सॉकेट नेक्स्ट जेन LAN फायरवॉल नीति का प्रबंधन

यह लेख सॉकेट नेक्स्ट जनरेशन LAN फायरवॉल नियमों को कॉन्फ़िगर करने के तरीके को समझाता है ताकि साइट ट्रैफ़िक को स्थानीय रूप से सॉकेट में रूट और नियंत्रित किया जा सके। सॉकेट नेक्स्ट जेन LAN फ़ायरवॉल के बारे में अधिक विवरण के लिए, सॉकेट नेक्स्ट जेन LAN फ़ायरवॉल क्या है देखें।

अवलोकन

ट्रैफ़िक को LAN परिवहन के साथ स्थानीय रूप से रूटेड करने के लिए LAN नेटवर्क नियम को विन्यस्त करें, फिर ट्रैफ़िक के लिए सुरक्षा नीति को लागू करने के लिए संबंधित LAN फ़ायरवॉल नियम बनाएं।

नीति को कॉन्फ़िगर करने के लिए यह एक उदाहरण उच्च-स्तरीय कार्यप्रवाह है:

  1. निर्धारित करें कि किन साइट्स को लेयर 7 प्रवर्तन क्षमताओं की आवश्यकता है और उन्हें नीति में कॉन्फ़िगर करें।

    यह LAN फायरवॉल नियमों के लिए लेयर 7 प्रवर्तन को सक्षम करता है, साथ ही साइट के लेयर 7 डेटा के साथ घटनाओं को भी।

  2. साइट्स के लिए सॉकेट CPU प्रदर्शन और घटनाओं की निगरानी करें ताकि लेयर 7 को सक्रिय करने के प्रभाव का आकलन किया जा सके।
  3. स्थानीय रूप से सॉकेट के माध्यम से साइट ट्रैफिक को रूट करने के लिए LAN नेटवर्क नियम बनाएं, बजाय WAN के माध्यम से।
  4. प्रत्येक LAN नेटवर्क नियम के लिए, ट्रैफ़िक के लिए सुरक्षा नीति लागू करने के लिए LAN फ़ायरवॉल नियम बनाएं।

एक साइट के लिए लेयर 7 क्षमता सक्षम करना

किसी साइट के लिए ट्रैफ़िक के लिए लेयर 7 निरीक्षण क्षमताओं को सक्षम करें। सक्षम करने के बाद, सॉकेट ट्रैफ़िक पर गहन पैकेट निरीक्षण करता है चाहे LAN फ़ायरवॉल नियम विन्यस्त हो या नहीं, जब तक कि LAN परिवहन का उपयोग करने के लिए ट्रैफ़िक परिभाषित है (देखें सॉकेट नेक्स्ट जेन LAN फ़ायरवॉल क्या है)। इसका मतलब है कि लेयर 7 डेटा साइट ट्रैफ़िक के लिए घटनाओं में दिखाई देता है, जिसमें एप्लिकेशन, ऐप जोखिम, और कस्टम ऐप जैसे फ़ील्ड शामिल हैं। यह सॉकेट CPU के उपयोग को भी प्रभावित करता है।

LAN_Firewall_L7_Sites.png

एक साइट के लिए लेयर 7 क्षमता सक्षम करने के लिए:

  1. नेविगेशन मेनू से, सुरक्षा > LAN फायरवॉल पर क्लिक करें।

    LAN फायरवॉल पृष्ठ आपके मौजूदा अप्रकाशित संशोधन या नवीनतम प्रकाशित संशोधन के लिए खुलता है।

  2. लेयर 7 साइट्स टैब का चयन करें।
  3. नया पर क्लिक करें। साइट जोड़ें पैनल खुलता है।
  4. साइट के अंतर्गत, ड्रॉप-डाउन सूची से एक या अधिक साइटों का चयन करें।
  5. लागू करें पर क्लिक करें। साइट को लेयर 7 साइट्स की सूची में जोड़ा गया है।
  6. सहेजें पर क्लिक करें। साइट के लिए लेयर 7 कार्यक्षमता कॉन्फ़िगर की गई है।

LAN नेटवर्क नियम बनाना

एक नया LAN नेटवर्क नियम बनाएं और ट्रैफ़िक के लिए परिवहन को परिभाषित करने के लिए सेटिंग्स कॉन्फ़िगर करें। LAN परिवहन के साथ परिभाषित नियमों के लिए, आप ट्रैफ़िक के लिए एक्सेस कंट्रोल प्रबंधित करने के लिए LAN फायरवॉल नियम जोड़ सकते हैं। अधिक जानकारी के लिए, नीचे देखें LAN फ़ायरवॉल नियम बनाना.

