फ़ायरवॉल नियमों में उपकरण शर्तें जोड़ना

यह लेख सुरक्षा बढ़ाने और सुरक्षा के लिए WAN और इंटरनेट फ़ायरवॉल नियमबेस में डिवाइस मापदंड के लिए शर्तें जोड़ने के तरीके पर चर्चा करता है।

अवलोकन

WAN और इंटरनेट फ़ायरवॉल नियमों के लिए उपकरण सेटिंग आपको अपने फ़ायरवॉल सुरक्षा नीति के स्कोप को बढ़ाने की अनुमति देती है ताकि अंतिम उपयोगकर्ता के या आपके नेटवर्क पर संचार करने वाले अन्य उपकरणों (जैसे IoT/OT) के वास्तविक उपकरण की गुणों के आधार पर सशर्त पहुँच शामिल हो सके। आप नेटवर्क पर उपकरणों के लिए पहुँच आवश्यकताओं को निर्दिष्ट कर सकते हैं। उदाहरण के लिए:

WAN फ़ायरवॉल -
- नियम के स्रोत को निर्दिष्ट करें ताकि यह केवल उन्हीं उपकरणों पर लागू हो जो पूर्व-परिभाषित स्थिति को पूरा करते हैं या भौगोलिक स्थान के आधार पर।
- व्यापार-महत्वपूर्ण OT उपकरण के लिए केवल विशिष्ट उपयोगकर्ताओं के लिए पहुँच की अनुमति दें।
इंटरनेट फ़ायरवॉल -
- ऐसे SaaS अनुप्रयोग के लिए नियम निर्धारित करें जो उपकरण सेटिंग्स और स्थान के आधार पर पहुँच को सीमित करता है।
- नेटवर्क पर आईपी कैमरों के लिए इंटरनेट पहुँच को अवरुद्ध करें।

डिफ़ॉल्ट रूप से, डिवाइस सेटिंग्स का ट्रैफ़िक पर प्रभाव नहीं होता है क्योंकि वे कोई भी कोई भी पर सेट हैं और स्वचालित रूप से सभी ट्रैफ़िक से मेल खाते हैं।

Cato WAN और इंटरनेट फ़ायरवॉल के बारे में अधिक जानकारी के लिए, Cato फ़ायरवॉल्स में ज्ञान केंद्र लेख देखें।

न्यूनतम जरूरत

किसी नियम के लिए उपकरण सेटिंग्स में उपकरण प्रोफ़ाइल जोड़ने से पहले, आपको उपकरण प्रोफ़ाइल को बनाना और कॉन्फ़िगर करना होगा।
उन उपकरण जांचों को देखने के लिए जो क्लाइंट ओएस और संस्करण के लिए समर्थित हैं, उपकरण मुद्रा प्रोफाइल और उपकरण जांच बनाना देखें।
डिवाइस प्रोफाइल का उपयोग करने वाले नियम केवल तभी लागू किए जाते हैं जब कैटो क्लाइंट डिवाइस पर स्थापित होता है और पहचान एजेंट के रूप में उपयोग करता है, दोनों दूरस्थ रूप से और सॉकेट के पीछे स्थित होने पर।

अधिक जानकारी के लिए देखें उपयोगकर्ता जागरूकता के लिए Cato पहचान एजेंट का उपयोग करना.

नोट: लाइसेंस प्राप्त क्लाइंट स्वचालित रूप से पहचान एजेंट के रूप में उपयोग किए जाते हैं।

उपकरण सेटिंग्स विन्यस्त करना

ये वो उपकरण सेटिंग्स हैं जिन्हें आप एक फ़ायरवॉल नियम में जोड़ सकते हैं:

उपकरण विशेषताएँ - उपकरण इन्वेंट्री पहचान इंजन द्वारा पहचाने गए उपकरणों की विशेषताएँ।
प्लेटफार्म - उपकरण ऑपरेटिंग सिस्टम (OS).
देश - उपकरण की भौतिक स्थिति पर आधारित कनेक्शन के लिए स्रोत देश (आईपी पते भौगोलिक स्थिति के अनुसार).
उपकरण मुद्रा प्रोफाइल - उपकरण प्रोफाइल (पहुँच में कॉन्फ़िगर किया गया > उपकरण मुद्रा.)
कनेक्शन का स्रोत - उपकरण का भू-स्थान. आप नियम को इस बात पर आधारित कर सकते हैं कि उपकरण साइड के पीछे जुड़ रहा है या क्लाइंट, ब्राउज़र एक्सटेंशन या एंटरप्राइज़ ब्राउज़र के माध्यम से रिमोटली कनेक्ट हो रहा है (प्रत्येक रिमोट कनेक्शन विकल्प को अलग से चुना जा सकता है).
उपयोगकर्ता विशेषताएँ: उपयोगकर्ता के जोखिम स्तर और विश्वास स्तर की जानकारी जो उपकरण में लॉग इन है.

