この記事では、Socket内のトラフィックをローカルでルーティングおよび制御するためのSocket Next Gen LAN Firewallルールの設定方法について説明します。 Socket Next Gen LAN ファイアウォールの詳細については、Socket Next Gen LAN ファイアウォールとは何かをご覧ください。
LAN ネットワークルールを設定して、LAN トランスポートでローカルにルーティングされるトラフィックを定義し、その後関連する LAN ファイアウォールルールを作成してトラフィックのセキュリティポリシーを強化します。
これは、ポリシーを構成するための例としての高レベルのワークフローです。
-
Layer 7の適用機能が必要なサイトを決定し、ポリシーに設定します。
これにより、LANファイアルールおよびサイトのLayer 7データを持つイベントにLayer 7の適用が有効になります。
- サイトの Layer 7 を有効にする影響を評価するために、ソケット CPU 使用率とイベントをモニタします。
- ありLANネットワークを作成して、サイトトラフィックがソケットを通してローカルにルーティングされるか、WANを通すかを定義します。
- 各 LAN ネットワークルールについて、安全性を確保するために LAN ファイアウォールルールを作成。
サイトのトラフィックに対してLayer 7検査機能を有効にします。 有効化後、LANトランスポートを利用するトラフィックが定義されている限り、LANファイアウォールルールが設定されているかどうかに関係なく、ソケットはトラフィックに対してディープパケットインスペクションを実行します。詳細はソケットネクストジェンLANファイアウォールとはを参照してください。 このため、Application、App Risk、Custom Appなどのフィールドを含むLayer 7データがサイトトラフィックのイベントに表示されます。 これはSocketのCPU使用率にも影響します。
サイトの Layer 7 機能を有効にするためには:
-
ナビゲーションメニューから、Security > LAN Firewallをクリックします。
LANファイアウォールページが表示され、既存の未公開リビジョンまたは最新の公開リビジョンが開きます。
- Layer 7 サイト タブを選択します。
- 新規をクリックします。 サイト追加 パネルが開きます。
- サイトの項目の下で、ドロップダウンリストから一つ以上のソケットサイトを選択します。
- 適用をクリックします。 サイトは Layer 7 サイトのリストに追加されます。
- 保存をクリックしてください。 Layer 7 の機能はサイトのために設定されています。
新しいLANネットワークルールを作成し、トラフィックの通信を定義するための設定を構成します。 LAN通信で定義されたルールの場合、LANファイアルールを追加してトラフィックのアクセス制御を管理できます。 詳細情報については、下記LAN ファイアウォールルールの作成をご覧ください。
LAN ネットワークルールを作成するには:
-
ナビゲーションメニューから、Security > LAN Firewallをクリックします。
LANファイアウォールページが表示され、既存の未公開リビジョンまたは最新の公開リビジョンが開きます。
- 新規をクリックし、ドロップダウンから新規LANネットワークルールを選択します。 新規ネットワークルール パネルが表示されます。
- ルールのための名前を入力します。
- スライダーを使用してルールを有効または無効にします(緑は有効、灰色は無効)。
-
新しいルールの位置と方向を設定します。
- デフォルトでは、ルールはソースから宛先への一方向に適用されます。 ルールを双方向にするために、方向ドロップダウンメニューをクリックします。
- サイトセクションを展開し、ルールが適用される1つまたは複数のサイトまたはサイトグループを選択します。 デフォルトの値は全てです。
-
ソースセクションを展開し、このルールのトラフィックソースに対して1つ以上のオブジェクトを選択します。
- 種類を選択します(例:ホスト、ネットワークインタフェース、IP、ユーザー、ユーザーグループ、全て)。 デフォルトの値は全てです。
- 必要に応じて、そのタイプのドロップダウンリストから特定のオブジェクトを選択します。
-
