Cato इंटरनेट फ़ायरवॉल क्या है?

यह लेख आपके खाते के इंटरनेट फ़ायरवॉल के बारे में पृष्ठभूमि जानकारी प्रदान करता है।

इंटरनेट फ़ायरवॉल को कॉन्फ़िगर करने के बारे में अधिक जानकारी के लिए, इंटरनेट फ़ायरवॉल नीति का प्रबंधन देखें।

अवलोकन

इंटरनेट फ़ायरवॉल वैन और इंटरनेट के बीच ट्रैफ़िक की जाँच करता है और आपको इस ट्रैफ़िक को नियंत्रित करने के लिए नियम बनाने की अनुमति देता है। वान फ़ायरवॉल के समान, इंटरनेट फ़ायरवॉल एक क्रमबद्ध नियम आधार का उपयोग करता है, पहले नियम से शुरू करके, प्रत्येक नियम के अनुसार कनेक्शन का निरीक्षण किया जाता है। इंटरनेट फ़ायरवॉल एक ब्लैकलिस्ट दृष्टिकोण का उपयोग करता है। इसका मतलब है कि कोई भी - कोई भी नियम प्रत्यक्ष रूप से ट्रैफिक को अनुमति देता है, लेकिन वो ट्रैफिक और कनेक्शन जो नियम के सेट में स्पष्ट रूप से अवरोधित नहीं हैं। इंटरनेट फ़ायरवॉल में उपयोगकर्ता जागरूकता सेटिंग्स के साथ पूर्ण स्तर 7 कार्यक्षमता भी शामिल है, और आप विशिष्ट एप्लिकेशन के लिए नियम बना सकते हैं। उदाहरण के लिए, आप इंटरनेट फ़ायरवॉल का उपयोग कर सकते हैं:

विशिष्ट वेबसाइट जैसे कि Facebook या LinkedIn को अवरुद्ध करें
अप्रासंगिक वेबसाइटों के श्रेणी जैसी कि Guns, Alcohol, और Gambling को अवरुद्ध करें
केवल IT विभाग को रिमोट प्रशासन एप्लिकेशन (SaaS और IaaS) का उपयोग करने की अनुमति दें

स्वायत्त फ़ायरवॉल अंतर्दृष्टि समझना

The Autonomous Firewall Insights are a list of best practices that evaluate your Internet Firewall policy and show how they comply with Cato’s recommendations. इन सिफारिशों का पालन करने से आपके फ़ायरवॉल कॉन्फ़िगरेशन का अनुकूलन होता है और सुरक्षा की स्थिति में सुधार होता है।

अंतर्दृष्टि के दो प्रकार हैं:

स्टार आइकन (AI द्वारा संचालित): आपके इंटरनेट फ़ायरवॉल नीति में सक्षम नियमों का ऑर्टिफिशियल इंटेलिजेंस (AI) द्वारा स्वचालित रूप से विश्लेषण किया जाता है ताकि समस्याओं का पता लगाया जा सके, उदाहरण के लिए, नियम जो अचेतन या संशोधित किए जा सकते हैं जैसे:
- समाप्त नियम या भविष्य की समाप्ति तिथि वाले नियम: विशेष आवश्यकता को पूरा करने के लिए बनाए गए नियम जिनकी वांछनीय समाप्ति तिथि पहले ही पार हो चुकी है या जो अभी तक नहीं पहुंची है या जिसे साबित/मूल्यांकित नहीं किया जा सकता।
- अस्थायी नियम: तत्काल आवश्यकता को पूरा करने के लिए एक अल्पकालिक समाधान के रूप में पेश किया गया। ये नियम मुख्य रूप से अस्थायी रूप से कार्य करने के लिए बनाए जाते हैं जब एक उचित या स्थायी समाधान लागू किया जा रहा होता है या विकसित हो रहा होता है।
- परीक्षण नियम: किसी विशिष्ट फीचर या परिदृश्य के सत्यापन, डिबगिंग या प्रयोग के लिए स्पष्ट रूप से बनाए गए नियम।
- अप्रयुक्त नियम: पहचानता है फ़ायरवॉल नियमों को जिनकी अनुमति क्रिया है और जिन्होंने पिछले 30 दिनों में कोई घटनाएँ उत्पन्न नहीं की हैं
- विरोधाभासी नियम जांच: पहचानता है फ़ायरवॉल नियमों को जिनकी समान भविष्यवाणियाँ हैं लेकिन भिन्न क्रियाएँ हैं, जो कम-प्राथमिकता वाले नियमों के लागू होने से रोकने वाले संधर्ष उत्पन्न कर सकते हैं
कॉन्फ़िगरेशन-आधारित: आपकी इंटरनेट फ़ायरवॉल नीति में सेटिंग्स सुनिश्चित करती हैं कि वे सर्वोत्तम प्रथाओं का पालन करती हैं।