जब आप किसी नियम के लिए कई शर्तें कॉन्फ़िगर करते हैं, तो उनके बीच एक और संबंध होता है, नियम केवल तभी मेल खाता है, जब ट्रैफ़िक सभी आइटम में परिभाषित मापदंड से मेल खाता है।

एक शर्त (एकल सेल) के भीतर, आइटम के बीच या संबंध होता है। उदाहरण के लिए, एक नियम जिसमें प्लेटफ़ॉर्म्स की स्थिति विंडोज, और macOS होती है, वह सभी विंडोज या macOS उपकरणों से मेल खाता है।

यह एक नियम का उदाहरण है जहाँ ट्रैफ़िक को इन सभी उपकरण शर्तों को पूरा करना होगा: विंडोज उपकरण, जो भारत में स्थित हैं, और जो उपकरण स्थिति प्रोफ़ाइल 1 की आवश्यकताओं को पूरा करते हैं।

उपकरण विशेषता आवश्यकताएँ जोड़ना

डिवाइस विशेषताएँ की स्थिति का उपयोग उन उपकरणों के लिए नियम बनाने के लिए करें जो डिवाइस इन्वेंट्री इंजन द्वारा नेटवर्क पर डिटेक्ट किए गए थे। आप फ़ायरवॉल नियम में निम्नलिखित विशेषताओं का उपयोग कर सकते हैं: श्रेणी, प्रकार, मॉडल, ओएस, निर्माता, ओएस संस्करण।

डिवाइस विशेषताओं का प्रकार चुनें, फिर ड्रॉपडाउन सूची से मान चुनें। सूची स्वचालित रूप से नेटवर्क पर डिटेक्ट किए गए उपकरणों के मानों से भरी जाती है। आप एक नियम में कई डिवाइस विशेषताओं के प्रकार का चयन कर सकते हैं, और विशेषताओं के बीच एक और संबंध होता है। उदाहरण के लिए, यदि आप ओएस के रूप में विंडोज और निर्माता के रूप में डेल चुनते हैं, तो यह शर्त केवल विंडोज ऑपरेटिंग सिस्टम वाले डेल उपकरणों पर लागू होती है।

हालांकि, जब आप एक डिवाइस विशेषताओं के प्रकार के भीतर कई मान चुनते हैं, तो उनके बीच एक या संबंध होता है। उदाहरण के लिए, यदि आप निर्माता के रूप में डेल और एचपी की मानों का चयन करते हैं, तो यह शर्त डेल या एचपी उपकरणों के लिए मेल खाती है।

डिवाइस इन्वेंट्री पृष्ठों और विशेषताओं के लिए एक अलग डिवाइस इन्वेंट्री लाइसेंस की आवश्यकता होती है। लाइसेंस खरीदने के बारे में अधिक जानकारी के लिए, कृपया अपने केटो प्रतिनिधि से संपर्क करें।

प्लेटफ़ॉर्म आवश्यकताएँ जोड़ना

फ़ायरवॉल नियम के लिए प्लेटफार्म की स्थिति आपको उन उपकरण ऑपरेटिंग सिस्टम को परिभाषित करने देती है जो नियम से मेल खाते हैं। उदाहरण के लिए, किसी विशिष्ट नेटवर्क सेगमेंट के लिए, केवल विंडोज, macOS, या लिनक्स उपकरणों को एक्सेस करने की अनुमति दें।

देश आवश्यकताएँ जोड़ना

देश की स्थिति आपको डिवाइस के आईपी भू-स्थान के आधार पर नियम के साथ मेल खाने वाले ट्रैफ़िक के स्रोत को परिभाषित करने देती है। उदाहरण के लिए, किसी शाखा कार्यालय के लिए किसी साइट पर पहुँच को प्रतिबंधित करें, ताकि केवल वे उपकरण जो कार्यालय के समान देश में स्थित हैं, कनेक्ट कर सकें।

