Cato इंटरनेट फायरवॉल क्या है?

यह लेख आपके खाते के लिए इंटरनेट फायरवॉल की पृष्ठभूमि जानकारी प्रदान करता है।

इंटरनेट फायरवॉल को कॉन्फ़िगर करने के बारे में अधिक जानकारी के लिए देखें इंटरनेट फायरवॉल नीति प्रबंधन.

अवलोकन

इंटरनेट फायरवॉल WAN और इंटरनेट के बीच ट्रैफ़िक का निरीक्षण करता है और आपको इस ट्रैफ़िक को नियंत्रित करने के लिए नियम बनाने देता है। WAN फायरवॉल के समान, इंटरनेट फायरवॉल एक क्रमबद्ध नियम आधार का उपयोग करता है, पहली नियम से शुरू होकर, कनेक्शन प्रत्येक नियम के अनुसार निरीक्षण किया जाता है। इंटरनेट फायरवॉल एक ब्लैकलिस्ट दृष्टिकोण का उपयोग करता है। इसका अर्थ है कि नियम आधार में स्पष्ट रूप से ब्लॉक नहीं किए गए किसी भी ट्रैफ़िक और कनेक्शन को अनुमति देने के लिए एक निहित ANY - ANY नियम है। इंटरनेट फायरवॉल पूर्ण लेयर 7 कार्यक्षमता के साथ उपयोगकर्ता जागरूकता शामिल करता है, और आप विशेष अनुप्रयोगों के लिए नियम बना सकते हैं। उदाहरण के लिए, आप इंटरनेट फायरवॉल का उपयोग कर सकते हैं:

विशिष्ट वेबसाइट अवरुद्ध करें, जैसे कि Facebook या LinkedIn
अनुचित वेबसाइटों की श्रेणियों को अवरुद्ध करें, जैसे कि गन्स, शराब, और जुआ
केवल आईटी विभाग को रिमोट प्रशासन अनुप्रयोगों (SaaS और IaaS) का उपयोग करने की अनुमति दें

स्वायत्त फ़ायरवॉल अंतर्दृष्टि को समझना

स्वायत्त फ़ायरवॉल अंतर्दृष्टि सर्वोत्तम प्रथाएं हैं जो आपके इंटरनेट फ़ायरवॉल नीति का मूल्यांकन करती हैं और दर्शाती हैं कि ये Cato की सिफारिशों के साथ कैसे अनुपालन करती हैं। इन अनुशंसाओं का पालन करना आपके फायरवॉल कॉन्फ़िगरेशन को अनुकूलित करता है और सुरक्षा पद बनाता है।

दो प्रकार की अंतर्दृष्टि होती हैं:

स्टार आइकन (AI द्वारा संचालित): आपके इंटरनेट फायरवॉल नीति में सक्षम नियमों का कृत्रिम बुद्धिमत्ता (AI) द्वारा स्वचालित रूप से विश्लेषण किया जाता है ताकि मुद्दों का पता लगाया जा सके, उदाहरण के लिए, ऐसे नियम जिन्हें हटाया या संशोधित किया जा सकता है जैसे:
- समाप्त नियम या भविष्य समाप्ति तिथि के साथ नियम: विशिष्ट आवश्यकता को पूरा करने के लिए बनाए गए नियम और इनकी वांछनीय सीमा तिथि जो पहले से ही पार हो चुकी है या अभी तक पहुँची नहीं है या साबित/मूल्यांकित नहीं की जा सकती है।
- अस्थायी नियम: तत्काल आवश्यकता को पूरा करने के लिए एक अल्पकालिक समाधान के रूप में पेश किया गया। ये नियम मुख्य रूप से अस्थायी रूप से कार्य करने के लिए बनाए जाते हैं जबकि उचित या स्थायी समाधान तैनात या विकसित किया जा रहा होता है।
- परीक्षण नियम: किसी विशिष्ट फ़ीचर या परिदृश्य के साथ सत्यापन, बग सुधार, या प्रयोग के लिए विशेष रूप से निर्मित नियम।
- अप्रयुक्त नियम: फ़ायरवॉल नियमों को पहचानता है जिनमें 60 दिनों में कोई इवेंट उत्पन्न नहीं हुआ है
- विरोधी नियम जांच: समान शर्तों लेकिन विभिन्न क्रियाओं वाले फ़ायरवॉल नियमों को पहचानता है, जो निम्न-प्राथमिकता नियमों को लागू होने से रोकने वाले विवाद पैदा कर सकते हैं
कॉन्फ़िगरेशन-आधारित: आपकी इंटरनेट फ़ायरवॉल नीति में कॉन्फ़िगरेशन और सेटिंग्स सुनिश्चित करती हैं कि वे सर्वोत्तम प्रथाओं का पालन करते हैं।