केटो फ़ायरवॉल में एंटी-स्पूफिंग सुरक्षा

NGFW की मुख्य कार्यक्षमताओं में से एक एंटी-स्पूफिंग हमलों से सुरक्षा प्रदान करना है। Cato क्लाउड में सुरक्षा इंजन स्वायत्त रूप से किसी भी कनेक्शन को छोड़ देते हैं जहाँ स्रोत आईपी को कॉन्फ़िगर की गई इकाई (जैसे साइट, नेटवर्क रेंज, उपकरण, या उपयोगकर्ता) के स्कोप से बाहर होता है। यह एंटी-स्पूफिंग हमलों को अवरुद्ध करता है और कॉन्फ़िगर की गई तार्किक टोपोलॉजी के उलंघन को रोकता है।

ऑर्डर किए गए नियमों के साथ काम करना

इंटरनेट फ़ायरवॉल क्रमिक रूप से कनेक्शन का निरीक्षण करता है, और जांचता है कि कनेक्शन किसी नियम के अनुरूप है या नहीं। नियमबेस में अंतिम नियम एक अप्रकट कोई भी-किसी भी अनुमति नियम है - इसलिए यदि एक कनेक्शन किसी भी नियम से मेल नहीं खाता है, तो इसे अंतिम अप्रकट नियम द्वारा अनुमति दी जाती है।

नियमबेस के शीर्ष पर स्थित नियमों की उच्च प्राथमिकता होती है क्योंकि वे नियमबेस में नीचे स्थित नियमों से पहले कनेक्शनों पर लागू होते हैं। यदि कोई कनेक्शन नियम #3 पर मैच होता है, तो कार्रवाई को कनेक्शन पर लागू किया जाता है और फ़ायरवॉल उसकी जाँच करना बंद कर देता है। फ़ायरवॉल कनेक्शन पर नियम #4 और इसके नीचे के नियमों को लागू करने के लिए आगे नहीं बढ़ता है।

इंटरनेट फ़ायरवॉल कॉन्फ़िगरेशन विजार्ड के साथ कार्य करना

इंटरनेट फ़ायरवॉल कॉन्फ़िगरेशन विजार्ड स्वायत्त रूप से इन जाँचों और अंतर्दृष्टियों का उपयोग करके आपकी नीति की समीक्षा करता है। जब कोई जाँच विफल हो जाती है, तो आप बिना व्यक्तिगत नियमों को संपादित किए सीधे विजार्ड में अपनी नीति की समीक्षा और अपडेट कर सकते हैं। यह आपको सुरक्षित रहने में मदद करता है जबकि नीति प्रबंधन को सरल बनाता है।

Traffic Blocked Related to the MSA

Cato Networks मास्टर सेवा समझौता (एमएसए) संभावित रूप से अवैध या दुर्भावनापूर्ण ट्रैफ़िक को परिभाषित करता है जो स्वचालित रूप से अवरुद्ध हो जाता है। इंटरनेट फ़ायरवॉल नियमबेस के शीर्ष पर एक छिपा हुआ अप्रकट नियम है जो इन कनेक्शनों को अवरुद्ध करता है।

