फ़ायरवॉल आपके कॉर्पोरेट नेटवर्क को सुरक्षित करने और आंतरिक संसाधनों की सुरक्षा में एक प्रमुख भूमिका निभाते हैं। इस लेख में अनुशंसाएँ और सर्वोत्तम अभ्यास शामिल हैं जो आपके संगठन के लिए सबसे मजबूत सुरक्षा नीति बनाने में आपकी मदद कर सकते हैं। हम यह भी समझाते हैं कि आपकी फ़ायरवॉल नीतियों को साफ और प्रबंधनीय कैसे रखा जाए।
इंटरनेट फ़ायरवॉल आपके नेटवर्क में उपयोगकर्ताओं और उपकरणों के लिए विभिन्न वेब सेवाओं, अनुप्रयोगों और सामग्री तक पहुंच प्रबंधित करने में आपकी सहायता करता है। WAN फायरवॉल आपको आंतरिक संसाधनों और उपयोगकर्ताओं और साइट्स के बीच WAN ट्रैफ़िक का प्रबंधन करने देता है। यह मार्गदर्शिका आपको सुरक्षा नीति की प्रभावशीलता को अधिकतम करने के लिए प्रत्येक फायरवॉल में नियमों को कॉन्फ़िगर और फाइन-ट्यून करने में मदद करती है।
विशिष्ट नियम सेटिंग्स के बारे में अधिक जानकारी के लिए, नियम वस्तुओं के लिए संदर्भ देखें।
Cato प्रबंधन अनुप्रयोग (CMA) में सर्वोत्तम प्रथाएं पृष्ठ फ़ायरवॉल जांचों की एक संख्या दिखाता है, और यदि आपका खाता उनके साथ अनुपालन करता है, अधिक जानकारी के लिए देखें अपने खाते में सर्वोत्तम प्रथाओं की समीक्षा करना.
फायरवॉल रूलबेस के लिए दो दृष्टिकोण हैं: अलाउलिस्ट और ब्लॉकलिस्ट। अलाउलिस्टिंग फ़ायरवॉल नियमाचार का अर्थ है कि नियम उस ट्रैफ़िक को परिभाषित करते हैं जिसे फ़ायरवॉल अनुमति देता है। अन्य सभी ट्रैफ़िक फ़ायरवॉल द्वारा अवरोधित कर दिया जाता है। ब्लॉकलिस्टिंग फ़ायरवॉल नियमाचार विपरीत होता है, नियम अवरुद्ध ट्रैफ़िक को परिभाषित करते हैं। अन्य सभी ट्रैफ़िक फ़ायरवॉल द्वारा अनुमति प्राप्त होता है। संगठन अपनी विशिष्ट आवश्यकताओं और स्थितियों के लिए सबसे उपयुक्त दृष्टिकोण का चयन करते हैं।
- एक स्वीकृति सूची सुरक्षा नीति में एक ANY ANY ब्लॉक नियम अंतिम नियम के रूप में होता है ताकि उन सभी ट्रैफ़िक को अवरुद्ध किया जा सके जो अनुमति नियम से मेल नहीं खाते।
- एक ब्लॉक सूची सुरक्षा नीति में एक ANY ANY अनुमति नियम अंतिम नियम के रूप में होता है ताकि उन सभी ट्रैफ़िक को अनुमति दी जा सके जो ब्लॉक नियम से मेल नहीं खाते।
प्रत्येक दृष्टिकोण के लिए अनुशंसाएँ नीचे इंटरनेट और WAN फ़ायरवॉल के संबंधित खंडों में चर्चा की गई हैं।
कैटो के इंटरनेट और वैन फ़ायरवॉल दो विभिन्न प्रकार के फ़ायरवॉल नियमों का उपयोग करते हैं:
- पारंपरिक फ़ायरवॉल नियम (जिसे सरल नियम भी कहा जाता है)
- अगली पीढ़ी (NG) फ़ायरवॉल नियम (जिसे जटिल नियम भी कहा जाता है)
इस खंड में इन नियम प्रकारों के बीच के अंतर और फ़ायरवॉल द्वारा उन्हें नेटवर्क ट्रैफ़िक पर लागू करने के लिए उपयोग की जाने वाली लॉजिकल प्रक्रिया का वर्णन किया गया है।
कैटो आपको एक नेटवर्क सुरक्षा नीति को परिभाषित करने और आपके नेटवर्क में आने और जाने वाले ट्रैफ़िक को नियंत्रित करने के लिए पारंपरिक फ़ायरवॉल नियमों को कॉन्फ़िगर करने की अनुमति देता है। कैटो के पारंपरिक फ़ायरवॉल नियमों में केवल निम्नलिखित सेटिंग्स में से एक या एक से अधिक होती है:
पारंपरिक फ़ायरवॉल इंजन पहले पैकेट पर ट्रैफ़िक का मूल्यांकन करता है। उदाहरण के लिए, नेटवर्क प्रशासक प्रोटोकॉल और पोर्ट के आधार पर फ़ायरवॉल नियमों को कॉन्फ़िगर कर सकते हैं। इस तरह के नियम के लिए, फ़ायरवॉल पहले पैकेट के आधार पर ट्रैफ़िक को अनुमति देने या अवरुद्ध करने का निर्णय लेता है।
निम्न स्क्रीन्शॉट WAN फ़ायरवॉल के एक पारंपरिक नियम का उदाहरण दिखाता है जो पोर्ट 80 पर TCP ट्रैफ़िक को अवरुद्ध करता है:
निम्न चित्र एक TCP कनेक्शन का उदाहरण दिखाता है जो होस्ट A से होस्ट B तक होता है और पारंपरिक फ़ायरवॉल इंजन के लिए एक ब्लॉक नियम का मूल्यांकन करने की बिंदु:
नोट
नोट: पारंपरिक फ़ायरवॉल इंजन पैकेट्स को नहीं गिराता। PoP TCP हैंडशेक को पूरा करता है बिना किसी पैकेट को गंतव्य (होस्ट B) को भेजे। कारण यह है कि ब्लॉक या प्रॉम्प्ट क्रियाओं के लिए इंटरनेट पुनर्निर्देश पृष्ठ प्रदर्शित करने के लिए। रेडायरेक्ट पृष्ठ के बारे में अधिक जानने के लिए, चेतावनी / ब्लॉक पेज देखें।