डिवाइस प्रोफाइल आवश्यकताएँ जोड़ना

प्रोफ़ाइल की स्थिति को केवल उन्हीं उपकरणों के साथ मेल खाने के लिए नियम को प्रतिबंधित करने देती है जो डिवाइस प्रोफ़ाइल की आवश्यकताओं को पूरा करती हैं। यह शर्त डिवाइस पोस्चर फीचर पर आधारित है, जो जांचता है कि क्या उपकरण पोस्चर आवश्यकताओं को पूरा करता है। उदाहरण के लिए, केवल वही उपकरण जो एंटी-मैलवेयर सॉफ़्टवेयर संस्करण के नवीनतम संस्करण के साथ हैं, स्थिति आवश्यकताओं को पूरा करते हैं।

डिवाइस प्रोफाइल वर्तमान में सभी क्लाइंट संस्करणों पर समर्थित नहीं हैं, अधिक जानकारी के लिए देखें डिवाइस मुद्रा प्रोफाइल और डिवाइस जांच बनाना।

समर्थित नहीं Cato क्लाइंट के साथ कार्य करना

फ़ायरवॉल केवल यह निर्धारित कर सकता है कि क्लाइंट समर्थित क्लाइंट के लिए डिवाइस चेक से मेल खाता है। प्रत्येक डिवाइस जांच के लिए, आप उन क्लाइंट के लिए व्यवहार को परिभाषित कर सकते हैं जो अन्य आवश्यकताएँ फ़ायरवॉल नियम (स्रोत, एप्लिकेशन/श्रेणी, आदि) से मेल खाते हैं लेकिन समर्थित नहीं हैं:

डिवाइस जांच छोड़ें, और फ़ायरवॉल कार्रवाई को अनसपोर्टेड क्लाइंट्स पर लागू करें
डिवाइस जांच लागू करें, और क्लाइंट फ़ायरवॉल नियम से मेल नहीं खाता और कार्रवाई लागू नहीं होती है

निम्न तालिका बताती है कि जब कनेक्शन फ़ायरवॉल नियम की सभी अन्य सेटिंग्स से मेल खाता है, तो अनसपोर्टेड क्लाइंट्स के लिए व्यवहार कैसा होगा। व्यवहार इस पर निर्भर करता है कि डिवाइस चेक में असमर्थ SDP क्लाइंट संस्करण के लिए इस चेक को छोड़ें विकल्प सक्षम है या साफ किया गया (अक्षम) है।

असमर्थित क्लाइंट्स	फ़ायरवॉल नियम कार्रवाई	क्लाइंट व्यवहार
चेक छोड़ें (सक्रिय)	अवरोधित करें	असमर्थित क्लाइंट्स स्वचालित रूप से डिवाइस चेक छोड़ते हैं और अवरोधित होते हैं (वे कनेक्ट नहीं कर सकते)
चेक छोड़ें (सक्रिय)	अनुमति दें	असमर्थित क्लाइंट्स स्वचालित रूप से डिवाइस चेक छोड़ते हैं और अनुमति प्राप्त करते हैं (वे कनेक्ट कर सकते हैं)
चेक लागू करें (अक्षम)	अवरोधित करें	असमर्थित क्लाइंट्स डिवाइस चेक से मेल नहीं खाते, फ़ायरवॉल इस नियम को छोड़ता है (कनेक्शन पर अवरोधित क्रिया लागू नहीं करता है)
चेक लागू करें (अक्षम)	अनुमति दें	असमर्थित क्लाइंट्स डिवाइस चेक से मेल नहीं खाते, फ़ायरवॉल इस नियम को छोड़ता है (कनेक्शन पर अनुमति देने की क्रिया लागू नहीं करता है)

उपकरण मूल आवश्यकताएँ जोड़ना

कनेक्शन का स्रोत स्थिति आपको उस डिवाइस की भू-स्थान को परिभाषित करने की अनुमति देती है जो नियम से मेल खाता है। उदाहरण के लिए, साइट के पीछे संवेदनशील जानकारी तक पहुँच की अनुमति दें, लेकिन जब दूरस्थ रूप से काम कर रहे हों तब नहीं।

उपयोगकर्ता विशेषता आवश्यकताएँ जोड़ना

उदाहरण के लिए, Salesforce तक पहुँच केवल तभी अनुमति दें जब उपयोगकर्ता का विश्वास स्तर प्रमाणित हो। यह उदाहरण एक इंटरनेट फ़ायरवॉल नीति का है जो सभी उपयोगकर्ताओं के लिए Salesforce तक पहुँच को अवरुद्ध करता है जिनका विश्वास स्तर कम विश्वसनीय है।