एमएसए के बारे में अधिक जानकारी के लिए, देखें Cato Networks MSA।

Working with Multiple Objects in a Single Rule

जब किसी नियम में एकाधिक कॉलम में वस्तुएं होती हैं, जैसे एक एप्लिकेशन और एक सेवा, तो उनके बीच एक और संबंध होता है। उदाहरण के लिए, यदि कोई नियम है जो Netflix एप्लिकेशन को पोर्ट 443 पर अवरुद्ध करता है, तो ट्रैफ़िक को अवरोधित किया जाता है जब यह एप्लिकेशन और पोर्ट दोनों के साथ मेल खाता है।

उन नियमों के लिए जो एकल कॉलम में एकाधिक वस्तुओं का उपयोग करते हैं, जैसे एक से अधिक एप्लिकेशन, तो उनके बीच एक या संबंध होता है। उदाहरण के लिए, यदि एक नियम है जो Netflix, iTunes, और YouTube एप्लिकेशन तक पहुँच को अवरुद्ध करता है, तो ट्रैफ़िक को अवरुद्ध किया जाता है जब यह किसी भी एप्लिकेशन से मेल खाता है।

Note

नोट: प्रत्येक नियम के पास उनके बीच एक और संबंध के साथ अधिकतम 64 शर्तें हो सकती हैं, और नियम की अपवाद नियम सीमा में शामिल होते हैं। उदाहरण के लिए, यदि कोई नियम है जिसमें दो और शर्तें हैं (जैसे एक स्रोत और एक सेवा), और नियम में 25 अपवाद हैं जिनमें प्रत्येक में 3 और शर्तें हैं (जैसे एक स्रोत, एक ऐप, और एक सेवा), तो नियम में 77 शर्तें हैं। यह 64 शर्तों की समर्थित सीमा को पार करता है और नियम सही ढंग से काम नहीं कर सकता है। हालांकि, आप नियम के समान कॉलम में 64 से अधिक वस्तुओं को असाइन कर सकते हैं, क्योंकि उनके बीच एक या संबंध होता है। उदाहरण के लिए, आप एक नियम में 64 से अधिक ऐप्स असाइन कर सकते हैं।

Understanding the Hit Count

हिट काउंट आपको अनावश्यक नियमों की पहचान करने में मदद करता है जिन्हें नीति से हटाया जा सकता है, और नियम कॉन्फ़िगरेशन को आवश्यक ट्रैफ़िक स्कोप के साथ बेहतर संगतताके लिए अनुकूलित करता है। एक नियम के लिए हिट काउंट उस नियम द्वारा उत्पन्न घटनाओं की संख्या पर आधारित है। यदि कोई नियम घटनाएं उत्पन्न नहीं करता है, तो हिट काउंट शून्य है।

हिट काउंट में दो संख्या होती हैं:

नीति में प्रत्येक नियम द्वारा उत्पन्न घटनाओं की अनुमानित संख्या
अन्य नियमों की तुलना में नियम को कितनी बार मारा जाता है (प्रतिशत के अनुसार रैंक किया गया)

ये मान हर 24 घंटे में एक बार अपडेट होते हैं और पिछले 14 दिनों के ट्रैफ़िक पर आधारित होते हैं।

आप स्थिति बार के रंग के आधार पर, सबसे अधिक और सबसे कम हिट काउंट वाले नियमों की त्वरित पहचान कर सकते हैं। यह रंग अन्य नियमों की तुलना में, नियम को कितनी बार मारा जाता है, को दर्शाता है:

नीला: 0 - 24वां प्रतिशत
हरा: 25वां - 49वां प्रतिशत
नारंगी: 50वां - 74वां प्रतिशत
लाल: 75वां -100वां प्रतिशत

Policy Revisions and Concurrent Editing by Multiple Admins

इंटरनेट फ़ायरवॉल विभिन्न प्रशासकों को नीति को समानांतर में संपादित करने की अनुमति देता है। प्रत्येक प्रशासक नियम संपादित कर सकते हैं और परिवर्तनों को अपने निजी संशोधन में सहेज सकते हैं, और फिर उन्हें खाते की नीति (प्रकाशित संशोधन) में प्रकाशित कर सकते हैं। For more information on how to manage policy revisions, see Working with Policy Revisions.

