सॉकेट नेक्स्ट जन LAN फ़ायरवॉल क्या है

उदाहरण Corp के पास 200 वैश्विक शाखाएं हैं जो समान LAN नेटवर्क डिज़ाइन का उपयोग करती हैं। इसमें सर्वर्स के लिए VLAN ID 10 और व्यापार-महत्वपूर्ण OT उपकरणों के लिए VLAN ID 20 शामिल है। नेटवर्क टीम इन VLANs के बीच ट्रैफ़िक को स्थानीय रूप से रूट करने का निर्णय लेती है, जिससे ISP आउटेज होने पर भी OT उपकरण और सर्वर्स संवाद जारी रख सकते हैं। इसके अलावा, वे सिर्फ VLANs के बीच विशिष्ट प्रोटोकॉल को अनुमति देना चाहते हैं।

नेटवर्क टीम एक LAN नेटवर्क नियम बनाती है जिसमें साइट को एक समूह ऑब्जेक्ट के रूप में कॉन्फ़िगर किया जाता है जिसमें 200 संबंधित साइट्स होती हैं, और ट्रांसपोर्ट को LAN के रूप में कॉन्फ़िगर किया जाता है ताकि ट्रैफ़िक स्थानीय रूप से रूट किया जा सके। फिर वे VLAN 10 और VLAN 20 को स्रोत और गंतव्य के रूप में कॉन्फ़िगर कर, और दिशा के रूप में दोनों के रूप में LAN फ़ायरवॉल नियम बनाते हैं। सेवा/पोर्ट के अंतर्गत, वे उन प्रोटोकॉल्स को कॉन्फ़िगर करते हैं जिन्हें वे अनुमति देना चाहते हैं, और क्रिया को अनुमति के रूप में कॉन्फ़िगर किया गया है।

यह सिंगल LAN फ़ायरवॉल नियम नीति को 200 स्थानीय नेटवर्क्स में से प्रत्येक पर लागू करता है, बिना सभी साइट्स के लिए अलग-अलग नियम कॉन्फ़िगर किए।

LAN फ़ायरवॉल की भूमिका और अन्य कैटो नीतियों के साथ इसके संबंध को समझने के लिए यह समझना महत्वपूर्ण है कि कैटो ट्रैफ़िक को तीन विभिन्न प्रकारों में पहचान करता है: LAN, WAN, या इंटरनेट। इन ट्रैफ़िक प्रकारों के अंतर और गुणों को समझना, इष्टतम नीति योजना और विभिन्न कैटो फ़ायरवॉल नीतियों के उपयोग के लिए महत्वपूर्ण है। अधिक जानकारी के लिए, Getting Started with the Cato Firewalls देखें।

समान साइट के भीतर होस्ट्स के बीच ट्रैफ़िक को LAN ट्रैफ़िक (जिसे सॉकेट द्वारा रूट किया जाता है और PoP पर नहीं भेजा जाता है) या WAN ट्रैफिक (जिसे PoP पर भेजा जाता है और फिर साइट पर वापस भेजा जाता है) के रूप में संभाला जा सकता है, आपकी कॉन्फ़िगरेशन पर निर्भर करता है। सॉकेट के लिए डिफॉल्ट व्यवहार सभी ट्रैफ़िक को निरीक्षण के लिए PoP पर रूट करना है और PoP ट्रैफ़िक को ब्लॉक या अनुमति देता है। हालांकि, LAN फ़ायरवॉल नीति का मैच करने वाला ट्रैफ़िक स्थानीय रूप से रूट किया जाता है और PoP पर नहीं भेजा जाता।

जब LAN में एक होस्ट से ट्रैफिक सॉकेट तक पहुँचता है, तो सॉकेट जाँचता है कि क्या ट्रैफिक LAN फ़ायरवॉल नीति में किसी नियम से मेल खाता है।

LAN ट्रैफ़िक को परिभाषित करने के बारे में अधिक जानकारी के लिए नीचे देखें, LAN फ़ायरवॉल नीति।

निम्नलिखित एक राज्य मशीन आरेख है जो दिखता है कि सॉकेट LAN फ़ायरवॉल स्थानीय नेटवर्क पर एक होस्ट से ट्रैफिक कैसे संभालता है।