Cato का NG फायरवॉल इंजन स्टेटफुल है और एप्लिकेशन और सेवाओं की पूर्ण जागरूकता और नियंत्रण के लिए एप्लिकेशन-लेयर डेटा निरीक्षण का उपयोग करता है। यह ट्रैफ़िक का निरीक्षण करने के लिए डीप पैकेट इन्स्पेक्शन (DPI) और कई सुरक्षा इंजन का उपयोग करता है। NG फ़ायरवॉल इंजन का मुख्य तत्व अनुप्रयोग जागरूकता है, जो आपको एप्लिकेशन और सेवाओं के आधार पर ट्रैफ़िक को अनुमति देने या अवरुद्ध करने के नियमों को परिभाषित करने की अनुमति देता है। एनजी फ़ायरवॉल इंजन एप्लिकेशन, कस्टम एप्लिकेशन, श्रेणियां, कस्टम श्रेणियां, सेवाएं, एफक्यूडीएन, डोमेन और अन्य के आधार पर पैकेट सामग्री का निरीक्षण करता है। उदाहरण के लिए, आप अपने नेटवर्क में uTorrent एप्लिकेशन ट्रैफ़िक को अवरुद्ध करने के लिए एक नियम को परिभाषित कर सकते हैं। संचार प्रवाह की डेटा सामग्री का निरीक्षण करने के लिए, फ़ायरवॉल प्रवाह में कई पैकेट का मूल्यांकन करता है, जिसमें ऐसे पैकेट शामिल हैं जो एप्लिकेशन और सामग्री पेलोड की अन्य विशेषताओं को पहचानने में मदद कर सकते हैं।
निम्न चित्र एक TCP कनेक्शन का उदाहरण दिखाता है जो होस्ट A से होस्ट B तक होता है और NG फ़ायरवॉल के लिए एक ब्लॉक नियम का मूल्यांकन करने की बिंदु:
इस अनुभाग में इंटरनेट और WAN फ़ायरवॉल्स के लिए प्रासंगिक एक मजबूत सुरक्षा नीति के लिए सर्वोत्तम प्रथाएं शामिल हैं।
Cato Networks में WAN और इंटरनेट फ़ायरवॉल क्रमबद्ध फ़ायरवॉल हैं। फ़ायरवॉल कनेक्शन का सीक्वेंसियल निरीक्षण करता है और यह देखने के लिए जांचता है कि क्या कनेक्शन किसी नियम से मेल खाता है। उदाहरण के लिए, अगर कोई कनेक्शन नियम #3 से मेल खाता है, तो कार्रवाई कनेक्शन पर लागू की जाती है, और फ़ायरवॉल इसका निरीक्षण करना बंद कर देता है। फ़ायरवॉल कनेक्शन पर नियम #4 और नीचे के नियमों को लागू नहीं करता।
जब फ़ायरवॉल नियम गलत क्रम में होते हैं, तो आप आकस्मिक रूप से ट्रैफ़िक को ब्लॉक या अनुमति दे सकते हैं। यह एक खराब उपयोगकर्ता अनुभव का नेतृत्व कर सकता है या सुरक्षा जोखिम पैदा कर सकता है। फ़ायरवॉल नियमों को क्रम में लाने के बारे में अधिक जानकारी के लिए, फ़ायरवॉल ज्ञान केंद्र लेख देखें।
अधिकांश मामलों के लिए अनुशंसित नियम आधार क्रम यह है:
- विशिष्ट अवरोधक नियम
- सामान्य अनुमति नियम
- विशिष्ट अनुमति नियम
-
कोई भी कोई भी नियम
- अनुमति सूची (डिफ़ॉल्ट वान फ़ायरवॉल) अंतिम अवरोधक नियम का उपयोग करता है
- ब्लॉक सूची (डिफ़ॉल्ट इंटरनेट फ़ायरवॉल) उपयोगकर्ता अंतिम अनुमति नियम के साथ
क्योंकि केटो फ़ायरवॉल एक क्रमबद्ध नियमाधार का पालन करता है, यदि आप पारंपरिक फ़ायरवॉल नियमों से पहले NG फ़ायरवॉल नियमों को कॉन्फ़िगर करते हैं, तो DPI इंजन पहले पैकेट के लिए एप्लिकेशन या सेवा को पहचानने के लिए ट्रैफ़िक का निरीक्षण करता है, फिर कार्रवाई को लागू करता है। इसका अर्थ है कि पहला पैकेट गुजर सकता है और गंतव्य तक पहुंच सकता है। इसलिए, पारंपरिक नियमों को आपके नेटवर्क की सही से सुरक्षा करने और पहले पैकेट पर कार्रवाई को लागू करने के लिए उन्हें उच्च प्राथमिकता होनी चाहिए और वे नियमाधार के शीर्ष पर होने चाहिए (किसी भी NG फ़ायरवॉल नियम से पहले)। हम अनुशंसा करते हैं कि आप सभी पारंपरिक फ़ायरवॉल नियमों को नियमाधार के शीर्ष पर रखें, NG फ़ायरवॉल नियमों से पहले।
अधिक जानकारी के लिए ऊपर पारंपरिक बनाम एनजी फ़ायरवॉल नियम देखें।
केटो WAN और इंटरनेट फ़ायरवॉल के लिए जोखिमों को और कम करने के लिए इन कॉन्फ़िगरेशन्स की सिफारिश करता है:
- फ़ायरवॉल नीतियों में DNS ओवर HTTPS - DoH सेवा को प्रतिबंधित करके DNS के धोखाधड़ी उपयोग को अवरुद्ध करें
-
इंटरनेट फायरवॉल में, DNS ट्रैफ़िक के लिए Parked domain Application श्रेणी को ब्लॉक करें
- डीएनएस रीबाइंडिंग हमलों को अवरुद्ध करने के लिए वाईएएन विभाजनों को सही रूप से परिभाषित करें
WAN और इंटरनेट फायरवॉल नीतियाँ प्रत्येक नियम में 128 तक के पूर्वापेक्षा का समर्थन करती हैं।
पुर्वापेक्षाएँ नियम के लिए परिभाषित सेटिंग्स के प्रकार होते हैं, और तत्त्व वस्तुओं की कुल संख्या होती है। उदाहरण के लिए, 100 उपयोगकर्ताओं और 10 साइट्स के साथ एक नियम में 110 तत्त्व होते हैं और 2 पुर्वापेक्षाएँ (उपयोगकर्ता और साइट) होती हैं।
समूह और उन्नत समूह प्रत्येक एकल तर्क के रूप में गिने जाते हैं।