宛先セクションを展開し、このルールのために1つまたは複数の宛先オブジェクトを選択します。
- 種類を選択します(例:ホスト、ネットワークインタフェース、IP、ユーザー、ユーザーグループ、全て)。 デフォルトの値は全てです。
- 必要に応じて、そのタイプのドロップダウンリストから特定のオブジェクトを選択します。
-
基準セクションを展開して、ルールにデバイス条件を追加します。 詳細については、ファイアウォールルールにデバイス条件を追加するを参照してください。 デフォルトの値は全てです。
注意: LAN ファイアウォールの基準は、ソケットバージョン26以上でサポートされています。 -
サービス/ポートセクションを展開し、ルールが適用されるプロトコルを次のオプションから選択します。
-
シンプルサービス - リストから関連するLayer 4サービスを選択します。
事前定義されたサービスリストは、それぞれのサービスのRFC定義に基づいています。
- カスタムサービス - "プロトコル/ポート"形式で関連するポートとプロトコルを入力します(例:TCP/80-88、UDP/53、ICMP)
デフォルト値は任意です。
-
-
(オプション) NATセクションを展開し、送信インターフェースでNATを有効にします。 これは、すべての発信IPを1つのNAT IPに変換します。
-
ルールに一致するトラフィックのトランスポートを選択します。 オプションは以下の通りです。
- LAN - トラフィックはSocketによってローカルでルーティングされ、PoPには送信されません
- WAN - トラフィックはPoPへのWAN経由で送信され、検査されます
-
保存をクリックします。
変更は未公開の改訂に保存され、公開または破棄されるまで編集可能です。
新しいLANファイアルールを作成し、トラフィックのアクセス制御を管理するための設定を構成します。 LANファイアルールは、親のLANネットワークルールのスコープ内のオブジェクトのみで構成できます。
Layer 7機能を有効にしたサイト向けのルールには、アプリケーションやドメインなどのアプリケーション層のオブジェクトを条件として含めることができます。 Layer 7機能がないサイトのルールにこれらのオブジェクトを含めると、ルールは正しく機能しません。
注: 同じサイト内でLANファイアウォールルールに一致しないトラフィックは、例えポップへの移動して同じサイトに戻ってきても、WANトラフィックと見なされます。
注記
注意: ソースや宛先フィールドでユーザーまたはユーザーグループオブジェクトを使用する場合、またはルールでデバイス基準を使用する場合は、この機能の有効化と使用についてfeature-releases@catonetworks.comにお問い合わせください。
LANファイアルールを作成するには:
-
ナビゲーションメニューから、Security > LAN Firewallをクリックします。
LANファイアウォールページが表示され、既存の未公開リビジョンまたは最新の公開リビジョンが開きます。
- 新規をクリックし、ドロップダウンメニューから新しいLANファイアルールを選択します。 新しいファイアルールパネルが開きます。
- ルールの名称を入力します。
- スライダーを使用してルールを有効化または無効化します(緑色は有効、灰色は無効)。
-
ルールの位置を構成し、ルールドロップダウンから関連する参照ルールを選択します。これは以下の通りです。
- Before Rule及びAfter Ruleオプションに対して、関連するLANネットワークルールの下でLANファイアルールをルールドロップダウンから選択します。
- First in Rule及びLast in Ruleオプションに対して、このルールの親LANネットワークルールをルールドロップダウンから選択します。
-
ルールの方向を構成します。
- デフォルトでは、ルールは送信元から宛先までの一方向に適用されます。 方向ドロップダウンメニューをクリックして、ルールを双方向に設定します。
-
送信元セクションを展開し、このルールのためのトラフィックソースの1つ以上のオブジェクトを選択します。
- 種類を選択します(例えば:ホスト、ネットワークインタフェース、IP、ユーザー、ユーザーグループ、すべて)。 デフォルト値は任意です。
- 必要に応じて、そのタイプのドロップダウンリストから特定のオブジェクトを選択します。
-
