ファイアウォールは企業のネットワークを保護し、内部リソースを守るために重要な役割を果たします。 この記事には、組織の最強のセキュリティポリシーを作成するための推奨事項およびベストプラクティスが含まれています。 さらに、ファイアウォールポリシーをクリーンで管理しやすい状態に保つ方法についても説明します。
インターネットファイアウォールは、ネットワーク内のユーザーやデバイスが多種多様なウェブサービス、アプリケーション、コンテンツにアクセスするのを管理するのに役立ちます。 WANファイアウォールは、内部リソースのWANトラフィック、ユーザーとサイト間のトラフィックを管理することができます。 このガイドは、それぞれのファイアウォールでルールを設定して微調整し、セキュリティポリシーの有効性を最大限に高める方法をサポートします。
特定のルール設定に関する詳細は、規則オブジェクトのリファレンスを参照してください。
ファイアウォールルールベースには、許可リストとブロックリストの2つのアプローチがあります。 ファイアウォールのルールベースを許可リストにすることは、ファイアウォールが許可するトラフィックをルールが定義することを意味します。 その他のすべてのトラフィックはファイアウォールによってブロックされます。 ファイアウォールのルールベースをブロックリストにすることはその逆で、ルールがブロックされるトラフィックを定義します。 その他のすべてのトラフィックはファイアウォールによって許可されます。 組織は、自分の特定のニーズや状況に最も適したアプローチを選択します。
-
許可リストのセキュリティポリシーでは、許可ルールに一致しないすべてのトラフィックをブロックするために、最終ルールとしてANY ANYブロックルールがあります
-
ブロックリストのセキュリティポリシーでは、ブロックルールに一致しないすべてのトラフィックを許可するために、最終ルールとしてANY ANY許可ルールがあります
各アプローチに関する推奨事項は、以下のそれぞれのセクションでインターネットおよびWANファイアウォールについて説明されています。
CatoのインターネットおよびWANファイアウォールは、2つの異なるタイプのファイアウォールルールを使用します:
このセクションでは、これらのルールタイプ間の違いと、ファイアウォールがそれらをネットワークトラフィックに適用する際に使用するロジックについて説明します。
Catoは、ネットワークの受信および発信トラフィックを制御するために、ネットワークセキュリティポリシーを定義し、従来のファイアウォールルールを設定することができます。 カトの従来のファイアウォールルールには、次の設定のいずれかまたは複数のみがあります:
従来のファイアウォールエンジンは、最初のパケットでトラフィックを評価します。 例えば、ネットワーク管理者はプロトコルとポートに基づいてファイアウォールのルールを設定できます。 この種のルールの場合、ファイアウォールは最初のパケットに基づいてトラフィックを許可またはブロックすることを決定します。
次のスクリーンショットは、ポート80でTCPトラフィックをブロックする従来のWANファイアウォールルールの例を示しています:
次の図は、ホストAからホストBへのTCP接続の例と、従来のファイアウォールエンジンがブロックルールを評価するポイントを示しています:
注意
注意: 従来のファイアウォールエンジンはパケットを削除しません。 PoPは、宛先(ホストB)にパケットを送信せずにTCPハンドシェイクを完了します。 その理由は、ブロックまたはプロンプト操作のためのインターネットリダイレクトページを表示するためです。 リダイレクトページの詳細については、リダイレクトページカスタマイズを参照してください。
CatoのNGファイアウォールエンジンはステートフルで、アプリケーション層のデータインスペクションを使用してアプリケーションとサービスの完全な把握と制御を行います。 これにより、DPI(ディープ・パケット・インスペクション)と複数のセキュリティエンジンを適用してトラフィックを検査します。 NGファイアウォールエンジンの重要な要素はアプリケーション認識であり、これによりアプリケーションやサービスに基づいてトラフィックを許可またはブロックするルールを定義できます。 NGファイアウォールエンジンは、アプリケーション、カスタムアプリケーション、カテゴリ、カスタムカテゴリ、サービス、FQDN、ドメインなどに基づいてパケット内容をインスペクションします。 例えば、ネットワーク内でuTorrentアプリケーショントラフィックをブロックするためのルールを定義できます。 通信フローのデータ内容を検査するために、ファイアウォールはフロー内の複数のパケットを評価し、アプリケーションとコンテンツペイロードの他の属性を特定するのに役立つパケットも含めます。