फ़ायरवॉल नियमों के लिए ट्रैक विकल्प आपको फ़ायरवॉल ट्रैफ़िक घटनाओं और अधिसूचनाओं की निगरानी और विश्लेषण करने की अनुमति देता है। हम अनुशंसा करते हैं कि आप अवरुद्ध करें कार्रवाई के लिए घटनाएँ उत्पन्न करने के लिए नियमों को कॉन्फ़िगर करें ताकि उन स्रोतों की आसानी से निगरानी की जा सके जो प्रतिबंधित सामग्री तक पहुँचने की कोशिश कर रहे हैं। आप उन नियमों के लिए भी घटनाएँ और अधिसूचनाएँ कॉन्फ़िगर कर सकते हैं जो महत्वपूर्ण सुरक्षा जोखिम के साथ ट्रैफ़िक को संभालते हैं।
एक सर्वोत्तम अभ्यास के रूप में, हम सभी इंटरनेट ट्रैफ़िक को लॉग करने के लिए निगरानी का उपयोग करने की अनुशंसा करते हैं। इसे लागू करने के लिए, अंतिम इंटरनेट फ़ायरवॉल नियम के रूप में एक स्पष्ट कोई भी-कोई भी अनुमति नियम जोड़ें और इसे घटनाएं उत्पन्न करने के लिए कॉन्फ़िगर करें। यह आपके नेटवर्क पर सभी इंटरनेट ट्रैफ़िक के लिए दृश्यता प्रदान करता है ताकि आप समझ सकें कि नेटवर्क और उपयोगकर्ताओं को बेहतर कैसे सुरक्षित करें जबकि उपयोगिता बनाए रखें।
ईमेल अधिसूचनाओं और घटनाओं के बारे में अधिक जानकारी के लिए, देखें खाता स्तर के अलर्ट और सिस्टम अधिसूचनाएँ।
समय सेटिंग आपको फ़ायरवॉल नियम के लिए एक विशिष्ट समय अवधि को परिभाषित करने की अनुमति देता है। समय सीमा के बाहर, फ़ायरवॉल इस नियम की अनदेखी करता है। यह सुविधा आपको इंटरनेट एक्सेस को सीमित करने और आपके नेटवर्क में एक्सेस नियंत्रण को सुधारने की अनुमति देती है। उदाहरण के लिए, आप इंटरनेट फ़ायरवॉल में एक नियम परिभाषित कर सकते हैं जो केवल नियमित कार्य समय के दौरान सामाजिक श्रेणी तक पहुंच को प्रतिबंधित करता है। या आप WAN फायरवॉल में एक नियम बना सकते हैं जो केवल कार्य समय के दौरान क्लाउड डेटा सेंटर तक पहुंच की अनुमति देता है। किसी नियम के लिए क्रियाएँ अनुभाग में कार्य समय तक सीमित करने के लिए एक पूर्वनिर्धारित विकल्प प्रदान करता है।
आप कस्टम समय प्रतिबंध भी निर्धारित कर सकते हैं और नियम को निर्दिष्ट घंटों तक सीमित कर सकते हैं। सुनिश्चित करें कि से समय तक समय से पहले सेट किया गया है, अन्यथा, नियम सही ढंग से कार्य नहीं करेगा। यदि आप एक दिन के अंत और अगले की शुरुआत में फैला प्रतिबंध बनाना चाहते हैं, तो दो नियम बनाएं और प्रत्येक दिन के लिए संबंधित घंटों के लिए प्रतिबंध निर्धारित करें। उदाहरण के लिए, एक नियम जिसमें सोमवार को 23:00-23:59 से परिभाषित प्रतिबंध है, और दूसरा नियम जिसमें मंगलवार को 00:00 से 01:00 तक परिभाषित प्रतिबंध है।
नोट
नोट: समय प्रतिबंधित फ़ायरवॉल नियम उपयोगकर्ता प्रकार के आधार पर अलग-अलग वर्गीकरण रखते हैं:
- साइटों के लिए, विन्यस्त किया गया समय क्षेत्र समय-सीमित फ़ायरवॉल नियमों को लागू करने के लिए उपयोग किया जाएगा
- ZTNA उपयोगकर्ताओं के लिए, समय-सीमित फ़ायरवॉल नियम उनके सार्वजनिक IP पते के भू-स्थान पर आधारित होंगे। यदि यह उपलब्ध नहीं है, तो खाते के समय क्षेत्र का भू-स्थान उपयोग किया जाता है।
एक सरल और साफ़ सुथरा फ़ायरवॉल नियम आधार एक मजबूत सुरक्षा नीति लागू करने में मदद करता है क्योंकि यह प्रबंधित करने में आसान होता है और भ्रम कम करता है। इस अनुभाग की सिफारिशें आपको एक स्पष्ट और सुसंगत सुरक्षा नीति बनाने और गलतियों से बचने में मदद करती हैं।
जब आप कोई नियम बनाते हैं, तो उसे एक विशिष्ट और अद्वितीय नाम दें। स्वयं व्याख्यात्मक नियम नाम टीम के अन्य प्रशासकों को नियम का उद्देश्य आसानी से समझने देते हैं। खराब नाम वाले नियम गलतियों का कारण बन सकते हैं और भ्रम उत्पन्न कर सकते हैं।
उदाहरण के लिए, जुआ वेबसाइटों को ब्लॉक करने वाले इंटरनेट फ़ायरवॉल नियम का नाम जुआ ब्लॉक करें रखें, अस्पष्ट ब्लॉक की गई वेबसाइटें के बजाय।
प्रत्येक व्यक्तिगत फ़ायरवॉल नियम को निष्क्रिय या सक्रिय किया जा सकता है। हालांकि, हम अनुशंसा करते हैं कि आप केवल थोड़े समय के लिए नियमों को अक्षम करें। जो नियम अप्रचलित हैं और अब उपयोग में नहीं हैं, उन्हें निष्क्रिय करने के बजाय उन्हें नियम आधार से हटा दें। निष्क्रिय किए गए नियम नियम आधार को अधिक जटिल और प्रबंधित करना कठिन बनाते हैं।
जब आप कोई फ़ायरवॉल नियम बनाते हैं, तो उपयोगकर्ताओं या साइट्स के एक समूह का उपयोग करें और इस समूह के सदस्यों के लिए नेटवर्क एक्सेस को प्रतिबंधित करें। उदाहरण के लिए, आप उपयोगकर्ताओं के एक समूह (संसाधन > समूह) बना सकते हैं और केवल इस समूह के लिए इंटरनेट एक्सेस को ब्लॉक कर सकते हैं।