LAN_Firewall.png

LAN नेटवर्क नियम बनाने के लिए:

  1. नेविगेशन मेनू से, सुरक्षा > LAN फायरवॉल पर क्लिक करें।

    LAN फायरवॉल पृष्ठ आपके मौजूदा अप्रकाशित संशोधन या नवीनतम प्रकाशित संशोधन के लिए खुलता है।

  2. नया पर क्लिक करें और ड्रॉप-डाउन मेनू से नया LAN नेटवर्क नियम चुनें। नया नेटवर्क नियम पैनल खुलता है।
  3. नियम के लिए नाम दर्ज करें।
  4. स्लाइडर का उपयोग करके नियम को सक्षम या निष्क्रिय करें (हरा सक्षम है, ग्रे निष्क्रिय)।

  5. नए नियम के लिए स्थिति और दिशा कॉन्फ़िगर करें।

    • डिफ़ॉल्ट रूप से, नियम एक दिशा में लागू होता है, स्रोत से गंतव्य तक। दिशा ड्रॉप-डाउन मेनू पर क्लिक करें और नियम को दोनों दिशाओं में संचालित करने के लिए सेट करें।
  6. साइट अनुभाग का विस्तार करें और नियम लागू होने वाली एक या अधिक साइटों या साइट समूहों का चयन करें। डिफ़ॉल्ट मान कोई भी है।
  7. स्रोत अनुभाग का विस्तार करें और इस नियम की ट्रैफ़िक स्रोत के लिए एक या अधिक वस्तुएं चुनें।
    1. प्रकार का चयन करें (उदाहरण: होस्ट, नेटवर्क इंटरफ़ेस, आईपी, उपयोगकर्ता, उपयोगकर्ता समूह, कोई भी)। डिफ़ॉल्ट मान कोई भी है।
    2. आवश्यक होने पर, उस प्रकार के लिए ड्रॉप-डाउन सूची से एक विशेष वस्तु का चयन करें।
  8. गंतव्य अनुभाग का विस्तार करें और इस नियम के लिए एक या अधिक गंतव्य वस्तुएं चुनें।
    1. प्रकार का चयन करें (उदाहरण: होस्ट, नेटवर्क इंटरफ़ेस, आईपी, उपयोगकर्ता, उपयोगकर्ता समूह, कोई भी)। डिफ़ॉल्ट मान कोई भी है।
    2. आवश्यक होने पर, उस प्रकार के लिए ड्रॉप-डाउन सूची से एक विशेष वस्तु का चयन करें।
  9.  मानदंड अनुभाग का विस्तार करें और नियम में डिवाइस स्थितियों को जोड़ें। अधिक जानकारी के लिए देखें फ़ायरवॉल नियमों में उपकरण की शर्तें जोड़ना। डिफ़ॉल्ट मान कोई भी हैं।
    नोट: सॉकेट संस्करण 26 और उच्च के लिए LAN फ़ायरवॉल के लिए मानदंड समर्थित हैं।

  10. सेवा/पोर्ट अनुभाग का विस्तार करें और निम्नलिखित विकल्पों में से एक के साथ नियम को लागू होने वाले प्रोटोकॉल का चयन करें:

    • सरल सेवा - सूची से संबंधित लेयर 4 सेवाओं का चयन करें।

      पूर्वनिर्धारित सेवाओं की सूची प्रत्येक सेवा की RFC परिभाषा पर आधारित है।

    • Iकस्टम सेवा - "प्रोटोकॉल/पोर्ट" प्रारूप में प्रासंगिक पोर्ट और प्रोटोकॉल दर्ज करें (जैसे TCP/80-88, UDP/53, ICMP)