LAN फ़ायरवॉल लेयर 2 के माध्यम से लेयर 4 और लेयर 7 (एप्लिकेशन लेयर) निरीक्षण का समर्थन करता है, जिससे आप एप्लिकेशन, सेवाओं और एप्लिकेशन के भीतर विशेष सामग्री के आधार पर ट्रैफिक नियंत्रण कर सकते हैं। डिफॉल्ट रूप से, साइट्स को लेयर 2-4 कार्यक्षमता का समर्थन होता है, और आप नीति में परिभाषित करते हैं कि कौन साइट्स लेयर 7 क्षमताओं के साथ भी सक्षम हैं। यह अनुभाग लेयर 2-4 और लेयर 7 फ़ायरवॉलिंग के बीच के अंतर का वर्णन करता है।

लेयर 2-4 फ़ायरवॉल्स ट्रैफिक को बुनियादी मापदंडों जैसे कि IP पते, पोर्ट्स, और TCP या UDP जैसे परिवहन-स्तरीय प्रोटोकॉल के आधार पर फ़िल्टर करते हैं। इन मानदंडों के लिए, सॉकेट फ़ायरवॉल पहले पैकेट के आधार पर ट्रैफिक को अनुमति देने या ब्लॉक करने का फैसला कर सकता है। मूल ट्रैफिक नियंत्रण के लिए यह दृष्टिकोण प्रभावी है, लेकिन इसमें पैकेट्स के भीतर प्रसारित होने वाली वास्तविक डेटा का विश्लेषण नहीं होता है।

लेयर 7 (एप्लिकेशन लेयर) फ़ायरवॉल्स एप्लिकेशन डेटा को पहचानने के लिए पैकेट्स के पेलोड की जांच करते हैं, विशेष एप्लिकेशन, डोमेन, या प्रोटोकॉल की पहचान करते हैं। उदाहरण के लिए, एक लेयर 7 फ़ायरवॉल SMBv1 और SMBv3 ट्रैफिक के बीच अंतर कर सकता है या विशेष एप्लिकेशन के ट्रैफिक की पहचान कर सकता है (जैसे Office 365)। यह गहरी जांच स्थानीय नेटवर्क ट्रैफिक पर अधिक सूक्ष्म नीति प्रवर्तन और सुधार नियंत्रण की अनुमति देती है। हालांकि, क्योंकि लेयर 7 जांच को एप्लिकेशन डेटा निर्धारित करने के लिए अतिरिक्त पैकेट्स को विश्लेषण करने की आवश्यकता होती है (जैसे HTTP ट्रैफिक में डोमेन नाम निकालना), और यह लेयर 4 प्रसंस्करण से अधिक सॉकेट संसाधनों की आवश्यकता होती है। यह तब विचार में लिया जाना चाहिए जब आप अपने कॉर्पोरेट LAN फ़ायरवॉल नीति की योजना बना रहे हैं और यह तय कर रहे हैं कि कौन साइट्स को लेयर 7 क्षमताओं के साथ सक्षम करें।

जब आप लेयर 7 क्षमताओं वाले साइट को सक्रिय करते हैं, सॉकेट ट्रैफ़िक पर दीप पैकेट जांच करता है, चाहे LAN फ़ायरवॉल नियम विन्यस्त किया गया हो या नहीं, जब तक LAN परिवहन का उपयोग करने के लिए ट्रैफ़िक परिभाषित होता है (नीचे देखें, LAN फ़ायरवॉल नीति)। इसका मतलब है कि लेयर 7 डेटा साइट ट्रैफिक के घटनाओं में दिखाई देता है, जिसमें ऐप्लिकेशन, ऐप जोखिम, और कस्टम ऐप जैसे फ़ील्ड्स शामिल होते हैं।

LAN नेटवर्क नियम यह नियंत्रित करते हैं कि किस ट्रांसपोर्ट (LAN या WAN) को विभिन्न नेटवर्क होस्ट्स या खंडों के बीच ट्रैफ़िक रूट करने के लिए उपयोग किया जाता है। यह एक वैश्विक नीति है जो पूरे खाते के लिए कॉन्फ़िगर की गई है, और विशेष साइट्स के लिए नहीं। इसका मतलब है कि प्रत्येक नियम को खाते में कई साइट्स पर लागू करने के लिए कॉन्फ़िगर किया जा सकता है। उदाहरण के लिए, यदि आप समान VLAN कॉन्फ़िगरेशन का उपयोग करने वाले कई साइट्स सेट करते हैं, तो आप एक सिंगल नियम बना सकते हैं जो नियम में परिभाषित प्रत्येक साइट में VLANs पर लागू होता है।

LAN नेटवर्क नियम लेयर 4 रूटिंग निर्णय लेते हैं और लेयर 7 कार्यक्षमता का उपयोग नहीं करते हैं। उदाहरण के लिए, आप साइट्स, VLANs, या विशेष प्रोटोकॉल के लिए शर्तें के साथ नेटवर्क नियमों को परिभाषित कर सकते हैं, लेकिन आप एप्लिकेशन के आधार पर शर्त बना नहीं सकते।