अपवाद फ़ायरवॉल नियमों के लिए शक्तिशाली उपकरण हैं, लेकिन वे नियम आधार को पढ़ने में कठिन बना सकते हैं। जिन मामलों में आप नियमों में अपवादों का उपयोग करते हैं, नियमों का ऐसा नाम दें जिससे यह स्पष्ट हो कि वे अपवाद शामिल करते हैं। उदाहरण के लिए, सोशल ब्लॉक करें (अपवाद सहित)।
हालांकि फ़ायरवॉल नीति में जोड़े जा सकने वाले नियमों की संख्या पर कोई सीमा नहीं है, बड़ी संख्या में प्रदर्शन समस्याएं हो सकती हैं और नीति को प्रबंधित करना कठिन बना देती है। हम अनुशंसा करते हैं कि नियमों की अधिक संख्या की आवश्यकता से बचने के लिए नियमों की योजना बनाएं।
Cato इंटरनेट फायरवॉल इंटरनेट ट्रैफ़िक का निरीक्षण करता है और आपको इंटरनेट पहुंच को नियंत्रित करने के लिए नियम बनाने देता है। इंटरनेट फ़ायरवॉल एक सेट सुरक्षा नियमों पर आधारित है जो आपको साइट्स और उपयोगकर्ताओं से वेबसाइट, श्रेणियों, अनुप्रयोगों आदि तक की पहुँच की अनुमति देता है या ब्लॉक करने की अनुमति देता है। इंटरनेट फ़ायरवॉल का डिफ़ॉल्ट दृष्टिकोण ब्लॉकलिस्ट (कोई भी कोई भी अनुमति दें) है।
निम्नलिखित स्क्रीनशॉट CMA में एक नमूना इंटरनेट फायरवॉल नीति दिखाता है (सुरक्षा > इंटरनेट फायरवॉल):
नोट: इंटरनेट फ़ायरवॉल नियमबेस के शीर्ष पर एक सिस्टम नियम। फिर, जब Cato सुरक्षा स्टैक ऐप पहचान प्रक्रिया को पूरा करता है, तो इस अनुप्रयोग उपयोग डेटा को शामिल किया जाता है एप्लिकेशन एनालिटिक्स स्क्रीन में।
Cato इंटरनेट फायरवॉल नीति के लिए सर्वोत्तम प्रथाएं
इस अनुभाग में आपके खाते के लिए इंटरनेट एक्सेस सुरक्षित करने में मदद के लिए सर्वोत्तम प्रथाएं शामिल हैं।
QUIC एक नया मल्टीप्लेक्सड ट्रांसपोर्ट है जो UDP पर आधारित है। HTTP/3 को QUIC की विशेषताओं का लाभ उठाने के लिए डिज़ाइन किया गया है, जिसमें स्ट्रिम्स के बीच हेड-ऑफ-लाइन ब्लॉक नहीं होना शामिल है। QUIC परियोजना उपयोगकर्ता अनुभव, विशेष रूप से पृष्ठ लोड समय को सुधारने के लक्ष्य के साथ TCP+TLS+HTTP/2 के एक विकल्प के रूप में शुरू हुई। Cato QUIC ट्रैफ़िक के साथ-साथ GQUIC (गूगल QUIC) ट्रैफ़िक की पहचान और अवरुद्ध कर सकता है।
फ़ायरवॉल या नेटवर्क नियम में QUIC ट्रैफ़िक को प्रबंधित करने के लिए, संबंधित नियमों में सेवा QUIC और अनुप्रयोग GQUIC का उपयोग करें। यहां इंटरनेट फ़ायरवॉल नियमों के उदाहरण दिए गए हैं जो एक खाते के लिए QUIC ट्रैफ़िक को अवरुद्ध कर रहे हैं:
चूंकि QUIC प्रोटोकॉल UDP 443 पर कार्य करता है, इसलिए संलग्न HTTP ट्रैफ़िक पार्स नहीं किया जाता। इसका मतलब है कि अनुप्रयोग विश्लेषिकी स्क्रीन केवल QUIC ट्रैफ़िक के लिए प्रविष्टियां दिखाती है, न कि अनुप्रयोग के लिए।
इसलिए हम अनुशंसा करते हैं कि QUIC और GQUIC ट्रैफ़िक को ब्लॉक करने के लिए विशिष्ट नियम बनाएं, ताकि ब्राउज़र HTTP 3.0 और QUIC के बजाय डिफ़ॉल्ट HTTP संस्करण का उपयोग करे। यह उपयोग किए गए एप्लिकेशन के लिए विस्तृत विश्लेषिकी प्रदान करता है, केवल QUIC सेवा या GQUIC एप्लिकेशन के उपयोग की रिपोर्टिंग के बजाय।
इंटरनेट तक पहुंच की अनुमति देने वाले नियमों के लिए, हम सुझाव देते हैं कि आप विकल्प कोई भी के बजाय स्रोत स्तंभ में एक विशिष्ट साइट, होस्ट या उपयोगकर्ता चुनें। जो नियम इंटरनेट पर कोई भी ट्रैफ़िक की अनुमति देते हैं वे एक संभावित सुरक्षा जोखिम हैं क्योंकि आप अनपेक्षित स्रोतों से ट्रैफ़िक की अनुमति दे रहे हैं।
निम्नलिखित स्क्रीनशॉट एक नियम दिखाता है जहां स्रोत स्तंभ को समूहों सभी साइट्स और सभी SDP उपयोगकर्ता के लिए सेट किया गया है बजाय कोई भी के:
इंटरनेट फ़ायरवॉल नियम जो कुछ सेटिंग्स में कोई भी का उपयोग करते हैं, वे घटनाएँ उत्पन्न कर सकते हैं जिनमें महत्वपूर्ण और उपयोगी जानकारी शामिल नहीं होती है। उदाहरण के लिए, कोई भी एप्लिकेशन के साथ कॉन्फिगर किए गए नियम ट्रैफ़िक प्रवाह में एप्लिकेशन की पहचान नहीं करने वाले इवेंट्स उत्पन्न कर सकते हैं। यह इसलिए होता है क्योंकि फायरवॉल एप्लिकेशन पहचान पूरी होने से पहले नियम को शुरू करता है, क्योंकि कोई भी एप्लिकेशन नियम से मेल खाता है। फिर जब Cato सुरक्षा स्टैक एप्लिकेशन पहचान प्रक्रिया को पूरा करता है, तो इस एप्लिकेशन उपयोग डेटा को एप्लिकेशन एनालिटिक्स स्क्रीन में शामिल किया जाता है। हालांकि, इवेंट्स में सभी समान जानकारी शामिल नहीं होती है, और फिर यह एप्लिकेशन के उपयोग की आगे जांच करना मुश्किल हो सकता है।
