 conditions et la règle peut ne pas fonctionner correctement. Cependant, vous pouvez attribuer plus de 64 objets dans la même colonne d'une règle, car il y a une relation OU entre eux. Par exemple, vous pouvez attribuer plus de 64 apps dans une règle.
Le compte d'impact vous aide à identifier les règles inutilisées qui peuvent être supprimées d'une politique, et à optimiser la configuration des règles pour mieux correspondre à la portée du trafic requis. Le compte d'impact d'une règle est basé sur le nombre d'événements générés par la règle. Si une règle ne génère pas d'événements, le compte d'impact est zéro.
Le compte d'impact contient deux chiffres :
-
Le nombre approximatif d'événements générés par chaque règle dans la politique
-
La fréquence à laquelle la règle est activée par rapport à d'autres règles (classée par percentile)
Ces valeurs sont mises à jour une fois toutes les 24 heures et sont basées sur les 14 derniers jours de trafic.
Vous pouvez identifier rapidement les règles avec le compte d'impact le plus élevé et le plus bas, en fonction de la couleur de la barre de statut. Cette couleur reflète la fréquence à laquelle la règle est activée par rapport à d'autres règles :
-
Bleu : 0 - 24e percentile
-
Vert : 25e - 49e percentile
-
Orange : 50e - 74e percentile
-
Rouge : 75e - 100e percentile
Le pare-feu Internet permet à différents administrateurs de modifier la politique en parallèle. Chaque administrateur peut modifier les règles et enregistrer les changements dans la base de règles dans leur propre révision privée, puis les publier dans la politique de compte (la révision publiée). For more information on how to manage policy revisions, see Working with Policy Revisions.
Cette section explique les champs et les paramètres des règles dans la base de règles du pare-feu Internet. Une compréhension approfondie du pare-feu Internet aide à gérer avec succès le contrôle d'accès pour le réseau de l'entreprise.
Le tableau suivant décrit les actions que chaque règle de pare-feu peut appliquer au trafic réseau. Pour les actions qui génèrent des événements, vous pouvez afficher les journaux d'événements dans Accueil > Événements.
|
Élément |
Description |
|---|---|
|
Autoriser |
Le pare-feu autorise le trafic correspondant. |
|
Bloquer |
Le pare-feu bloque le trafic correspondant. |
|
Avis |
Le pare-feu redirige le trafic correspondant vers une page Web avec un message. L'utilisateur est invité à décider s'il souhaite continuer ou non. Vous pouvez personnaliser la page web de l'invite, voir Personnaliser la page d'avertissement / blocage. To review events for when a user chooses to proceed after a prompt page, filter the Events page to show events with the Prompt Action field set with the value Proceed. mm |
|
Navigation à distance (RBI) |
Matching traffic is delivered by RBI. |
|
Portail captif |
Matching traffic is directed to the captive portal. |
For a description of the different rulebase columns and Source, App, and Category items for rules, see What is the Cato WAN Firewall? and Reference for Rule Objects. Contrairement au pare-feu WAN, la Destination pour le pare-feu Internet est toujours l'Internet. Lorsqu'il y a plusieurs colonnes configurées pour une règle, il y a alors une relation AND entre elles.
L'ordre des règles est défini en plaçant la position d'une règle par rapport aux autres règles. Par exemple, définir une règle pour suivre une règle spécifique ou pour être la première dans une section.
Voici les options pour définir l'ordre des règles :
-
Avant la Règle - La règle est positionnée immédiatement avant la règle sélectionnée
-
Après la Règle - La règle est positionnée immédiatement après la règle sélectionnée
-
Première dans la Section - La règle est positionnée en premier dans la section sélectionnée
-
Dernière dans la Section - La règle est positionnée en dernier dans la section sélectionnée
-
Première - La règle est positionnée en haut de la base de règles
-
Dernière - La règle est positionnée en bas de la base de règles
Le pare-feu Internet dans le Cato Cloud vous permet de contrôler l'accès à Internet pour votre réseau d'entreprise. Créez facilement une politique de sécurité Internet qui permet aux utilisateurs d'accéder au contenu Web lié à l'entreprise et bloque les sites Web, applications inappropriés, etc.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.