एक LAN नेटवर्क नियम के तहत कई LAN फ़ायरवॉल नियमों का माता-पिता हो सकता है। अतः यदि ट्रैफ़िक एक LAN नेटवर्क नियम से मेल खाता है, लेकिन LAN फ़ायरवॉल नियम से मेल नहीं खाता है, तो इसे ब्लॉक किया जाता है। इस प्रकार, यदि ट्रैफ़िक एक LAN नेटवर्क नियम से मेल खाता है, लेकिन LAN फ़ायरवॉल नियम से मेल नहीं खाता है, तो यह ब्लॉक किया जाता है।

LAN फ़ायरवॉल नियम विशेष प्रकार के ट्रैफिक की अनुमति या ब्लॉक करते हैं, और इन घटनाओं को निगरानी और अनुपालन उद्देश्यों के लिए ट्रैक करते हैं। प्रत्येक LAN फ़ायरवॉल नियम सीधे एक विशेष माता-पिता LAN नेटवर्क नियम से जुड़ा होता है और माता-पिता नियम की स्रोत और गंतव्य स्कोप तक सीमित होता है। LAN फ़ायरवॉल नियम डिफॉल्ट रूप से लेयर 4 विभाजन का समर्थन करते हैं, जिसमें MAC पते के आधार पर विभाजन भी शामिल है। इसके अतिरिक्त, लेयर 7 कार्यक्षमता के लिए कॉन्फ़िगर किए गए साइट्स के लिए, LAN फ़ायरवॉल नियम एप्लिकेशन्स, डोमेन्स, और अन्य लेयर 7 स्थितियों के आधार पर बुद्धिमान ट्रैफिक फ़िल्टरिंग शामिल कर सकते हैं।

प्रत्येक LAN नेटवर्क नियम के तहत एक डिफॉल्ट LAN फ़ायरवॉल ANY-ANY ब्लॉक नियम कॉन्फ़िगर किया गया है। इसलिए, अगर ट्रैफ़िक LAN नेटवर्क नियम के साथ मेल खाता है, लेकिन LAN फ़ायरवॉल नियम के साथ मेल नहीं खाता है, तो इसे अवरुद्ध कर दिया जाता है। यह अप्रकट व्यवहार ऑन-प्रांगन विभाजन पर एक सही ज़ीरो-ट्रस्ट अप्रोच को लागू करता है, यह सुनिश्चित करता है कि केवल स्पष्ट रूप से अनुमति दी गई ट्रैफिक ही स्थानीय नेटवर्क को पार कर सके।

हिट काउंट आपको अप्रयुक्त नियमों की पहचान करने में मदद करता है जिन्हें नीति से हटाया जा सकता है, और आवश्यक ट्रैफ़िक स्कोप के बेहतर मिलान के लिए नियम कॉन्फ़िगरेशन को अनुकूलित करें। नियम के लिए हिट काउंट, नियम द्वारा उत्पन्न घटनाओं की संख्या पर आधारित है। यदि कोई नियम घटनाएँ उत्पन्न नहीं करता है, तो हिट काउंट शून्य है।

हिट काउंट में दो संख्याएँ होती हैं:

ये मान हर 24 घंटे में एक बार अपडेट होते हैं और पिछले 14 दिनों के ट्रैफ़िक पर आधारित होते हैं।

स्थिति बार के रंग के आधार पर, आप आसानी से उच्चतम और निम्नतम हिट काउंट वाले नियमों की पहचान कर सकते हैं। यह रंग अन्य नियमों के सापेक्ष नियम कितनी बार हिट होता है, को दर्शाता है:

हिट काउंटर को रीसेट और रीफ्रेश करना

हिट काउंट मान हर 24 घंटे में स्वतः अपडेट होते हैं और पिछले 14 दिनों के ट्रैफ़िक पर आधारित होते हैं। प्रत्येक नियम के अंत में तीन बिंदुओं से, आप हिट काउंट को ताज़ा या रीसेट कर सकते हैं ताकि अद्यतन दृश्यता प्राप्त हो सके। यह आपको नियम की प्रभावशीलता को सटीक रूप से मापने और नियम की गतिविधि को तुरंत सत्यापित करने की अनुमति देता है।

• किसी विशिष्ट नियम के लिए हिट काउंटर रीसेट करना हिट काउंट को 0 पर वापस लौटाता है।

• हिट काउंटर को रीफ्रेश करना सभी नीति नियमों के लिए हिट काउंट को मांग पर अपडेट करता है।