ऐप उपयोग के विश्लेषण में सुधार करने में मदद करने के लिए, हम अनुशंसा करते हैं कि आप नियम की शर्तों के लिए कोई भी को कम से कम करें और इसके बजाय विशिष्ट ऐप्स, सेवाएं, पोर्ट, आदि के साथ सूक्ष्म नियमों का उपयोग करें।
जब किसी विशिष्ट सेवा या पोर्ट के लिए किसी भी इंटरनेट आउटबाउंड ट्रैफ़िक की अनुमति देने वाले फ़ायरवॉल नियमों को कॉन्फिगर करना आवश्यक हो, तो हम सुझाव देते हैं कि आप संभावित सुरक्षा जोखिम वाली श्रेणियों या अनुप्रयोगों को ब्लॉक करें।
उदाहरण के लिए, यदि आपके पास एक नियम है जो सभी HTTP ट्रैफ़िक की अनुमति देता है, तो निम्नलिखित श्रेणियों के लिए नियम में अपवाद जोड़ें: धोखाधड़ी, जुआ, हिंसा और घृणा, पार्क किए गए डोमेन्स, नग्नता, हथियार, यौन शिक्षा, पंथ और गुमनाम उपकरण। ये श्रेणियों के उदाहरण हैं जो दुर्भावनापूर्ण सामग्री हो सकते हैं, और अपवाद इन श्रेणियों के लिए इंटरनेट एक्सेस रोकता है।
आमतौर पर, हम अनुशंसा करते हैं कि इंटरनेट ट्रैफ़िक की अनुमति देने वाले नियमों के लिए, नियमित साधारण टेक्स्ट प्रोटोकॉल के बजाय सुरक्षित, एन्क्रिप्टेड प्रोटोकॉल का उपयोग करें। उदाहरण के लिए, FTP के बजाय FTPS का उपयोग करें, या Telnet या SNMP के बजाय SSH का उपयोग करें। सुरक्षित प्रोटोकॉल के साथ अनुमति दिए गए इंटरनेट ट्रैफ़िक को एन्क्रिप्ट किया जाता है और हैकर्स के लिए इसे इंटरसेप्ट और डिक्रिप्ट करना बहुत कठिन होता है।
यदि आपके पास नियम है जो मामूली सुरक्षा जोखिम वाली वेबसाइटों तक पहुँच की अनुमति देता है, तो हम प्रॉम्प्ट कार्रवाई के बजाय अनुमति दें का सुझाव देते हैं। जब उपयोगकर्ता इन वेबसाइटों में से एक पर पहुँचने की कोशिश करते हैं, तो प्रॉम्प्ट क्रिया उपयोगकर्ताओं को एक वेब पृष्ठ पर पुनर्निर्देशित करती है, जहां वे यह तय करते हैं कि जारी रखना है या नहीं। क्योंकि ये वेबसाइटें आपके नेटवर्क के लिए सुरक्षा जोखिम बढ़ा सकती हैं, हम अनुशंसा करते हैं कि आप इस नियम से मेल खाने वाले ट्रैफ़िक की घटनाओं को ट्रैक करें।
प्रॉम्प्ट क्रिया के सही कार्य करने के लिए, हम अनुशंसा करते हैं कि आप सभी समर्थित उपकरणों पर Cato प्रमाणपत्र स्थापित करें।
जब आप किसी नियम में कई श्रेणियाँ शामिल करते हैं, तो यह नियम आधार को प्रबंधित करना और कठिन बना देता है। इसके बजाय आप एक कस्टम श्रेणी को परिभाषित कर सकते हैं जिसमें सभी संबंधित श्रेणियाँ शामिल हों, और फिर इस एकल कस्टम श्रेणी को नियम में जोड़ें। एक सरल नियम परिभाषित करना जो एक कस्टम श्रेणी का उपयोग करता है, नियम आधार को पढ़ना और खोजना आसान बनाता है।
उदाहरण के लिए, आप एक कस्टम श्रेणी नामांकित कर सकते हैं इंटरनेट प्रोफ़ाइल जो सभी श्रेणियों, ऐप्स और सेवाओं को शामिल करती है जिन्हें आप एक्सेस की अनुमति देना चाहते हैं, और फिर इस कस्टम श्रेणी को प्रासंगिक इंटरनेट फ़ायरवॉल नियम में जोड़ सकते हैं। नियम को अद्यतन रखने के लिए, आप केवल कस्टम श्रेणी को संपादित कर सकते हैं और आवश्यक अद्यतनों को हटा या जोड़ सकते हैं।
ये कस्टम श्रेणियों का उपयोग करके सर्वोत्तम प्रथाओं को लागू करने वाले नियमों के लिए अतिरिक्त सुझाव हैं:
- प्रॉम्प्ट क्रिया के लिए आप सभी ट्रैफ़िक के लिए एक नियम बनाएँ। फिर सभी संबंधित URL और श्रेणियों को शामिल करने वाली Prompt Sites नामक एक कस्टम श्रेणी बनाएं, और इसे नियम में जोड़ें। प्रॉम्प्ट क्रिया के लिए अनुशंसित श्रेणियों में शामिल हैं: धोखाधड़ी, जुआ, हिंसा और घृणा, बेस्वाद, पार्क किए गए डोमेन्स, हथियार, यौन शिक्षा, पंथ और गुमनाम उपकरण। मैचिंग ट्रैफ़िक के लिए घटनाएँ उत्पन्न करने के लिए नियम के लिए ट्रैकिंग कॉन्फ़िगर करें।
- अवरुद्ध करें क्रिया के लिए आप सभी ट्रैफ़िक के लिए एक नियम बनाएँ। फिर सभी संबंधित URL और श्रेणियों को शामिल करने वाली Block Sites नामक एक कस्टम श्रेणी बनाएं, और इसे नियम में जोड़ें। अवरुद्ध करें कार्रवाई के लिए अनुशंसित श्रेणियाँ शामिल हैं: बोटनेट्स, समझौता किया गया, पोर्न, कीलॉगर्स, मैलवेयर, फ़िशिंग, स्पाइवेयर, अवैध ड्रग्स, हैकिंग, एसपीएएम, संदिग्ध। मेल खाने वाले ट्रैफ़िक के लिए घटनाएँ उत्पन्न करने के लिए नियम के लिए ट्रैकिंग कॉन्फ़िगर करें।