इंटरनेट फ़ायरवॉल कॉन्फ़िगरेशन विज़ार्ड के साथ काम करना

इंटरनेट फ़ायरवॉल कॉन्फ़िगरेशन विजार्ड स्वतः आपके नीति रोलआउट नीति की समीक्षा इन चेक और अंतर्दृष्टियों का उपयोग करते हुए करता है। जब जाँच विफल होती है, तो आप सीधे विजार्क में अपनी नीति की समीक्षा और अद्यतन कर सकते हैं बिना व्यक्तिगत नियमों को संपादित किए। यह आपको सुरक्षित रखने में मदद करता है जबकि नीति प्रबंधन को सरल बनाता है। अधिक जानकारी के लिए, कॉन्फ़िगरेशन विजार्ड का उपयोग करना को देखें।

Cato फ़ायरवॉल में एंटी-स्पूफिंग प्रोटेक्शन

एक NGFW की बुनियादी कार्यक्षमताओं में से एक एंटी-स्पूफ़िंग हमलों के खिलाफ सुरक्षा करना है। कैटो क्लाउड में सुरक्षा इंजन स्वचालित रूप से किसी भी कनेक्शन को छोड़ देते हैं जिसमें स्रोत IP कॉन्फ़िगर की गई संस्था (जैसे कि साइट, नेटवर्क रेंज, डिवाइस, या उपयोगकर्ता) के दायरे से बाहर होता है। यह एंटी-स्पूफ़िंग हमलों को ब्लॉक करता है और कॉन्फ़िगर किए गए तार्किक टोपोलॉजी के उल्लंघन को रोकता है।

क्रमित नियमों के साथ काम करना

इंटरनेट फायरवॉल क्रमिक रूप से कनेक्शन का निरीक्षण करता है और जांचता है कि कनेक्शन एक नियम से मेल खाता है या नहीं। नियम आधार में अंतिम नियम एक निहित ANY - ANY अनुमति नियम है - इसलिए यदि कनेक्शन एक नियम से मेल नहीं खाता है, तो इसे अंतिम निहित नियम द्वारा अनुमति दी जाती है।

नियम आधार के शीर्ष पर नियमों की उच्च प्राथमिकता होती है क्योंकि वे कनेक्शनों पर नियम आधार में नीचे के नियमों से पहले लागू होते हैं। यदि कनेक्शन नियम #3 पर मेल खाता है, तो क्रिया कनेक्शन पर लागू होती है और फायरवॉल उसका निरीक्षण करना बंद कर देता है। फायरवॉल कनेक्शन पर नियम #4 और नीचे लागू नहीं करता है।

एकल नियम में कई वस्तुओं के साथ काम करना

जब एक नियम में कई कॉलम में ऑब्जेक्ट होते हैं, जैसे कि एक application और एक service, तो उनके बीच एक AND संबंध होता है। उदाहरण के लिए, यदि एक नियम नेटफ्लिक्स अनुप्रयोग को पोर्ट 443 के लिए ब्लॉक करता है, तो ट्रैफ़िक तब ब्लॉक होता है जब वह दोनों अनुप्रयोग और पोर्ट से मेल खाता है।

उन नियमों के लिए जो एकल कॉलम में एकाधिक ऑब्जेक्ट्स का उपयोग करते हैं, जैसे कि एक से अधिक application, तो उनके बीच एक OR संबंध होता है। उदाहरण के लिए, यदि एक नियम नेटफ्लिक्स, आईट्यून्स, और यूट्यूब अनुप्रयोगों को एक्सेस करने से ब्लॉक करता है, तो ट्रैफ़िक तब ब्लॉक होता है जब वह इनमें से किसी भी अनुप्रयोग से मेल खाता है।

