सॉकेट LAN फ़ायरवॉल नीति को कॉन्फ़िगर करना

सॉकेट के लिए डिफ़ॉल्ट व्यवहार WAN और इंटरनेट ट्रैफ़िक को सुरक्षा निरीक्षण के लिए PoP को अग्रेषित करना है। इसमें साइट के अंदर एक-दूसरे से जुड़े नेटवर्क सेगमेंट्स के बीच का LAN ट्रैफ़िक भी शामिल होता है (जैसे कि VLANs)।  कुछ परिदृश्यों में, आप डिफ़ॉल्ट व्यवहार को ओवरराइड करना चाह सकते हैं, और सॉकेट को एक साइट में कॉन्फ़िगर करें जिससे कि ट्रैफ़िक को Cato PoP में भेजे बिना दो नेटवर्क सेगमेंट्स या होस्ट्स के बीच सीधे सॉकेट पर संचार की अनुमति या ब्लॉक किया जा सके।  LAN फ़ायरवॉल नीति के साथ, आप सॉकेट पर सीधे LAN ट्रैफ़िक को अनुमति या ब्लॉक करने के लिए नियमों को कॉन्फ़िगर कर सकते हैं। वैकल्पिक रूप से, आप प्रत्येक नियम के लिए ट्रैकिंग (घटनाएँ) सक्षम कर सकते हैं।

LAN फ़ायरवॉल आपको ट्रैफ़िक प्रकारों को सॉकेट स्तर पर ब्लॉक करने या अनुमति देने के लिए, आपकी आवश्यकतानुसार नीतियों को बनाने की अनुमति देता है।

नीचे दिया गया चित्र LAN फ़ायरवॉल के एक नियम को दिखाता है जो LAN1 से LAN2 तक ट्रैफ़िक को अनुमति देता है।

यह चित्र LAN फ़ायरवॉल के एक नियम को दिखाता है जो LAN1 से LAN2 तक ट्रैफ़िक ब्लॉक करता है।

LAN फ़ायरवॉल का उपयोग करते हुए - उदाहरण नियम

निम्नलिखित एक LAN फ़ायरवॉल कॉन्फ़िगरेशन नियम आधार का नमूना है। प्रत्येक नियम नीचे समझाया गया है:

नियम 1 - 'अतिथि को ब्लॉक करें' - यह नियम 'Guest-Wifi' नेटवर्क का उपयोग करने वाले होस्ट्स को साइट में कोई भी अन्य होस्ट या आंतरिक संसाधनों तक पहुँचने से रोकता है जबकि इन घटनाओं को ट्रैकिंग करता है। होस्ट्स अभी भी इंटरनेट तक पहुँच सकते हैं।

नियम 2 - 'फाइल शेयर की अनुमति दें' - यह नियम केवल 'Corp-Users' नेटवर्क से जुड़े होस्ट्स को 'File-Servers' स्थानीय नेटवर्क के सर्वरों तक HTTPS या SMB (TCP/445) पर कनेक्ट होने की अनुमति देता है। प्रत्येक प्रवाह घटनाओं में ट्रैक किया गया है। स्थानीय रूप से अनुमति दें इस नीति के साथ, SMB और HTTPS के लिए नेटवर्क्स के बीच टनल ओवरहेड कम हो जाता है क्योंकि ट्रैफ़िक साइट पर स्थानीय रूप से प्रबंधित किया जाता है और टनल से नहीं गुजरता।

नियम 3 - 'CCTV सर्वर की अनुमति दें' - यह नियम 'IOT-Cameras' नेटवर्क के होस्ट्स को केवल HTTPS पर 'IOT-File-Servers' नेटवर्क से कनेक्ट करने की अनुमति देता है। प्रत्येक प्रवाह घटनाओं में ट्रैक किया गया है। 

गुप्त व्यवहार - कोई भी अन्य होस्ट ट्रैफ़िक जो नियम आधार में परिभाषित नहीं है उसे 'File-Servers' पर वापस पहुंचने से पहले निरीक्षण के लिए Cato PoP को भेजा जाएगा। उदाहरण के लिए, कोई भी ट्रैफ़िक 'Corp-Users' से 'File-Servers' को TCP/21 (FTP) पर जो उदाहरण नियमबेस से मेल नहीं खाता है और डिफ़ॉल्ट व्यवहार को ट्रिगर करता है (ट्रैफ़िक को Cato PoP पर भेजें)।

LAN फ़ायरवॉल मौजूदा स्थानीय रूटिंग नीति का विस्तार है। यह सुविधा प्रति साइट सक्षम की जाती है।

सुनिश्चित करें कि साइट के सभी सॉकेट सॉकेट संस्करण 18.0 या उच्चतर चला रहे हैं।

यह अनुभाग LAN फ़ायरवॉल के लिए नियमों को परिभाषित करने और उन वस्तुओं, पोर्टों, और सेवाओं को कॉन्फ़िगर करने का तरीका समझाता है।

आप प्रत्येक परिभाषित किए गए नियम के लिए LAN फ़ायरवॉल में घटना ट्रैकिंग को वैकल्पिक रूप से सक्षम कर सकते हैं।

घटनाएँ साइट निगरानी > घटनाएँ के अंतर्गत दिखाई देती हैं।

निम्नलिखित उदाहरण में, आप एक LAN फ़ायरवॉल घटना के विवरण देख सकते हैं।

WAN या इंटरनेट फ़ायरवॉल के विपरीत, जहां घटनाएं Cato PoP द्वारा उत्पन्न होती हैं, LAN फ़ायरवॉल घटनाएं सॉकेट पर ही उत्पन्न होती हैं। ये घटनाएँ साइट टनल के माध्यम से भेजी जाती हैं और Cato प्रबंधन एप्लिकेशन में संग्रहीत होती हैं। 

टनल में सभी प्रवाह ट्रैफ़िक को LAN फ़ायरवॉल घटनाओं से पहले प्राथमिकता दी जाती है, जिनकी डिफ़ॉल्ट QoS प्राथमिकता 255 होती है और अतिरिक्त ओवरहेड उत्पन्न कर सकती है। 

Cato केवल उच्च प्राथमिकता वाले LAN फ़ायरवॉल नियमों को ट्रैक करने की सिफारिश करता है ताकि टनल पर अतिरिक्त ओवरहेड से बचा जा सके।