Understanding the Settings for Internet Firewall Rules

यह अनुभाग इंटरनेट फ़ायरवॉल नियम बेस में नियमों के लिए फ़ील्ड्स और सेटिंग्स की व्याख्या करता है। इंटरनेट फ़ायरवॉल की पूरी समझ कॉर्पोरेट नेटवर्क के पहुँच नियंत्रण को सफलतापूर्वक प्रबंधित करने में मदद करती है।

Rule Actions

निम्नलिखित तालिका उस क्रियाओं का वर्णन करती है जो प्रत्येक फ़ायरवॉल नियम नेटवर्क ट्रैफ़िक पर लागू कर सकता है। घटनाएँ उत्पन्न करने वाली क्रियाओं के लिए, आप होम > इवेंट्स में इवेंट लॉग प्रदर्शित कर सकते हैं।

आइटम	विवरण
अनुमति दें	फ़ायरवॉल मिलान ट्रैफ़िक की अनुमति देता है।
ब्लॉक करें	फ़ायरवॉल मिलान ट्रैफ़िक को ब्लॉक करता है।
प्रॉम्प्ट	फ़ायरवॉल मिलान ट्रैफ़िक को संदेश के साथ एक वेब पेज पर पुनर्निर्देशित करता है। उपयोगकर्ता से पूछा जाता है कि वे जारी रखना चाहते हैं या नहीं। आप वेब पृष्ठ को कस्टमाइज़ कर सकते हैं, देखें चेतावनी/अवरुद्ध पृष्ठ को कस्टमाइज़ करना। To review events for when a user chooses to proceed after a prompt page, filter the Events page to show events with the Prompt Action field set with the value Proceed. मिमी
रिमोट ब्राउज़िंग (RBI)	Matching traffic is delivered by RBI.
कैप्टिव पोर्टल	Matching traffic is directed to the captive portal.

Internet Firewall Rulebase Columns

For a description of the different rulebase columns and Source, App, and Category items for rules, see What is the Cato WAN Firewall? and Reference for Rule Objects. WAN फ़ायरवॉल के विपरीत, इंटरनेट फ़ायरवॉल के लिए गंतव्य हमेशा इंटरनेट होता है। जब एक नियम के लिए कई कॉलम कॉन्फ़िगर किए जाते हैं, तो उनके बीच एक और संबंध होता है।

Setting the Rule Order

नियम क्रम अन्य नियमों के सापेक्ष नियम की स्थिति सेट करके परिभाषित किया जाता है। उदाहरण के लिए, किसी नियम को विशिष्ट नियम का पालन करने के लिए सेट करें, या किसी खंड में पहले स्थान पर रखें।

ये नियम क्रम को परिभाषित करने के विकल्प हैं:

नियम से पहले - नियम चुने गए नियम से ठीक पहले स्थित है
नियम के बाद - नियम चुने गए नियम के तुरंत बाद स्थित है
खंड में सबसे पहले - नियम चुने गए खंड में सबसे पहले स्थित है
खंड के अंत में - नियम चुने गए खंड में सबसे अंत में स्थित है
पहला - नियम नियम स्त्रोत के शीर्ष पर स्थित है
अंतिम - नियम नियम स्त्रोत के नीचे स्थित है

Enabling the Ordered Internet Firewall

Cato क्लाउड में इंटरनेट फ़ायरवॉल आपको अपने कॉर्पोरेट नेटवर्क के लिए इंटरनेट एक्सेस नियंत्रित करने देता है। आसानी से इंटरनेट सुरक्षा नीति बनाएँ जो उपयोगकर्ताओं को व्यापार से संबंधित वेब सामग्री तक पहुँचने की अनुमति देती है और अनुपयुक्त वेबसाइटों, एप्लिकेशन और इसी प्रकार को अवरोधित करती है।

इंटरनेट फ़ायरवॉल को सक्षम या अक्षम करने के लिए:

नेविगेशन मेनू से, सुरक्षा > इंटरनेट फ़ायरवॉल पर क्लिक करें।
At Firewall Enabled above the rulebase, click the slider to enable (green) or disable (gray) the Internet firewall for the account.
सहेजें पर क्लिक करें।