नोट

नोट: प्रत्येक नियम में अधिकतम 64 शर्तें हो सकती हैं जो उनके बीच AND संबंध रखती हैं, और नियम के अपवाद नियम सीमा में शामिल होते हैं। उदाहरण के लिए, यदि एक नियम में दो AND शर्तें होती हैं (जैसे source और service), और नियम में 25 अपवाद होते हैं जिनमें 3 AND शर्तें होती हैं (जैसे source, एक app, और एक service), तो नियम में 77 शर्तें होती हैं। यह समर्थित सीमा 64 शर्तों से अधिक कर देता है और नियम ठीक से काम नहीं कर सकते। हालांकि, आप एक नियम के उसी कॉलम में 64 से अधिक ऑब्जेक्ट्स असाइन कर सकते हैं, क्योंकि उनके बीच एक OR संबंध होता है। उदाहरण के लिए, आप एक नियम में 64 से अधिक ऐप्स असाइन कर सकते हैं।

हिट काउंट को समझना

हिट काउंट आपको अप्रयुक्त नियमों की पहचान करने में मदद करता है जिन्हें नीति से हटाया जा सकता है, और नियम कॉन्फ़िगरेशन को अनुकूलित करता है ताकि आवश्यक ट्रैफ़िक स्कोप से बेहतर मिल सके। किसी नियम के लिए हिट काउंट उस नियम द्वारा उत्पन्न ईवेंट्स की संख्या पर आधारित होता है। यदि कोई नियम ईवेंट्स उत्पन्न नहीं करता है, तो हिट काउंट शून्य होता है।

हिट काउंट में दो संख्याएँ होती हैं:

नीति में प्रत्येक नियम द्वारा उत्पन्न घटनाओं की अनुमानित संख्या
अन्य नियमों के सापेक्ष नियम कितनी बार हिट होता है (प्रतिशत रैंकिंग द्वारा)

ये मान प्रत्येक 24 घंटे में एक बार अद्यतन होते हैं और पिछले 14 दिनों की ट्रैफ़िक पर आधारित होते हैं।

आप उच्चतम और निम्नतम हिट काउंट वाले नियमों को स्टेटस बार के रंग के आधार पर जल्दी से पहचान सकते हैं। यह रंग अन्य नियमों की तुलना में नियम कितनी बार हिट होता है को दर्शाता है:

ब्लू: 0 - 24वां अंक
ग्रीन: 25वां - 49वां अंक
ऑरेंज: 50वां - 74वां अंक
रेड: 75वां -100वां अंक

हिट काउंटर रीसेट करना और रीफ्रेश करना

हिट काउंट मान हर 24 घंटे में स्वचालित रूप से अपडेट होते हैं और पिछले 14 दिनों के ट्रैफ़िक पर आधारित होते हैं। प्रत्येक नियम के अंत में तीन बिंदुओं से, आप अप-टू-डेट दृश्यता के लिए हिट काउंट को 2FA रीसेट करें या ताज़ा करें। यह आपको नियम की प्रभावशीलता को सटीक रूप से मापने और तुरंत नियम गतिविधि को मान्य करने देता है।

विशिष्ट फ़ायरवॉल नियम के लिए हिट काउंटर रीसेट करने से हिट काउंट 0 पर लौटता है
हिट काउंटर को रीफ्रेश करने से सभी फ़ायरवॉल नियमों के लिए हिट काउंट मांग पर अपडेट होता है

नीति संशोधन और कई व्यवस्थापकों द्वारा समवर्ती संपादन

इंटरनेट फायरवॉल अलग-अलग प्रशासकों को समानांतर में नीति को संपादित करने की अनुमति देता है। प्रत्येक प्रशासक नियमों को संपादित कर सकते हैं और अपनी खुद की निजी पुनरीक्षण में नियम आधार में परिवर्तन सहेज सकते हैं, और फिर उन्हें खाते की नीति (प्रकाशित पुनरीक्षण) में प्रकाशित कर सकते हैं। नीति पुनरीक्षण कैसे प्रबंधित करें, इस पर अधिक जानकारी के लिए देखें नीति पुनरीक्षण के साथ कार्य।

