この記事では、Socket内のトラフィックをローカルでルーティングおよび制御するためのSocket Next Gen LAN Firewallルールの設定方法について説明します。 Socket Next Gen LAN ファイアウォールの詳細については、Socket Next Gen LAN ファイアウォールとは何かをご覧ください。
LAN ネットワークルールを設定して、LAN トランスポートでローカルにルーティングされるトラフィックを定義し、その後関連する LAN ファイアウォールルールを作成してトラフィックのセキュリティポリシーを強化します。
これは、ポリシーを構成するための例としての高レベルのワークフローです。
-
Layer 7の適用機能が必要なサイトを決定し、ポリシーに設定します。
これにより、LANファイアルールおよびサイトのLayer 7データを持つイベントにLayer 7の適用が有効になります。
-
サイトの Layer 7 を有効にする影響を評価するため、ソケット CPU のパフォーマンスとイベントを監視します。
-
LAN ネットワークルールを作成して、サイトのトラフィックが WAN ではなくソケット経由でローカルにルーティングされるように定義します。
-
各 LAN ネットワークルールに対して、トラフィックのセキュリティポリシーを強化するために LAN ファイアウォールルールを作成します。
サイトのトラフィックに対してLayer 7検査機能を有効にします。 有効化後、LANトランスポートを利用するトラフィックが定義されている限り、LANファイアウォールルールが設定されているかどうかに関係なく、ソケットはトラフィックに対してディープパケットインスペクションを実行します。詳細はソケットネクストジェンLANファイアウォールとはを参照してください。 このため、Application、App Risk、Custom Appなどのフィールドを含むLayer 7データがサイトトラフィックのイベントに表示されます。 これはSocketのCPU使用率にも影響します。
新しいLANネットワークルールを作成し、トラフィックの通信を定義するための設定を構成します。 LAN通信で定義されたルールの場合、LANファイアルールを追加してトラフィックのアクセス制御を管理できます。 詳細情報については、下記LAN ファイアウォールルールの作成をご覧ください。
LAN ネットワークルールを作成するため:
-
ナビゲーションメニューから、Security > LAN Firewallをクリックします。
LANファイアウォールページが表示され、既存の未公開リビジョンまたは最新の公開リビジョンが開きます。
-
新規をクリックし、ドロップダウンメニューから新規LANネットワークルールを選択します。 新規ネットワークルール パネルが表示されます。
-
ルールの名前を入力します。
-
スライダーを使用してルールを有効化または無効化します(緑が有効、灰が無効)。
-
新しいルールの位置と方向を設定します。
-
デフォルトでは、ルールは送信元から宛先への一方向に適用されます。 ドロップダウンメニューで方向をクリックし、ルールが双方向で動作するように設定します。
-
-
サイトセクションを展開し、ルールが適用される一つ以上のサイトまたはサイトグループを選択します。 デフォルト値はすべてです。
-
送信元セクションを展開し、このルールのトラフィック送信元として一つ以上のオブジェクトを選択します。
-
種類を選択します(例えば:ホスト、ネットワークインタフェース、IP、ユーザー、ユーザーグループ、すべて)。 デフォルト値はすべてです。
-
必要に応じて、そのタイプのドロップダウンリストから特定のオブジェクトを選択します。
-
-
宛先セクションを展開し、このルールのために一つ以上の宛先オブジェクトを選択します。
-
種類を選択します(例えば:ホスト、ネットワークインタフェース、IP、ユーザー、ユーザーグループ、すべて)。 デフォルト値はすべてです。
-
必要に応じて、そのタイプのドロップダウンリストから特定のオブジェクトを選択します。
-
-
基準セクションを展開し、ルールにデバイス条件を追加します。 詳細については、ファイアウォールルールにデバイス条件を追加するを参照してください。 デフォルト値はすべてです。
-
サービス/ポートセクションを展開し、ルールが適用されるプロトコルを次のオプションから選択します。
-
シンプルサービス - リストから関連するLayer 4サービスを選択します。
事前定義されたサービスリストは、それぞれのサービスのRFC定義に基づいています。
-
カスタムサービス - "プロトコル/ポート"形式で関連するポートとプロトコルを入力します(例:TCP/80-88、UDP/53、ICMP)
デフォルト値は任意です。
-
-
(オプション) NATセクションを展開し、送信インターフェースでNATを有効にします。 これは、すべての発信IPを1つのNAT IPに変換します。
-
ルールに一致するトラフィックのトランスポートを選択します。 オプションは以下の通りです。
-
LAN - トラフィックはSocketによってローカルでルーティングされ、PoPには送信されません
-
WAN - トラフィックはPoPへのWAN経由で送信され、検査されます
-
-
保存をクリックします。
変更は未公開の改訂に保存され、公開または破棄されるまで編集可能です。
新しいLANファイアルールを作成し、トラフィックのアクセス制御を管理するための設定を構成します。 LANファイアルールは、親のLANネットワークルールのスコープ内のオブジェクトのみで構成できます。
Layer 7機能を有効にしたサイト向けのルールには、アプリケーションやドメインなどのアプリケーション層のオブジェクトを条件として含めることができます。 Layer 7機能がないサイトのルールにこれらのオブジェクトを含めると、ルールは正しく機能しません。
注: 同じサイト内でLANファイアウォールルールに一致しないトラフィックは、例えポップへの移動して同じサイトに戻ってきても、WANトラフィックと見なされます。
注記
