यह लेख आपके खाते के लिए वाई.ए.एन. फ़ायरवॉल के बारे में पृष्ठभूमि जानकारी प्रदान करता है।
WAN फ़ायरवॉल के साथ काम करने के बारे में अधिक जानकारी के लिए, WAN फ़ायरवॉल नीति का प्रबंधन देखें।
Cato Cloud में WAN फ़ायरवॉल आपके वाइड एरिया नेटवर्क (WAN) में वस्तुओं और इकाइयों तक पहुँच को नियंत्रित करता है। नेटवर्क की सुरक्षा और सुरक्षित पहुँच नियंत्रण नीति बनाने के लिए WAN फ़ायरवॉल नियम आधार को कॉन्फ़िगर करें।
WAN फ़ायरवॉल, Next Gen फ़ायरवॉल (NGFW) का हिस्सा है, जो Cato Cloud में एकीकृत होता है और आपको नेटवर्क तक अनधिकृत पहुँच को रोकने के लिए नियम बनाने देता है। WAN फ़ायरवॉल एक श्वेतसूची दृष्टिकोण का उपयोग करता है, और नियम आधार में स्पष्ट रूप से अनुमति नहीं दी गई सभी कनेक्शनों को ड्रॉप करने के लिए एक डिफ़ॉल्ट ANY-ANY अवरोध नियम है।
फ़ायरवॉल को कॉन्फ़िगर करने के लिए नियमों का उपयोग करें ताकि सभी कनेक्शनों का निरीक्षण कर सकें और केवल उन्हीं को अनुमति दें जो इसके कॉन्फ़िगर किए गए सेटिंग्स से मेल खाता है। फ़ायरवॉल एक क्रम में नियम आधार का उपयोग करता है। इसका मतलब है कि यह कनेक्शन का निरीक्षण शुरू करता है और पहले नियम से मिलान की जाँच करता है। अगर नहीं, तो यह कनेक्शन पर प्रत्येक नियम को क्रमिक रूप से लागू करना जारी रखता है जब तक कि एक नियम कनेक्शन से मेल नहीं खाता।
WAN फ़ायरवॉल में उपयोगकर्ता जागरूकता के साथ पूर्ण लेयर 7 कार्यक्षमता शामिल है, जिससे WAN पर विशिष्ट अनुप्रयोगों के लिए जीरो ट्रस्ट पहुँच नीतियाँ लागू की जा सकती हैं।
सुरक्षा प्रशासक को लंदन शाखा कार्यालय के साइट में मीटिंग रूम्स की सुरक्षा स्थिति की समीक्षा करने का कार्य प्राप्त होता है। प्रशासक डिवाइस इनवेंट्री पृष्ठ पर जाता है, फ़ील्ड - डिवाइस का प्रकार, ऑपरेटर - में, मूल्य - वीडियो कॉन्फ्रेंसिंग के लिए फिल्टर करता है और लंदन साइट में सभी वीडियो कॉन्फ्रेंसिंग उपकरण देखता है। प्रशासक महसूस करता है कि वीडियो कॉन्फ्रेंसिंग डिवाइस कई अलग-अलग निर्माताओं से हैं, और यह संगठन की सुरक्षा नीति का अनुपालन नहीं करता। आईटी टीम के पास पहले से IoT सुरक्षा लाइसेंस है और वे WAN और इंटरनेट फ़ायरवॉल नीतियों में डिवाइस विशेषता सेटिंग्स के साथ नए नियम बनाते हैं जो केवल वीडियो कॉन्फ्रेंसिंग उपकरणों के लिए दो स्वीकृत निर्माताओं को अनुमति देते हैं। लंदन साइट के कुछ वीडियो कॉन्फ्रेंसिंग उपकरण अब काम नहीं करेंगे क्योंकि वे फ़ायरवॉल नीतियों द्वारा अवरुद्ध किए गए हैं जब तक कि इन्हें स्वीकृत निर्माताओं से नए उपकरणों के साथ बदला नहीं जा सकता।
WAN स्वायत्त फ़ायरवॉल अंतर्दृष्टि ऐसे स्थिति जांच की सूची होती हैं, जो आपके WAN फ़ायरवॉल नीति का मूल्यांकन करती हैं और दिखाती हैं कि यह Cato की सिफारिशों के साथ कैसे अनुपालन करती है। इन सिफारिशों का पालन करने से आपके फ़ायरवॉल कॉन्फ़िगरेशनों को अनुकूलित किया जाता है और सुरक्षा स्थिति में सुधार होता है।