इंटरनेट फ़ायरवॉल में अंतिम नियम एक अप्रत्यक्ष "कोई भी - कोई भी - अनुमति दें" नियम है, फिर भी हम अनुशंसा करते हैं कि आप अंतिम नियम के रूप में एक स्पष्ट "कोई भी - कोई भी - अनुमति दें" नियम जोड़ें। इस तरह, आप आसानी से सभी इंटरनेट ट्रैफ़िक को लॉग कर सकते हैं, बस सभी नियमों के लिए ट्रैक इवेंट्स का चयन करें।
Cato में इंटरनेट फायरवॉल इसे पूरे शीर्ष स्तरीय डोमेन (TLDs), जैसे .shop, .info, या देश कोड TLDs जैसे .cg (कांगो) को ब्लॉक करने के लिए सरल और प्रभावी बनाता है। यह क्षमता संगठनों को उच्च जोखिम या अवांछित TLDs तक अपने नेटवर्क्स में पहुँच को सक्रिय रूप से रोकने में सक्षम बनाकर सुरक्षा को बढ़ाती है।
एक TLD को ब्लॉक करने के लिए, इंटरनेट फायरवॉल नियम के अनुप्रयोग/श्रेणी के लिए डोमेन को परिभाषित करें। वाइल्डकार्ड (*.info जैसे) का उपयोग करने की कोई आवश्यकता नहीं है; उपडोमेन स्वतः ही शामिल किए जाते हैं। इसका अर्थ है कि info जोड़ने पर example.info, subdomain.example.info, और अन्य सभी डोमेन को .info TLD के तहत ब्लॉक कर दिया जाएगा।
इंटरनेट फायरवॉल निर्दिष्ट TLD के तहत डोमेन पर आउटबाउंड ट्रैफ़िक को ब्लॉक करता है। यह इनबाउंड ट्रैफिक को ब्लॉक नहीं करता है। डोमेन द्वारा देश को ब्लॉक करना डोमेन नाम के बजाय IP-आधारित फ़िल्टरिंग पर निर्भर करता है।
उपरोक्त उदाहरण इस व्यवहार के साथ ब्लॉक नियम में जोड़े जा सकने वाले डोमेन दिखाता है:
- info सभी .info डोमेन को ब्लॉक करता है
- shop सभी .shop डोमेन को ब्लॉक करता है
- cg सभी .cg (कांगो) डोमेन को ब्लॉक करता है
अलाउलिस्ट व्यवहार के साथ एक इंटरनेट फायरवॉल को लागू करने का मतलब है कि डिफॉल्ट रूप से, फायरवॉल सभी इंटरनेट ट्रैफिक को ब्लॉक करता है। कॉर्पोरेट सुरक्षा नीति की आवश्यकताओं के अनुसार इंटरनेट ट्रैफ़िक को विशेष रूप से अनुमति देने वाले फ़ायरवॉल में नियम जोड़ें।
CMA में अलाउलिस्ट इंटरनेट फायरवॉल को लागू करने के लिए, नियम की अंत में एक स्पष्ट नियम होना चाहिए जो किसी भी स्रोत से किसी भी गंतव्य तक कोई भी ट्रैफ़िक ब्लॉक करता हो। निम्नलिखित उदाहरण देखें:
हम यह भी अनुशंसा करते हैं कि आप अपने नेटवर्क पर इंटरनेट ट्रैफ़िक की निगरानी और विश्लेषण में मदद करने वाले घटनाएँ उत्पन्न करने के लिए अंतिम नियम के लिए ट्रैकिंग सक्षम करें।
इस अनुभाग में उन नियमों पर चर्चा की जाती है जिन्हें हम एलाउलिस्ट दृष्टिकोण का उपयोग करने वाले इंटरनेट फ़ायरवॉल के नियमाधार में शामिल करने की अनुशंसा करते हैं।
HTTP और HTTPS ट्रैफ़िक की अनुमति देते समय, हम अनुशंसा करते हैं कि आप जोखिमपूर्ण और अनुचित सामग्री वाली वेबसाइट्स को ब्लॉक करें। ये वेबसाइट्स आमतौर पर व्यवसायों द्वारा ब्लॉक की जाती हैं और मैलवेयर के संभावित स्रोत भी हो सकती हैं। प्रत्येक श्रेणी (संसाधन > श्रेणियां) में विभिन्न प्रकार की वेबसाइट्स और ऐप्स शामिल होती हैं जिन्हें आप आसानी से नियमों में जोड़ सकते हैं। श्रेणियों में बॉटनेट्स, समझौता, पोर्न, कीलॉगर्स, मालवेयर, फिशिंग, स्पाईवेयर, अवैध ड्रग्स, हैकिंग, स्पैम, और संदिग्ध शामिल हैं।
नियमाधार के शीर्ष पर, सुनिश्चित करें कि वहाँ इंटरनेट ट्रैफ़िक के हिस्से के रूप में सभी डीएनएस सेवाओं की अनुमति देने के लिए एक नियम हो।
निम्नलिखित स्क्रीनशॉट DNS ट्रैफ़िक की अनुमति देने वाले एक नियम का उदाहरण दिखाती है:
अपने खाते द्वारा उपयोग की जाने वाली और इंटरनेट तक पहुँच की आवश्यकता वाली सेवाओं को अनुमति देने के लिए एक नियम बनाएँ। इसके अलावा, यदि ऐसी सेवाएँ हैं जो केवल विशिष्ट साइट के लिए उपयोग की जाती हैं, तो आप केवल उन साइट के लिए पहुँच की अनुमति देने वाला एक अलग नियम बना सकते हैं।
पूर्वनिर्धारित एप्लिकेशन सूची से आपके संगठन द्वारा उपयोग किए जाने वाले अनुप्रयोगों को इंटरनेट फ़ायरवॉल नियमों में जोड़ें। Cato इस सूची को नए अनुप्रयोगों के साथ लगातार अपडेट करता है। यदि आपको किसी ऐसे अनुप्रयोग की आवश्यकता है जो सूची में दिखाई नहीं देता हो, तो आप एक कस्टम अनुप्रयोग परिभाषित कर सकते हैं। कस्टम ऐप्स को कॉन्फ़िगर करने के बारे में अधिक जानकारी के लिए, देखें कस्टम ऐप्स के साथ काम करना।