    डिफ़ॉल्ट मान कोई भी है।

  11. (वैकल्पिक) आउटगोइंग इंटरफ़ेस पर NAT सक्षम करने के लिए NAT अनुभाग का विस्तार करें। यह सभी उत्पन्न हो रहे IP को एक NAT IP में अनुवादित करता है।

    image.png

  12. नियम से मेल खाने वाले ट्रैफ़िक के लिए परिवहन का चयन करें। विकल्प हैं:

    • LAN - ट्रैफ़िक को सॉकेट द्वारा स्थानीय रूप से रूट किया जाता है और PoP को नहीं भेजा जाता
    • WAN - निरीक्षण के लिए ट्रैफ़िक PoP को WAN के माध्यम से भेजा जाता है

  13. सुरक्षित करें पर क्लिक करें।

    परिवर्तन आपके अप्रकाशित संशोधन में सहेजे गए हैं और जब तक वे प्रकाशित या त्यागें नहीं जाते, तब तक संपादन के लिए उपलब्ध रहते हैं।

LAN फायरवॉल नियम बनाना

एक नया LAN फायरवॉल नियम बनाएं और ट्रैफ़िक के लिए एक्सेस कंट्रोल प्रबंधित करने के लिए सेटिंग्स को कॉन्फ़िगर करें। LAN फायरवॉल नियम केवल उसके पेरेंट LAN नेटवर्क नियम के दायरे के भीतर ऑब्जेक्ट्स के साथ कॉन्फ़िगर किया जा सकता है।

लेयर 7 क्षमताओं के साथ सक्षम की गई साइट्स के लिए नियमों में एप्लिकेशन और डोमेन जैसे एप्लिकेशन लेयर ऑब्जेक्ट्स के साथ शर्तें शामिल हो सकती हैं। यदि लेयर 7 क्षमताओं के बिना साइट्स के लिए नियम इन वस्तुओं को शामिल करते हैं, तो नियम ठीक से काम नहीं करेंगे।

नोट: वही साइट ट्रैफ़िक जो LAN फ़ायरवॉल नियम से मेल नहीं खाता है, उसे WAN ट्रैफ़िक माना जाता है, भले ही वह PoP के लिए यात्रा करता हो और उसी साइट पर वापस आता हो।

नोट

नोट: स्रोत और गंतव्य फ़ील्ड में उपयोगकर्ता और उपयोगकर्ता समूह ऑब्जेक्ट्स का उपयोग करने के लिए, या नियम में डिवाइस मानदंडों का उपयोग करने के लिए अनुमति और उपयोग के संबंध में अधिक जानकारी प्राप्त करने के लिए, feature-releases@catonetworks.com से संपर्क करें।

LAN फायरवॉल नियम बनाने के लिए:

  1. नेविगेशन मेनू से, सुरक्षा > LAN फायरवॉल पर क्लिक करें।

    LAN फायरवॉल पृष्ठ आपके मौजूदा अप्रकाशित संशोधन या नवीनतम प्रकाशित संशोधन के लिए खुलता है।

  2. नया पर क्लिक करें और ड्रॉप-डाउन मेनू से नया LAN फायरवॉल नियम चुनें। नया फायरवॉल नियम पैनल खुलता है।
  3. नियम के लिए नाम दर्ज करें।
  4. स्लाइडर का उपयोग कर नियम को सक्षम या अक्षम करें (हरा सक्षम है, धूसर अक्षम है)।

  5. नियम के लिए स्थिति कॉन्फ़िगर करें, और संबंधित संदर्भ नियम का चयन करें नियम ड्रॉप-डाउन से, जैसे:

    • नियम से पहले और नियम के बाद विकल्पों के लिए, नियम ड्रॉप-डाउन से एक LAN फायरवॉल नियम का चयन करें जो संबंधित LAN नेटवर्क नियम के अंतर्गत हो।
    • पहला नियम में और अंतिम नियम में विकल्पों के लिए, नियम ड्रॉप-डाउन से इस नियम के लिए पेरेंट LAN नेटवर्क नियम का चयन करें।