विश्वास स्तर विशेषता का उपयोग करने से आपको संवेदनशील संसाधनों तक पहुँचते समय उच्च स्तर के प्रमाणीकरण की आवश्यकता लागू करने की अनुमति मिलती है। जब पहुँच को अवरुद्ध किया जाता है, आप एक कस्टम टेम्पलेट लागू कर सकते हैं जो उपयोगकर्ता को बताता है कि उन्हें क्यों अवरुद्ध किया गया और उन्हें क्या करना है।

डीएनएस नीति में उपकरण स्थितियाँ विन्यस्त करना

आप किसी नए या मौजूदा फ़ायरवॉल नियम में उपकरण मापदंड सेटिंग्स कॉन्फ़िगर कर सकते हैं।

फ़ायरवॉल नियम के लिए उपकरण शर्तें कॉन्फ़िगर करने के लिए:

नेविगेशन फलक में सुरक्षा अनुभाग से, इंटरनेट फ़ायरवॉल या वान फ़ायरवॉल चुनें।
एक नया नियम बनाने के लिए नया पर क्लिक करें, या मौजूदा नियम के लिए मानदंड कॉलम में संपादन आइकन पर क्लिक करें।
In the Criteria section, configure the Device Attributes, Platforms, Countries, and Profiles that are required to match this rule.
लागू करें पर क्लिक करें।

नियम के लिए मानदंड शर्तें सक्रिय हैं।

उपकरण स्थितियों के साथ नमूना फ़ायरवॉल नियम

यह एक वैन फ़ायरवॉल नियम का उदाहरण है जो सभी एसडीपी उपयोगकर्ता के लिए दोनों दिशाओं में ट्रैफ़िक की अनुमति देता है जो सभी निम्नलिखित उपकरण शर्तों का मिलान करते हैं: विंडोज ओएस उपकरण का उपयोग करते हुए, भौतिक रूप से दक्षिण कोरिया में स्थित है, और परीक्षण नीति डिवाइस प्रोफ़ाइल की आवश्यकताओं का मिलान करता है।

यह इंटरनेट फ़ायरवॉल नियम का एक उदाहरण है जो सामाजिक श्रेणी को अवरोधित करने वाले नियम का अपवाद है। अपवाद निम्नलिखित उपकरण शर्तों का मिलान करने वाले ट्रैफ़िक को अनुमति देता है: विंडोज या macOS उपकरण का उपयोग करते हुए और भौतिक रूप से संयुक्त राज्य अमेरिका में स्थित है।

उपयोगकर्ता विशेषताओं के साथ नमूना फ़ायरवॉल नियम

यह एक उदाहरण है जहां एक इंटरनेट फ़ायरवॉल नियम सेल्सफोर्स के लिए ट्रैफ़िक को कम विश्वास स्तर के सभी उपयोगकर्ताओं के लिए अवरुद्ध करता है।

जब कोई उपयोगकर्ता अवरुद्ध होता है, तो उन्हें एक <a class="link linktype-component" href="https://support.catonetworks.com/hc/en-us/articles/33982681715997#UUID-6b474ac4-2d48-a81d-e4e5-d02105dc212c" title="Creating User Notification Templates">कस्टम ब्लॉक पेज</a> प्रस्तुत किया जाता है जो उन्हें सूचित करता है कि सेल्सफोर्स तक पहुंच प्राप्त करने के लिए उन्हें क्या करने की आवश्यकता है।

जब कोई उपयोगकर्ता अवरुद्ध होता है, उन्हें एक समर्पित ब्लॉक पृष्ठ पेश किया जाता है जो उन्हें सूचित करता है कि सेल्सफोर्स में पहुँच पाने के लिए उन्हें क्या करना चाहिए।

फ़ायरवॉल उपकरण स्थितियों को लागू करने के लिए सर्वोत्तम प्रथाएं

अनुमति दें कार्रवाई के साथ नियमों में प्रोफ़ाइल डिवाइस मुद्रा जोड़ें
उपकरणों को कनेक्ट करने की अनुमति देने के लिए न्यूनतम आवश्यकताओं के साथ उपकरण प्रोफ़ाइल परिभाषित करें (जो उपकरण इन आवश्यकताओं को पूरा नहीं करते हैं वे अवरुद्ध हैं)