अंतर्दृष्टि के दो प्रकार होते हैं:
-
स्टार आइकन (AI द्वारा चालित): आपके WAN फ़ायरवॉल नीति में सक्रिय नियम स्वचालित रूप से कृत्रिम बुद्धिमत्ता (AI) द्वारा विश्लेषित किए जाते हैं ताकि समस्याओं का पता लगाया जा सके, उदाहरण के लिए, ऐसे नियम जिन्हें हटाया जा सकता है या संशोधित किया जा सकता है, जैसे:
- अस्थायी नियम: एक तत्काल आवश्यकता को संबोधित करने के लिए लघु-कालिक समाधान के रूप में पेश किया गया। ये नियम ज्यादातर अस्थायी रूप से काम करने के लिए बनाए जाते हैं जब एक उचित या स्थायी समाधान लागू या विकसित हो रहा होता है।
- परीक्षण नियम: विशेषता या परिदृश्य के सत्यापन, डिबगिंग, या प्रयोग करने के लिए स्पष्ट रूप से बनाए गए नियम।
- समाप्त नियम या भविष्य की समाप्ति तिथि वाला नियम: एक विशेष आवश्यकता को संबोधित करने के लिए बनाए गए नियम जिनकी कटऑफ तारीख पहले ही पार हो चुकी है या जो अभी तक नहीं पहुंची है या साबित/मूल्यांकन नहीं की जा सकती।
-
अति अनुमति वाले नियम: उपयोगकर्ता, मेज़बान, ऐप्स, या प्रोटोकॉल आधारित नियम जो नियम के लिए परिभाषित होते हैं और संभवतः अत्यधिक अनुमति दे सकते हैं। यह अंतर्दृष्टि टोपोलॉजिकल ह्यूरिस्टिक्स का उपयोग करती है, यह इंगित करती है कि हम अनुशंसा करते हैं कि आप अपने जीरो ट्रस्ट रणनीति का बेहतर पालन करने के लिए नियम से अतिरिक्त वस्तुओं को हटा दें।
उदाहरण: sampleAdmin तक पहुँच को प्रतिबंधित करें, विशेष जीरो ट्रस्ट डिवाइस स्थिति प्रोफाइल द्वारा शर्तें लागू करें, RDP पर अनुप्रयोग प्रतिबंधित करें, और TCP पर प्रोटोकॉल प्रतिबंधित करें।
- अप्रयुक्त नियम: फ़ायरवॉल नियमों की पहचान करता है जिनके पास कोई इवेंट नहीं उत्पन्न होते और जो पिछले 60 दिनों में कोई अनुमत कार्रवाई नहीं करते।
- कॉन्फ़िगरेशन-आधारित: आपके इंटरनेट फ़ायरवॉल नीति में कॉन्फ़िगरेशन और सेटिंग्स यह सुनिश्चित करने के लिए होती हैं कि वे सर्वोत्तम प्रथाओं का पालन करते हैं।
WAN फ़ायरवॉल कॉन्फ़िगरेशन विजार्ड के साथ काम करना
WAN फ़ायरवॉल कॉन्फ़िगरेशन विजार्ड स्वायत्त रूप से इन जांचों और अंतर्दृष्टियों का उपयोग करके आपकी नीति की समीक्षा करता है। जब कोई जांच विफल होती है, तो आप सीधे विजार्ड में अपनी नीति समीक्षा और अद्यतन कर सकते हैं बिना व्यक्तिगत नियमों को संपादित किए। यह आपको सुरक्षित रहने में मदद करता है जबकि नीति प्रबंधन को सरल बनाता है। अधिक जानकारी के लिए, कॉन्फ़िगरेशन विजार्ड का उपयोग करना देखें।
Cato फ़ायरवॉल में एंटी-स्पूफिंग प्रोटेक्शन
NGFW की आधारभूत कार्यात्मकताओं में से एक एंटी-स्पूफिंग हमलों से सुरक्षा करना है। Cato क्लाउड में सुरक्षा इंजन स्वाभाविक रूप से किसी भी कनेक्शन को गिरा देते हैं जहाँ स्रोत IP कॉन्फ़िगर की गई इकाई (जैसे कि साइट, नेटवर्क रेंज, डिवाइस, या उपयोगकर्ता) के दायरे से बाहर है। यह एंटी-स्पूफिंग हमलों को रोकता है और कॉन्फ़िगर की गई तार्किक टोपोलॉजी के उल्लंघनों को रोकता है।