  6. इस नियम के लिए दिशा कॉन्फ़िगर करें।

    • डिफ़ॉल्ट रूप से, नियम एक दिशा में लागू होता है, स्रोत से गंतव्य तक। नियम को दोनों दिशाओं में संचालित करने के लिए दिशा ड्रॉप-डाउन मेनू पर क्लिक करें।
  7. स्रोत अनुभाग का विस्तार करें और इस नियम के लिए ट्रैफ़िक स्रोत के एक या एक से अधिक ऑब्जेक्ट्स का चयन करें।
    1. टाइप का चयन करें (उदाहरण: होस्ट, नेटवर्क इंटरफेस, आईपी, उपयोगकर्ता, उपयोगकर्ता समूह, कोई भी)। डिफ़ॉल्ट मान कोई भी है।
    2. जब जरूरी हो, उस प्रकार के ड्रॉप-डाउन सूची से एक विशिष्ट ऑब्जेक्ट का चयन करें।
  8. गंतव्य अनुभाग का विस्तार करें और इस नियम के लिए एक या अधिक गंतव्य ऑब्जेक्ट्स का चयन करें।
    1. टाइप का चयन करें (उदाहरण: होस्ट, नेटवर्क इंटरफेस, आईपी, उपयोगकर्ता, उपयोगकर्ता समूह, कोई भी)। डिफ़ॉल्ट मान कोई भी है।
    2. जब जरूरी हो, उस प्रकार के ड्रॉप-डाउन सूची से एक विशिष्ट ऑब्जेक्ट का चयन करें।

  9. ऐप/श्रेणी अनुभाग का विस्तार करें और नियम के लिए एक या एक से अधिक आवेदन का चयन करें।

    जब किसी नियम में एक से अधिक ऐप/श्रेणी ऑब्जेक्ट होते हैं, तो उनके बीच एक OR संबंध होता है। डिफ़ॉल्ट मान कोई भी है।

    नोट: केवल लेयर 7 क्षमताओं से संपन्न साइट्स के लिए नियमों के लिए ऐप/श्रेणी ऑब्जेक्ट्स को कॉन्फ़िगर करें। अन्यथा नियम ठीक से काम नहीं करेगा।

  10. सेवा/पोर्ट अनुभाग का विस्तार करें और निम्नलिखित विकल्पों में से एक के साथ नियम को लागू होने वाले प्रोटोकॉल का चयन करें:

    • सरल सेवा - सूची से संबंधित लेयर 4 सेवाओं का चयन करें

      पूर्वनिर्धारित सेवाओं की सूची प्रत्येक सेवा की RFC परिभाषा पर आधारित है।

    • सेवा - सूची से संबंधित लेयर 7 सेवाओं का चयन करें
    • Iकस्टम सेवा - "प्रोटोकॉल/पोर्ट" प्रारूप में प्रासंगिक पोर्ट और प्रोटोकॉल दर्ज करें (जैसे TCP/80-88, UDP/53, ICMP)

    डिफ़ॉल्ट मान कोई भी है।

  11. इस नियम के लिए कार्यवाई का चयन करें। विकल्प हैं अनुमति दें और अवरुद्ध करें

  12. (वैकल्पिक) इवेंट्स उत्पन्न करने और सूचना भेजें के लिए ट्रैकिंग विकल्पों को कॉन्फ़िगर करें। पहली सूचना भेजे जाने के बाद फ्रिक्वेंसी गिनना शुरू होता है।

    अधिसूचनाओं के बारे में अधिक जानकारी के लिए, अलर्ट्स अनुभाग में सदस्यता समूह, मेलिंग सूचियाँ और अलर्ट एकीकरण के लिए संबंधित लेख देखें।

  13. सुरक्षित करें पर क्लिक करें।

    परिवर्तन आपके अप्रकाशित संशोधन में सहेजे गए हैं और जब तक वे प्रकाशित या त्यागें नहीं जाते, तब तक संपादन के लिए उपलब्ध रहते हैं।