注: 送信元および宛先フィールドでユーザーおよびユーザーグループオブジェクトを使用する場合、またはルールでデバイス基準を使用する場合、この機能を有効にし使用する詳細についてfeature-releases@catonetworks.comにお問い合わせください。
LANファイアルールを作成するには:
-
ナビゲーションメニューから、Security > LAN Firewallをクリックします。
LANファイアウォールページが表示され、既存の未公開リビジョンまたは最新の公開リビジョンが開きます。
-
新規をクリックし、ドロップダウンメニューから新しいLANファイアルールを選択します。 新しいファイアルールパネルが開きます。
-
ルールの名称を入力します。
-
スライダーを使用してルールを有効化または無効化します(緑色は有効、灰色は無効)。
-
ルールの位置を構成し、ルールドロップダウンから関連する参照ルールを選択します。これは以下の通りです。
-
Before Rule及びAfter Ruleオプションに対して、関連するLANネットワークルールの下でLANファイアルールをルールドロップダウンから選択します。
-
First in Rule及びLast in Ruleオプションに対して、このルールの親LANネットワークルールをルールドロップダウンから選択します。
-
-
ルールの方向を構成します。
-
デフォルトでは、ルールは送信元から宛先までの一方向に適用されます。 方向ドロップダウンメニューをクリックして、ルールを双方向に設定します。
-
-
送信元セクションを展開し、このルールのためのトラフィックソースの1つ以上のオブジェクトを選択します。
-
種類を選択します(例えば:ホスト、ネットワークインタフェース、IP、ユーザー、ユーザーグループ、すべて)。 デフォルト値は任意です。
-
必要に応じて、そのタイプのドロップダウンリストから特定のオブジェクトを選択します。
-
-
宛先セクションを展開し、このルールのための1つ以上の宛先オブジェクトを選択します。
-
種類を選択します(例えば:ホスト、ネットワークインタフェース、IP、ユーザー、ユーザーグループ、すべて)。 デフォルト値は任意です。
-
必要に応じて、そのタイプのドロップダウンリストから特定のオブジェクトを選択します。
-
-
アプリ/カテゴリセクションを展開し、ルールのための1つ以上のアプリケーションを選択します。
ルールに複数のアプリ/カテゴリオブジェクトがある場合、それらの間にはOR関係があります。 デフォルト値は任意です。
注記: Layer 7機能が有効なサイトのルールに対してのみ、アプリ/カテゴリオブジェクトを構成してください。 そうでないと、ルールは正しく機能しません。
-
サービス/ポートセクションを展開し、ルールが適用されるプロトコルを次のオプションから選択します。
-
シンプルサービス - リストから関連するLayer 4サービスを選択します
事前定義されたサービスリストは、それぞれのサービスのRFC定義に基づいています。
-
サービス - リストから関連するLayer 7サービスを選択します
-
カスタムサービス - "プロトコル/ポート"形式で関連するポートとプロトコルを入力します(例:TCP/80-88、UDP/53、ICMP)
デフォルト値は任意です。
-
-
このルールのアクションを選択します。 オプションは許可およびブロックです。
-
(オプション) トラッキングオプションを構成してイベントを生成し、通知を送信します。 初回通知が送信された後、周波数はカウントを開始します。
通知に関する詳細情報は、アラートセクションのサブスクリプショングループ、メーリングリスト、およびアラート統合に関する関連記事を参照してください。
-
保存をクリックします。
変更は未公開の改訂に保存され、公開または破棄されるまで編集可能です。
次世代LANファイアウォールポリシーで定義された各ルールのイベント追跡を任意で有効にすることができます。
注意
注意: LANファイアウォールのトラフィックはアプリとネットワーク分析ダッシュボードに表示されません。
イベントはサイト監視 > イベントに表示されます。
-
イベントタイプ - セキュリティ
-
サブタイプ - LANファイアウォール
LANファイアウォールイベントをフィルタリングするには:
-
ホーム > イベントに移動します。
-
フィルターをクリックし、該当するフィールド、演算子、値を選択します。
-
フィールド - 複数のフィールドをフィルターとして選択できます。 例えば、"送信元サイト"や"サブタイプ"(LANファイアウォール)でフィルタリングすることができます。
-
演算子 - 特定の値を含むまたは除外する選択(該当、非該当)や複数の値(含む、非該当)を選択できます。例えば、演算子含むで"送信元サイト"を選択すると、複数の送信元サイトを値として選択できます。
-
値 - フィールドの値。
-
-
フィルターを追加をクリックします。
以下の例では、LANファイアウォールイベントの詳細を確認できます。
-
アクション - ブロックまたは監視。 (トラフィックはLANファイアウォールによってローカルでブロックまたは許可されました)
-
設定されたホスト名 - 利用可能であれば、送信元IPに関する追加ホスト情報。
-
サブタイプ - LANファイアウォール。 LANファイアウォールによって生成されたすべてのイベントはこのサブタイプになります。
-
ネットワークルール - イベントを生成したLANファイアウォールルールの親LANネットワークルール。
-
ルール名 - イベントを生成したLANファイアウォールルールの名前。
WANやインターネットファイアウォールとは異なり、LANファイアウォールイベントはCato PoPではなくソケット自体で生成されます。 これらのイベントはサイトトンネルを介して送信され、Cato管理アプリケーションに保存されます。
トンネルを介したすべてのフロートラフィックは、LANファイアウォールイベントより優先されます。LANファイアウォールイベントはデフォルトのQoS優先順位255を持ち、追加のオーバーヘッドを生成する可能性があります。
Catoは、追加のオーバーヘッドを避けるために、高優先度のLANファイアウォールルールのみを追跡することをお勧めします。
0件のコメント
記事コメントは受け付けていません。