WAN फ़ायरवॉल कनेक्शनों का क्रम से निरीक्षण करता है और जाँच करता है कि क्या कनेक्शन किसी नियम से मेल खाता है। नियम संरचना में अंतिम नियम एक डिफ़ॉल्ट ANY-ANY ब्लॉक नियम है - इसलिए अगर कोई कनेक्शन नियम से मेल नहीं खाता, तो यह अंतिम डिफ़ॉल्ट नियम द्वारा ब्लॉक कर दिया जाता है। एक मजबूत पहुँच नियंत्रण नीति में फ़ायरवॉल नियम होते हैं जो WAN में विशिष्ट कनेक्शनों और ट्रैफ़िक को अनुमति देते हैं।
आप नियम संरचना के अंत में डिफ़ॉल्ट नियम अनुभाग में डिफ़ॉल्ट नियम सेटिंग्स की समीक्षा कर सकते हैं। इन नियम सेटिंग्स को संपादित नहीं किया जा सकता।
नियम संरचना में शीर्ष पर स्थित नियमों की उच्च प्राथमिकता होती हैं क्योंकि वे नियम संरचना में नीचे के नियमों से पहले कनेक्शनों पर लागू होते हैं। उदाहरण के लिए, अगर कनेक्शन नियम #3 से मेल खाता है, तो क्रिया कनेक्शन पर लागू होती है, और फ़ायरवॉल इसका निरीक्षण बंद कर देता है। फ़ायरवॉल नियम #4 और नीचे के नियम कनेक्शन पर लागू नहीं करता। आप WAN फ़ायरवॉल की दक्षता बढ़ा सकते हैं और ऐसे नियमों को उच्च प्राथमिकता दे सकते हैं जो कनेक्शनों की सबसे बड़ी संख्या से मेल खाते हैं।
जब किसी नियम में एकाधिक स्तंभों में वस्तुएँ होती हैं, जैसे कि एक एप्लिकेशन और एक सेवा, तो उनके बीच एक AND संबंध होता है। उदाहरण के लिए, यदि कोई नियम है जो पोर्ट 443 के लिए बैकअप सेवाओं के एप्लिकेशन की अनुमति देता है, तो ट्रैफ़िक तब अनुमति दी जाती है जब यह एप्लिकेशन और पोर्ट दोनों से मेल खाती है।
उन नियमों के लिए जो एकल कॉलम में कई वस्तुओं का उपयोग करते हैं, जैसे कि एक से अधिक पोर्ट, उनके बीच एक OR संबंध होता है। उदाहरण के लिए, यदि कोई नियम है जो सेवा SMTP और पोर्ट 25, 265, 587, और 2525 के लिए मेल सर्वर की पहुँच की अनुमति देता है, तो ट्रैफ़िक SMTP सेवा या किसी एक पोर्ट से मेल खाने पर अनुमति दी जाती है।
- नोट: प्रत्येक नियम में अधिकतम 64 शर्तें हो सकती हैं जिनमें उनके बीच AND संबंध होता है, और नियम की अपवाद नियम सीमा में शामिल होते हैं। उदाहरण के लिए, यदि नियम में दो AND शर्तें हैं (जैसे एक स्रोत और एक सेवा), और नियम में 25 अपवाद हैं जिनमें प्रत्येक में 3 AND शर्तें होती हैं (जैसे एक स्रोत, एक ऐप, और एक सेवा), तो नियम में 77 शर्तें हैं। यह समर्थित सीमा 64 शर्तों को पार कर जाता है और नियम शायद सही ढंग से काम नहीं कर सकता। हालाँकि, आप नियम के उसी कॉलम में 64 से अधिक वस्तुओं को असाइन कर सकते हैं, क्योंकि उनमें OR संबंध होता है। उदाहरण के लिए, आप एक नियम में 64 से अधिक ऐप्स असाइन कर सकते हैं।
हिट संख्या आपको अप्रयुक्त नियमों की पहचान करने में मदद करता है जिन्हें नीति से हटाया जा सकता है, और आवश्यक ट्रैफ़िक दायरे से मेल खाने के लिए नियम कॉन्फ़िगरेशन को अनुकूलित करता है। किसी नियम के लिए हिट संख्या नियम द्वारा उत्पन्न घटनाओं की संख्या पर आधारित है। यदि कोई नियम घटनाएँ उत्पन्न नहीं करता है, तो हिट संख्या शून्य है।