ब्लॉक सूची व्यवहार के साथ इंटरनेट फ़ायरवॉल को लागू करने का अर्थ है कि, डिफ़ॉल्ट रूप से, फ़ायरवॉल सभी इंटरनेट ट्रैफ़िक की अनुमति देता है। अपनी कॉर्पोरेट सुरक्षा नीति की आवश्यकताओं के अनुसार इंटरनेट ट्रैफ़िक को विशेष रूप से ब्लॉक करने वाले फ़ायरवॉल में नियम जोड़ें। ब्लॉकलिस्ट इंटरनेट फ़ायरवॉल की डिफ़ॉल्ट संरचना है, यह किसी भी ट्रैफ़िक की अनुमति देती है जो किसी नियम द्वारा अवरोधित नहीं है।
इसके अलावा, हम अनुशंसा करते हैं कि आप अवांछित इंटरनेट ट्रैफ़िक की पहचान करने के लिए एक शिक्षण अवधि का उपयोग करें। इस शिक्षण अवधि के दौरान, नियमाधार के नीचे अस्थायी रूप से एक नियम जोड़ें जो किसी भी स्रोत से किसी भी गंतव्य तक किसी भी ट्रैफ़िक को ट्रैकिंग सक्षम के साथ अनुमति देता है। यह नियम प्रत्येक कनेक्शन के लिए एक घटना उत्पन्न करता है जिसे इंटरनेट का उपयोग करने की अनुमति है। जब आप अपने खाते के लिए इंटरनेट ट्रैफ़िक की समीक्षा करते हैं, अगर आप अनचाहे ट्रैफ़िक की पहचान करते हैं, तो आप इसे ब्लॉक करने के लिए एक नियम जोड़ सकते हैं।
फ़ायरवॉल घटनाओं के बारे में अधिक जानकारी के लिए, देखें अपने नेटवर्क में घटनाओं का विश्लेषण करना।
यह खंड इंटरनेट फ़ायरवॉल के लिए नियमों के बारे में बताता है जो ब्लॉकलिस्ट दृष्टिकोण का उपयोग करते हैं।
जैसी सेवाएं Telnet और SNMP v1 & v2 संभावित सुरक्षा जोखिम हैं, और वे इंटरनेट नियमों में ब्लॉक की जा सकती हैं। यदि आपके संगठन को इन सेवाओं तक पहुंच की आवश्यकता है, तो हम अनुशंसा करते हैं कि आप उन विशिष्ट उपयोगकर्ताओं या समूहों के लिए अवरोध नियम में अपवाद जोड़ें।
निम्न स्क्रीनशॉट एक उदाहरण नियम दिखाता है जो Telnet और SNMP ट्रैफिक को ब्लॉक करता है, एक अपवाद के साथ जो IT विभाग के लिए पहुँच की अनुमति देता है:
श्रेणी अवर्गीकृत में वे वेबसाइट्स शामिल हैं जिन्हें श्रेणियों की सूची में किसी मौजूदा श्रेणी में सौंपा नहीं गया है। ये वेबसाइट्स आपके नेटवर्क के लिए एक संभावित सुरक्षा जोखिम हो सकती हैं। एक नियम बनाएँ जो सभी इंटरनेट ट्रैफ़िक के लिए श्रेणी अवर्गीकृत को ब्लॉक करता है।
आप कैटो की आरबीआई सेवा का उपयोग कर सकते हैं ताकि अवर्गीकृत साइटों तक सुरक्षित पहुंच सक्षम हो सके। RBI के बारे में अधिक जानकारी के लिए, देखें रिमोट ब्राउज़र आइसोलेशन के माध्यम से ब्राउज़िंग सत्रों को सुरक्षित करना (RBI)।
कई देश हैं जो हानिकारक ट्रैफ़िक उत्पन्न करने के लिए जाने जाते हैं। यदि आपके संगठन का इन देशों के साथ व्यापार नहीं है, तो हम अनुशंसा करते हैं कि आप इंटरनेट पहुँच को अवरुद्ध करें और संभावित हानिकारक ट्रैफ़िक को कम करें। आप एक डीएनएस नीति बना सकते हैं जो ऐप/श्रेणी अनुभाग में देश सेटिंग का उपयोग करके निर्दिष्ट देशों को इंटरनेट ट्रैफ़िक को अवरुद्ध करती है।
यदि आप किसी विशिष्ट देश से ट्रैफ़िक को अवरुद्ध करना चाहते हैं, लेकिन किसी विशिष्ट पूर्ण डोमेन नाम (FQDN) को पहुँच की अनुमति देना चाहते हैं, तो आवश्यक पूर्ण डोमेन नाम (FQDN) के साथ एक नियम बनाएं जिसमें अनुमति कार्रवाई हो। फिर देश को अवरुद्ध करने के लिए एक कम प्राथमिकता डीएनएस नीति बनाएं।
कैटो का वैन फ़ायरवॉल कैटो क्लाउड से जुड़े विभिन्न नेटवर्क तत्वों के बीच ट्रैफिक को नियंत्रित करने के लिए जिम्मेदार है। वैन फ़ायरवॉल के साथ, आप अपने नेटवर्क पर वैन ट्रैफ़िक को नियंत्रित कर सकते हैं और इष्टतम नेटवर्क सुरक्षा प्राप्त कर सकते हैं।
वैन फ़ायरवॉल डिफ़ॉल्ट रूप से किसी भी किसी भी ब्लॉक (अनुमत सूची) दृष्टिकोण का उपयोग करता है। इसका अर्थ है कि साइटों और उपयोगकर्ताओं के बीच किसी भी कनेक्टिविटी को ब्लॉक किया जाता है जब तक कि आप कनेक्शन की अनुमति देने वाले विशिष्ट वैन फ़ायरवॉल नियम परिभाषित नहीं करते।
निम्नलिखित स्क्रीनशॉट CMA में एक उदाहरण WAN फायरवॉल नीति दिखाता है (सुरक्षा > WAN फायरवॉल)
इस अनुभाग में आपके खाता के लिए WAN कनेक्टिविटी को सुरक्षित करने में मदद करने के लिए सर्वोत्तम प्रथाएं शामिल हैं।
WAN फ़ायरवॉल के लिए स्वर्णिम नियम केवल इच्छुक ट्रैफ़िक को अनुमति देना है। इन अनुमति नियमों के लिए, उपयोग किए गए विशिष्ट सेवाएं और पोर्ट जोड़ें और WAN फ़ायरवॉल के लिए उन्नत सुरक्षित कनेक्टिविटी प्रदान करें।
निम्न स्क्रीनशॉट एक नमूना वैन फ़ायरवॉल नियम दिखाता है जो सभी ZTNA उपयोगकर्ताओं को डेटा सेंटर साइट तक पहुँचने की अनुमति देता है। यह नियम सुरक्षा में सुधार करता है क्योंकि यह केवल ZTNA उपयोगकर्ताओं के लिए आरडीपी ट्रैफ़िक को अनुमति देता है।