次の図は、ホストAからホストBへのTCP接続の例とブロックルールを評価するためのNGファイアウォールのポイントを示しています:
このセクションには、インターネットおよびWANファイアウォールに関連する堅牢なセキュリティポリシーのベストプラクティスが含まれています。
Cato NetworksのWANとインターネットファイアウォールは、順序が指定されたファイアウォールです。 ファイアウォールは接続を順番に検査し、接続がルールに一致するかどうかを確認します。 例えば、接続がルール#3に一致する場合、このルールに対するアクションが接続に適用され、ファイアウォールは接続のインスペクションを停止します。 ファイアウォールは、接続に対してルール#4以下を適用し続けません。
ファイアウォールルールの順序が間違っていると、誤ってトラフィックをブロックまたは許可してしまう可能性があります。 これは悪いユーザーエクスペリエンスやセキュリティリスクを生む可能性があります。 ファイアウォールルールの順序についてさらに詳しくは、ファイアウォールナレッジベース記事を参照してください。
これはほとんどのケースで推奨されるルールベースの順序です:
-
特定のブロックルール
-
一般的な許可ルール
-
特定の許可ルール
-
ANY ANYルール
-
許可リスト (デフォルトWANファイアウォール) は最終的なブロックルールを使用します
-
ブロックリスト (デフォルトインターネットファイアウォール) は最終的な許可ルールを使用します
-
Catoファイアウォールは順序化されたルールベースに従うため、従来のファイアウォールルールよりも前にNGファイアウォールルールを構成すると、DPIエンジンがトラフィックを検査してアプリケーションやサービスを特定してからアクションを適用します。 これは、最初のパケットが通過して宛先に到達できることを意味します。 したがって、従来のルールがネットワークを適切に保護し、最初のパケットにアクションを適用するためには、優先度が高くなり、ルールベース(NGファイアウォールルールよりも前)で上位に配置される必要があります。 すべての従来のファイアウォールルールをNGファイアウォールルールの前にルールベースの最上部に配置することをお勧めします。
詳細については、上記「従来のファイアウォールルールとNGファイアウォールルール」を参照してください。
Catoはまた、DNSトラフィックに関連するリスクをさらに軽減するために、WANとインターネットファイアウォールに対してこれらの構成を推奨しています:
-
DNSの回避的使用をブロックするために、ファイアウォールポリシーで DNS over HTTPS - DoH サービスを制限してください
-
インターネットファイアウォールでDNSトラフィックに対して Parked domain アプリケーション カテゴリをブロックしてください
-
DNSリバインディング攻撃をブロックするためにWANのセグメンテーションを正しく定義してください
ファイアウォールルールのトラッキングオプションを使用すると、ファイアウォールトラフィックイベントや通知を監視および分析できます。 制限されたコンテンツにアクセスしようとするソースを監視しやすくするために、ブロックアクションのためにイベントを生成するルールを設定することをお勧めします。 重大なセキュリティリスクを伴うトラフィックを処理するルールについても、イベントや通知を設定することができます。
ベストプラクティスとして、すべてのインターネットトラフィックを記録するために監視を使用することをお勧めします。 これを実装するには、明示的な任意-任意の許可ルールを最終インターネットファイアウォールルールとして追加し、イベントを生成するように設定してください。 これにより、ネットワーク上のすべてのインターネットトラフィックの可視性が提供され、使いやすさを維持しながら、ネットワークとユーザーをよりよく保護する方法を理解できます。
メール通知とイベントの詳細については、アカウントレベルのアラートおよびシステム通知を参照してください。
時間設定を使用して、ファイアウォールルールの特定の時間範囲を定義できます。 時間範囲外では、ファイアウォールはこのルールを無視します。 この機能を使用すると、インターネットアクセスを制限し、ネットワーク内のアクセス制御を改善できます。 例えば、通常の勤務時間中にのみ、ソーシャルカテゴリへのアクセスをブロックするインターネットファイアウォールルールを定義できます。 クラウドデータセンタへのアクセスを営業時間内のみに許可するWANファイアウォールルールを作成することもできます。 ルールのアクションセクションには、勤務時間内に制限するという事前設定オプションがあります。