हिट संख्या में दो संख्याएँ होती हैं:
- नीति में प्रत्येक नियम द्वारा उत्पन्न घटनाओं की अनुमानित संख्या
- अन्य नियमों के सापेक्ष नियम को कितनी बार हिट किया जाता है (प्रतिशत के आधार पर रैंक किया गया)
आप स्टेटस बार के रंग के आधार पर सबसे उच्च और सबसे कम हिट संख्या वाले नियमों की जल्दी पहचान कर सकते हैं। यह रंग अन्य नियमों की तुलना में नियम कितनी बार हिट होता है, को दर्शाता है:
- नीला: 0 - 24वाँ प्रतिशत
- हरा: 25वाँ - 49वाँ प्रतिशत
- नारंगी: 50वाँ - 74वाँ प्रतिशत
- लाल: 75वाँ - 100वाँ प्रतिशत
हिट काउंट मान हर 24 घंटे में स्वतः अपडेट किए जाते हैं और पिछले 14 दिनों के ट्रैफ़िक पर आधारित होते हैं। प्रत्येक नियम के अंत में तीन बिंदुओं से, आप अद्यतन दृश्यता के लिए हिट काउंट को रीसेट या ताज़ा कर सकते हैं। यह आपको नियम की प्रभावशीलता को सही ढंग से मापने और नियम की गतिविधि को तुरंत मान्य करने देता है।
- विशिष्ट फ़ायरवॉल नियम के लिए हिट काउंटर को रीसेट करने से हिट काउंट 0 पर वापस आ जाता है
- हिट काउंटर को रिफ्रेश करने से सभी फ़ायरवॉल नियमों के लिए हिट काउंट मांग पर अपडेट हो जाता है
WAN फ़ायरवॉल विभिन्न व्यवस्थापकों को समानांतर में नीति संपादित करने देता है। प्रत्येक व्यवस्थापक नियमों को संपादित कर सकता है और उन्हें अपनी निजी संशोधन में सुरक्षित कर सकता है, और फिर उन्हें खाता नीति (प्रकाशित संशोधन) में प्रकाशित कर सकता है। नीति पुनरीक्षण का प्रबंधन कैसे करें, इस पर अधिक जानकारी के लिए देखें नीति पुनरीक्षण के साथ कार्य।
आप किसी नियम के लिए समय सेटिंग्स कॉन्फ़िगर कर सकते हैं ताकि यह एक निर्धारित तिथि और समय पर सक्षम या अक्षम हो सके। समय ड्रॉप डाउन में, आप दैनिक अनुसूची और/या सक्रिय अवधि कॉन्फ़िगर कर सकते हैं।
आप इन दोनों विकल्पों को कॉन्फ़िगर कर सकते हैं ताकि, उदाहरण के लिए, नियम मई 2025 के महीने के दौरान सप्ताह के दिनों में सक्रिय हो। वैकल्पिक रूप से, आप अपनी आवश्यकताओं को पूरा करने के लिए प्रत्येक विकल्प को स्वतंत्र रूप से कॉन्फ़िगर कर सकते हैं।
दैनिक अनुसूची नियम के सक्रिय होने का समय परिभाषित करता है। यदि किसी नियम के लिए अनुसूची कॉन्फ़िगर की गई है, तो नियम तालिका में, कार्रवाई कॉलम में एक घड़ी प्रतीक प्रदर्शित होता है।
दैनिक अनुसूची के विकल्प हैं:
- कोई समय सीमा नहीं: नियम के लिए कोई अनुसूची नहीं है। यह नियमों का डिफ़ॉल्ट व्यवहार है।
- कार्य समय तक सीमित: नियम केवल Cato प्रबंधन अनुप्रयोग में विन्यस्त कार्य समय के दौरान सक्रिय होता है। कार्य समय के बारे में अधिक जानने के लिए, देखें खाते के लिए डिफ़ॉल्ट कार्य समय परिभाषित करना।
-