किसी नियम के लिए समय सेटिंग्स को कॉन्फ़िगर करना

आप किसी नियम के लिए समय सेटिंग्स कॉन्फ़िगर कर सकते हैं ताकि वह परिभाषित तारीख और समय पर सक्षम या अक्षम हो। Time ड्रॉप डाउन में, आप Daily Schedule और/या Active Period कॉन्फ़िगर कर सकते हैं।

आप इन दोनों विकल्पों को विन्यस्त कर सकते हैं ताकि, उदाहरण के लिए, नियम मई 2025 के महीने में सप्ताह के दिनों में सक्रिय हो। वैकल्पिक रूप से, आप अपनी आवश्यकताओं को पूरा करने के लिए प्रत्येक विकल्प को स्वतंत्र रूप से विन्यस्त कर सकते हैं।

दैनिक अनुसूची को समझना

Daily Schedule नियम के सक्रिय होने के समय का शेड्यूल परिभाषित करता है। यदि किसी नियम के लिए शेड्यूल कॉन्फ़िगर किया जाता है, तो नियम तालिका में Action स्तंभ में एक घंटा प्रतीक प्रदर्शित किया जाता है।

Daily Schedule के लिए विकल्प हैं:

कोई समय सीमा नहीं: नियम के लिए कोई अनुसूची नहीं है। यह नियमों का डिफ़ॉल्ट व्यवहार है।
काम करने के घंटों तक सीमित: नियम Cato प्रबंधन अनुप्रयोग में कॉन्फ़िगर किए गए कार्य समय के दौरान ही सक्रिय रहता है। काम के घंटों के बारे में अधिक जानकारी के लिए, खाते के लिए डिफ़ॉल्ट कार्य समय परिभाषित करना देखें।
कस्टम: दिन के समय और सप्ताह के दिन चुनें जब नियम सक्रिय है। Recurring विकल्प का चेक हटा दें, और Date चयन करें जो नियम के लिए समय सेटिंग्स है।
- आवर्ती: उदाहरण के लिए, प्रत्येक मंगलवार को सुबह 9:00 बजे से शाम 5:00 बजे।

सक्रिय अवधि को समझना

Active Period नियम के UTC में सक्रिय रहने की तारीख और समय अवधि को परिभाषित करता है। यदि Effective From फ़ील्ड नहीं चुना जाता है, तो नियम के सहेजने और प्रकाशित होने के तुरंत बाद सक्रिय हो जाता है।

नियम तालिका पर, यदि एक Active Period परिभाषित किया गया है, तो Action स्तंभ में एक घंटे का ग्लास प्रतीक प्रदर्शित किया जाता है। प्रतीक का रंग स्थिति को दर्शाता है:

ब्लैक: नियम सक्रिय नहीं है और भविष्य में सक्रिय होगा
ग्रीन: नियम सक्रिय है
रेड: नियम समाप्त हो चुका है

ट्रैफ़िक MSA से संबंधित अवरुद्ध हुआ

कैटो नेटवर्क मास्टर सेवा समझौता (MSA) परिभाषित करता है कि ट्रैफ़िक जो संभावित रूप से अवैध या दुर्भावनापूर्ण है वह स्वचालित रूप से ब्लॉक किया जाता है। इन कनेक्शनों को ब्लॉक करने के लिए इंटरनेट फायरवॉल नियम आधार के शीर्ष पर एक छिपा हुआ निहित नियम है।

MSA के बारे में अधिक जानने के लिए, Cato Networks MSA देखें।

इंटरनेट फ़ायरवॉल नियमों के लिए सेटिंग्स को समझना

यह अनुभाग इंटरनेट फायरवॉल नियम आधार में नियमों के लिए क्षेत्रों और सेटिंग्स को समझाता है। इंटरनेट फायरवॉल की विस्तृत समझ सफलतापूर्वक कॉर्पोरेट नेटवर्क के लिए एक्सेस नियंत्रण प्रबंधित करने में मदद करती है।