WAN फ़ायरवॉल नियम जो किसी भी स्रोत या गंतव्य की पहुँच को अनुमति देते हैं, वो विशिष्ट साइट्स और उपयोगकर्ताओं की तुलना में कम सुरक्षित होते हैं। अधिक विशिष्ट सेटिंग्स आपको खाता के लिए WAN कनेक्टिविटी के लिए बढ़ा हुआ नियंत्रण प्रदान करती हैं।
निम्नलिखित स्क्रीनशॉट में एक WAN फ़ायरवॉल नियम का उदाहरण दिखाया गया है जो स्रोत और गंतव्य सेटिंग्स में विशिष्ट साइट्स का उपयोग करता है:
जब आप WAN फायरवॉल नियमों को कुछ सेटिंग्स में कोई भी का उपयोग करके कॉन्फ़िगर करते हैं, तो नियम से संबंधित इवेंट्स में सभी संबंधित डेटा शामिल नहीं होता है, और ऐप उपयोग का विश्लेषण करना अधिक कठिन हो सकता है। कोई सेटिंग्स का उपयोग करके नियमों के लिए घटनाओं के बारे में अधिक जानकारी के लिए ऊपर देखें विस्तृत नियमों के साथ घटना डेटा को सुधारना। ऐप उपयोग के विश्लेषण में सुधार करने में मदद करने के लिए, हम अनुशंसा करते हैं कि आप नियम शर्तों के लिए कोई भी के उपयोग को कम करें और इसके बजाय विशिष्ट ऐप्स, सेवाएं, पोर्ट्स, आदि के साथ सूक्ष्म नियमों का उपयोग करें।
अलाउलिस्ट व्यवहार के साथ एक WAN फायरवॉल को लागू करने का मतलब है कि डिफॉल्ट रूप से, फायरवॉल साइट्स, सर्वर, उपयोगकर्ताओं, आदि के बीच सभी WAN कनेक्टिविटी को ब्लॉक करता है। फ़ायरवॉल में वे नियम जोड़ें जो आपके नेटवर्क में विशेष रूप से WAN ट्रैफ़िक कनेक्टिविटी की अनुमति देते हैं। अलाउलिस्टिंग Cato WAN फायरवॉल का डिफ़ॉल्ट संरचना है, WAN रूलबेस का निहित अंतिम नियम ANY ANY ब्लॉक है।
हम दृढ़ता से अनुशंसा करते हैं कि आप WAN में किसी स्रोत से किसी गंतव्य तक कनेक्टिविटी की अनुमति देने वाला नियम ना जोड़ें। इस प्रकार का ANY ANY अनुमति नियम आपके नेटवर्क को महत्वपूर्ण सुरक्षा जोखिमों के लिए खोलता है।
एक अनुमति सूची WAN फ़ायरवॉल के लिए एक मजबूत सुरक्षा नीति में वे नियम होते हैं जो केवल आपको संगठन द्वारा उपयोग की जाने वाली विशिष्ट सेवाएं और अनुप्रयोगों की अनुमति देते हैं। साइट्स के बीच ट्रैफ़िक के लिए किसी भी सेवा की अनुमति देने वाले नियमों का उपयोग करने के बजाय, सेवाएं या अनुप्रयोग को इस नियम में जोड़ें। क्योंकि सेवाएं पोर्ट्स की तुलना में अधिक विशिष्ट होती हैं, हम सलाह देते हैं कि जब संभव हो तो पोर्ट्स के बजाय सेवाओं का उपयोग करके नियम परिभाषित करें।
सेवाओं के उदाहरण जिनका अक्सर संगठनों द्वारा उपयोग किया जाता है, उनमें शामिल हैं: DNS, DHCP, SMB, डेटाबेस, Citrix, RDP, DCE/RPC, SMTP, FTP, ICMP, NetBIOS, NTP, SNMP आदि।
एप्लिकेशन के उदाहरण जिनका अक्सर संगठन द्वारा उपयोग किया जाता है, उनमें शामिल हैं: SharePoint, Slack, Citrix ShareFile आदि।
आप एक कस्टम श्रेणी भी बना सकते हैं जिसमें WAN फायरवॉल के लिए सभी एप्लिकेशन और सेवाएँ शामिल हों, और फिर इस कस्टम श्रेणी को संबंधित नियमों में जोड़ें। फ़ायरवॉल में पूर्वनिर्धारित नहीं किए गए एप्लिकेशन या सेवाओं के लिए कस्टम एप्लिकेशन का उपयोग करें। यह भी इवेंट्स को बेहतर विश्लेषण के लिए एप्लिकेशन का नाम शामिल करने की अनुमति देता है।
ब्लॉक सूची व्यवहार के साथ वैन फ़ायरवॉल को लागू करने का अर्थ है कि, डिफ़ॉल्ट रूप से, फ़ायरवॉल साइटों, सर्वरों, उपयोगकर्ताओं आदि के बीच सभी वैन कनेक्टिविटी की अनुमति देता है। कॉर्पोरेट सुरक्षा नीति की आवश्यकताओं के अनुसार वाई.ए.एन. ट्रैफ़िक को विशेष रूप से अवरोधित करने के नियम फ़ायरवॉल में जोड़ें। हम वाई.ए.एन. सुरक्षा नीति के लिए इस दृष्टिकोण का उपयोग करने की सिफारिश नहीं करते हैं। हालांकि, यदि आपका संगठन इसका उपयोग करता है, तो सुनिश्चित करें कि आप अवांछित वाई.ए.एन. ट्रैफ़िक को अवरुद्ध करें।
CMA में ब्लॉकलिस्ट WAN फायरवॉल को लागू करने के लिए, रूलबेस के निचले हिस्से में ANY ANY अलाउ नियम होता है।
ब्लॉकलिस्ट वाई.ए.एन. फ़ायरवॉल के लिए, हम अंतिम कोई भी कोई भी अनुमति दें नियम से ऊपर निम्नलिखित नियम जोड़ने की सिफारिश करते हैं ताकि मजबूत सुरक्षा नीति का निर्माण करने में मदद की जा सके:
- नियम जो सुरक्षा जोखिम होते हैं और ज्ञात कमजोरियों वाली सेवाओं को ब्लॉक करते हैं, जैसे SMBv1
- नियम जो उन साइट्स के बीच की कनेक्टिविटी को ब्लॉक करते हैं जिन्हें संचार करने की आवश्यकता नहीं है
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.