निगरानी और घटनाएँ

आप वैकल्पिक रूप से Next Gen LAN फ़ायरवॉल नीति में परिभाषित प्रत्येक नियम के लिए घटना ट्रैकिंग सक्षम कर सकते हैं।

नोट

नोट: LAN फ़ायरवॉल ट्रैफ़िक ऐप और नेटवर्क एनालिटिक्स डैशबोर्ड में दिखाई नहीं देगा।

घटनाएँ साइट मॉनिटरिंग > घटनाएँ के तहत दिखाई देती हैं।

  • घटना प्रकार - सुरक्षा
  • उप-प्रकार - LAN फ़ायरवॉल

LAN फ़ायरवॉल घटनाओं के लिए फ़िल्टर करने के लिए:

  1. होम > इवेंट्स पर जाएँ।

  2. फ़िल्टर पर क्लिक करें और प्रासंगिक फ़ील्ड, ऑपरेटर और मान चुनें।

    1. फ़ील्ड - एक फ़िल्टर के रूप में एकाधिक फ़ील्ड चुने जा सकते हैं। उदाहरण के लिए हम "सोर्स साइट" या "उप-प्रकार" (LAN फ़ायरवॉल) के लिए फ़िल्टर करना चुन सकते हैं।
    2. ऑपरेटर - विशिष्ट मानों को शामिल या बहिष्कृत करने के लिए चुनें (है, नहीं है) या एकाधिक मान (में, में नहीं), उदाहरण के लिए "सोर्स साइट" के साथ ऑपरेटर "में" कई स्रोत साइटों को मानों के रूप में चुनने की अनुमति देता है।
    3. मान - फ़ील्ड के लिए मान।

  3. फ़िल्टर जोड़ें पर क्लिक करें।

    image.png
image.png

निम्न उदाहरण में, आप LAN फ़ायरवॉल घटना के लिए विवरण देख सकते हैं।

  • कार्रवाई - अवरुद्ध या निगरानी। (ट्रैफ़िक को LAN फ़ायरवॉल द्वारा अवरुद्ध या स्थानीय रूप से अनुमति दी गई थी)
  • कॉन्फ़िगर किया गया होस्ट नाम - स्रोत IP पर अतिरिक्त होस्ट जानकारी, यदि उपलब्ध हो।
  • उप-प्रकार - LAN फ़ायरवॉल।  LAN फ़ायरवॉल द्वारा उत्पन्न सभी घटनाओं में यह उप-प्रकार होगा।
  • नेटवर्क नियम - LAN फ़ायरवॉल नियम के लिए प्रेक्षक LAN नेटवर्क नियम जिसने घटना उत्पन्न की।
  • नियम का नाम - LAN फ़ायरवॉल नियम का नाम जिसने घटना उत्पन्न की।
LAN_FW_L7_Event.png

WAN या इंटरनेट फ़ायरवॉल के विपरीत, जहाँ घटनाएँ Cato PoP द्वारा उत्पन्न होती हैं, LAN फ़ायरवॉल की घटनाएँ स्वयं Socket पर उत्पन्न होती हैं। ये घटनाएँ साइट टनल के माध्यम से Cato प्रबंधन अनुप्रयोग में संग्रहीत होने के लिए भेजी जाती हैं। 

टनल के माध्यम से प्रवाहित ट्रैफ़िक को LAN फ़ायरवॉल घटनाओं से पहले प्राथमिकता दी जाती है, जिसमें 255 की डिफ़ॉल्ट QoS प्राथमिकता होती है और अतिरिक्त ओवरहेड उत्पन्न हो सकता है। 

Cato अनुशंसा करता है कि केवल उच्च प्राथमिकता वाले LAN फ़ायरवॉल नियमों को ट्रैक किया जाए ताकि टनल पर अतिरिक्त ओवरहेड से बचा जा सके।

क्या यह लेख उपयोगी था?

0 में से 0 के लिए उपयोगी रहा

0 टिप्पणियां