अनुकूलित: उस दिन समय और सप्ताह के दिन का चयन करें जब नियम सक्रिय होता है। दोहराने वाला: विकल्प को अनचेक करें, और दिनांक चुनें नियम के लिए समय सेटिंग।
- आवर्ती: समय सेटिंग को एक से अधिक बार लागू किया जाएगा, जैसे, हर मंगलवार को सुबह 9:00 बजे से शाम 5:00 बजे तक।
सक्रिय अवधि निर्धारित करता है कि नियम UTC में कौन सा तिथि और समय अवधि सक्रिय होगा। यदि प्रभावी तिथि फ़ील्ड का चयन नहीं किया जाता है तो नियम को सहेजने और प्रकाशित करने के बाद तुरंत सक्रिय हो जाता है।
नियम तालिका पर, यदि सक्रिय अवधि परिभाषित की गई है, तो कार्रवाई कॉलम में एक घंटे का गिलास प्रतीक प्रदर्शित होता है। प्रतीक का रंग स्थिति को दर्शाता है:
- काला: नियम सक्रिय नहीं है और भविष्य में सक्रिय हो जाएगा
- हरा: नियम सक्रिय है
- लाल: नियम समाप्त हो गया है
यह अनुभाग WAN फ़ायरवॉल नियमों के लिए नियम आधार के लिए क्षेत्रों और सेटिंग्स की व्याख्या करता है। WAN फ़ायरवॉल की सम्पूर्ण समझ से कॉर्पोरेट नेटवर्क के लिए पहुँच नियंत्रण का सफल प्रबंधन होता है।
निम्नलिखित तालिका WAN फ़ायरवॉल नियम संरचना में प्रत्येक स्तंभ का वर्णन करती है। जब किसी नियम के लिए कई स्तंभ कॉन्फ़िगर किए जाते हैं, तो उनके बीच एक AND संबंध होता है।
किसी नियम के लिए स्रोत, गंतव्य, ऐप, और श्रेणी आइटम के बारे में अधिक जानकारी के लिए, नियम वस्तुओं के लिए संदर्भ देखें।
| वस्तुएं | विवरण |
|---|---|
| # |
WAN फ़ायरवॉल नियम आधार में नियम की प्राथमिकता को दिखाता है।
|
| नाम | नियम के लिए एक नाम दर्ज करें |
| स्रोत | इस नियम के लिए ट्रैफिक का स्रोत |
| मानदंड |
शर्तीय पहुँच परिभाषित करें आपके नेटवर्क पर संचार करने वाले अंतिम-उपयोगकर्ता या अन्य उपकरणों के वास्तविक उपकरण के गुणों के आधार पर, जैसे IoT/OT। विकल्पों में शामिल हैं:
|
| दिशा |
नियम की दिशा को दर्शाता है। विकल्पों में शामिल हैं:
|
| गंतव्य | इस नियम के लिए ट्रैफिक का गंतव्य |
| ऐप/श्रेणी | केवल विशिष्ट एप्लिकेशन्स, श्रेणियों, और अन्य वस्तुओं के मिलान के लिए लागू होता है |
| सेवा/पोर्ट | केवल उन ट्रैफ़िक पर लागू होता है जो निर्दिष्ट सेवाओं और पोर्ट्स के मिलान करता है |
| कार्रवाई |
जो नियम के मिलान ट्रैफ़िक पर निर्दिष्ट कार्रवाई लागू करें उदाहरण के लिए, जब ट्रैफ़िक अवरुद्ध होता है, तो कनेक्शन गिरा दिया जाता है और निम्न प्राथमिकता नियम इस कनेक्शन पर लागू नहीं होते |
| ट्रैकिंग | जब नियम का मिलान होता है तो एक घटना उत्पन्न होती है या ईमेल अधिसूचना अलर्ट निर्दिष्ट सूची में भेजा जाता है |
| हिट काउंट | इस नियम के लिए हिट काउंट |
|
इन विकल्पों के साथ एक ड्रॉप-डाउन मेनू खोलता है:
|
- एप्लिकेशन और श्रेणियाँ के बारे में अधिक जानकारी के लिए, श्रेणियों के साथ काम करना देखें
- वैन फ़ायरवॉल में सेटिंग्स के बारे में अधिक जानकारी के लिए, वैन फायरवॉल नीति प्रबंधन देखें
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.