宛先セクションを展開し、このルールのための1つ以上の宛先オブジェクトを選択します。
- 種類を選択します(例えば:ホスト、ネットワークインタフェース、IP、ユーザー、ユーザーグループ、すべて)。 デフォルト値は任意です。
- 必要に応じて、そのタイプのドロップダウンリストから特定のオブジェクトを選択します。
-
アプリ/カテゴリセクションを展開し、ルールのための1つ以上のアプリケーションを選択します。
ルールに複数のアプリ/カテゴリオブジェクトがある場合、それらの間にはOR関係があります。 デフォルト値は任意です。
注記: Layer 7機能が有効なサイトのルールに対してのみ、アプリ/カテゴリオブジェクトを構成してください。 そうでないと、ルールは正しく機能しません。
-
サービス/ポートセクションを展開し、ルールが適用されるプロトコルを次のオプションから選択します。
-
シンプルサービス - リストから関連するLayer 4サービスを選択します
事前定義されたサービスリストは、それぞれのサービスのRFC定義に基づいています。
- サービス - リストから関連するLayer 7サービスを選択します
- カスタムサービス - "プロトコル/ポート"形式で関連するポートとプロトコルを入力します(例:TCP/80-88、UDP/53、ICMP)
デフォルト値は任意です。
-
- このルールのアクションを選択します。 オプションは許可およびブロックです。
-
(オプション) トラッキングオプションを構成してイベントを生成し、通知を送信します。 初回通知が送信された後、周波数はカウントを開始します。
通知に関する詳細情報は、アラート セクションのサブスクリプショングループ、メーリングリスト、およびアラート統合に関する関連記事を参照してください。
-
保存をクリックします。
変更は未公開の改訂に保存され、公開または破棄されるまで編集可能です。
次世代LANファイアウォールポリシーで定義された各ルールのイベント追跡を任意で有効にすることができます。
注意
注意: LANファイアウォールのトラフィックはアプリとネットワーク分析ダッシュボードに表示されません。
イベントはサイト監視 > イベントに表示されます。
- イベントタイプ - セキュリティ
- サブタイプ - LANファイアウォール
LANファイアウォールイベントをフィルタリングするには:
- ホーム > イベントに移動します。
-
フィルターをクリックし、該当するフィールド、演算子、値を選択します。
- フィールド - 複数のフィールドをフィルターとして選択できます。 例えば、"送信元サイト"や"サブタイプ"(LANファイアウォール)でフィルタリングすることができます。
- 演算子 - 特定の値を含むまたは除外する選択(該当、非該当)や複数の値(含む、非該当)を選択できます。例えば、演算子含むで"送信元サイト"を選択すると、複数の送信元サイトを値として選択できます。
- 値 - フィールドの値。
-
フィルターを追加をクリックします。
以下の例では、LANファイアウォールイベントの詳細を確認できます。
- アクション - ブロックまたは監視。 (トラフィックはLANファイアウォールによってローカルでブロックまたは許可されました)
- 設定されたホスト名 - 利用可能であれば、送信元IPに関する追加ホスト情報。
- サブタイプ - LANファイアウォール。 LANファイアウォールによって生成されたすべてのイベントはこのサブタイプになります。
- ネットワークルール - イベントを生成したLANファイアウォールルールの親LANネットワークルール。
- ルール名 - イベントを生成したLANファイアウォールルールの名前。
WANやインターネットファイアウォールとは異なり、LANファイアウォールイベントはCato PoPではなくソケット自体で生成されます。 これらのイベントはサイトトンネルを介して送信され、Cato管理アプリケーションに保存されます。
トンネルを介したすべてのフロートラフィックは、LANファイアウォールイベントより優先されます。LANファイアウォールイベントはデフォルトのQoS優先順位255を持ち、追加のオーバーヘッドを生成する可能性があります。
Catoは、追加のオーバーヘッドを避けるために、高優先度のLANファイアウォールルールのみを追跡することをお勧めします。
0件のコメント
記事コメントは受け付けていません。