नियम क्रियाएँ

निम्नलिखित तालिका नेटवर्क ट्रैफ़िक के लिए प्रत्येक फायरवॉल नियम को लागू की जा सकने वाली क्रियाओं का वर्णन करती है। क्रियाओं के लिए जो ईवेंट्स उत्पन्न करती हैं, आप Home > Events में ईवेंट लॉग दिखा सकते हैं।

वस्तुएं	विवरण
अनुमति दें	फ़ायरवॉल मिलान ट्रैफ़िक की अनुमति देता है।
अवरुद्ध करें	फ़ायरवॉल मिलान ट्रैफ़िक को अवरुद्ध करता है।
प्रॉम्प्ट	फ़ायरवॉल मिलान ट्रैफ़िक को संदेश के साथ वेब पेज पर पुनर्निर्देशित करता है। उपयोगकर्ता को जारी रखने का निर्णय लेने के लिए प्रेरित किया जाता है। आप प्रॉम्प्ट वेब पेज को अनुकूलित कर सकते हैं, देखें चेतावनी / ब्लॉक पेज को अनुकूलित करना। Cato प्रॉम्प्ट पेज एक HTML पेज है जो उपयोगकर्ता की सहमति प्रबंधित करने के लिए जावास्क्रिप्ट और सत्र कुकीज़ का उपयोग करता है। ये कुकीज़ डोमेन-विशिष्ट, अस्थायी हैं, और आमतौर पर ब्राउज़र बंद होने पर हटा दी जाती हैं। Cato वर्तमान में तीन कुकी नाम उपसर्गों का उपयोग करता है, (`tls_cert_err`, `fw_wan`, और `fw_inet`). कुकी हैंडलिंग और सत्र स्थायित्व उपयोगकर्ता सेटिंग्स और व्यवहार, ब्राउज़र, और ऑपरेटिंग सिस्टम पर निर्भर करते हैं। जब उपयोगकर्ता प्रॉम्प्ट पेज के बाद आगे बढ़ने का चयन करता है तो घटनाओं की समीक्षा करने के लिए, घटनाएँ पृष्ठ को फिल्टर करें ताकि प्रॉम्प्ट क्रिया फ़ील्ड में आगे बढ़ें के मान को दिखाने वाले घटनाओं को देखें।
रिमोट ब्राउज़िंग (RBI)	मिलान ट्रैफ़िक RBI द्वारा वितरित किया गया।
कैप्टिव पोर्टल	मिलान ट्रैफ़िक को कैप्टिव पोर्टल पर निर्देशित किया गया।

इंटरनेट फ़ायरवॉल नियमबेस कॉलम

विभिन्न नियम庫 कॉलम और नियमों के स्रोत, ऐप, और श्रेणी वस्तुएँ के विवरण के लिए, Cato WAN फ़ायरवॉल क्या है? और नियम वस्तुओं के लिए संदर्भ। WAN फायरवॉल के विपरीत, इंटरनेट फायरवॉल के लिए गंतव्य हमेशा इंटरनेट होता है। जब किसी नियम के लिए कई कॉलम कॉन्फ़िगर होते हैं, तो उनके बीच एक और संबंध होता है।

नियम क्रम सेट करना

नियमों के सापेक्ष क्रम को सेट करके नियम क्रम को परिभाषित किया जाता है। उदाहरण के लिए, किसी विशेष नियम का अनुसरण करना, या किसी अनुभाग में पहला होना।

नियम क्रम को परिभाषित करने के लिए ये विकल्प हैं:

नियम से पहले - नियम चयनित नियम के तुरंत पहले स्थित होता है
नियम के बाद - नियम चयनित नियम के तुरंत बाद स्थित होता है
खंड में सबसे पहले - नियम चयनित खंड में सबसे पहले स्थित होता है
खंड के अंत में - नियम चयनित खंड में अंत में स्थित होता है
पहला - नियम नियमबेस के शीर्ष पर स्थित होता है
अंतिम - नियम नियमबेस के नीचे स्थित होता है