カスタム時間制約をスケジュールし、ルールを指定された時間に制限することもできます。 からの時間がまでの時間よりも早く設定されていることを確認してください。さもないと、ルールは正しく機能しません。 1日の終わりと翌日の始まりにまたがる制約を作成したい場合は、2つのルールを作成し、各日の関連時間に対する制約を定義してください。 例: 1つのルールでは、月曜日の23:00から23:59の制約を定義し、2番目のルールでは、火曜日の00:00から01:00の制約を定義します。
注意
注意: 時間制限付きファイアウォールルールはユーザーの種類に基づいて分類が異なります:
-
サイトの場合、設定済みのタイムゾーンが時間制約のあるファイアウォールルールを強制するために使用されます
-
ZTNA ユーザーの場合、時間制約があるファイアウォールルールは、その公開IPアドレスのジオロケーションに基づきます。 これが利用できない場合は、アカウントのタイムゾーンのジオロケーションが使用されます。
シンプルで理解しやすいファイアウォールルールベースは、管理がしやすく、混乱を減らすことで強力なセキュリティポリシーを実施するのに役立ちます。 このセクションの推奨事項は、明確かつ一貫性のあるセキュリティポリシーの作成やミスを避ける手助けをします。
ルールを作成する際は、具体的でユニークな名前を付けます。 自己説明的なルール名は、チームの他の管理者がルールの目的を容易に理解できるようにします。 不適切な名前のルールは、誤解や混乱を引き起こす可能性があります。
例えば、インターネットファイアウォールルールでギャンブルウェブサイトをブロックする場合、ギャンブルをブロックと命名するのが適切で、曖昧なブロックされたウェブサイトとはしないでください。
各個のファイアウォールルールは無効化や有効化が可能です。 ただし、ルールは短期間のみ無効化することをお勧めします。 使用されなくなった古いルールは、無効化せずにルールベースから削除してください。 無効化されたルールは、ルールベースをより複雑にし、管理が困難になります。
ファイアウォールルールを作成する際は、ユーザーまたはサイトのグループを利用し、このグループのメンバーに対してネットワークアクセスを制限します。 たとえば、ユーザーのグループ(リソース > グループ)を作成し、このグループに対してのみインターネットアクセスをブロックすることができます。
例外は強力なファイアウォールルールツールですが、これによりルールベースの読み取りが難しくなる可能性があります。 ルールで例外を使用する場合は、例外が含まれていることが明らかになるようにルールに名前を付けます。 例えば、Socialをブロック(例外あり)。
Catoのインターネットファイアウォールはインターネットトラフィックをインスペクションし、インターネットアクセスを制御するためのルールを作成できます。 インターネットファイアウォールは、サイトやユーザーからウェブサイト、カテゴリ、アプリケーションなどへのアクセスを許可またはブロックするセキュリティルールのセットに基づいています。 インターネットファイアウォールのデフォルトのアプローチはブロックリスト(ANY ANY 許可)です。
以下のスクリーンショットはCato管理アプリケーションのサンプルインターネットファイアウォールポリシーを示しています(セキュリティ > インターネットファイアウォール):
このセクションには、アカウントのインターネットアクセスを保護するためのベストプラクティスが含まれています。
QUICはUDPの上に構築された新しいマルチプレクストランスポートです。 HTTP/3 is designed to take advantage of QUIC's features, including lack of Head-Of-Line blocking between streams. The QUIC project started as an alternative to TCP+TLS+HTTP/2, with the goal of improving user experience, particularly page load times. CatoはQUICトラフィックおよびGQUIC(Google QUIC)トラフィックを識別しブロックすることができます。
ファイアウォールまたはネットワークルールでQUICトラフィックを管理するには、関連するルールにサービスQUICとアプリケーションGQUICを使用します。 以下は、アカウントのQUICトラフィックをブロックするインターネットファイアウォールルールの例です:
Since the QUIC protocol works over UDP 443, encapsulated HTTP traffic is not parsed. これは、アプリケーション分析画面がアプリケーション自体ではなくQUICトラフィックのためのエントリのみを示すことを意味します。
したがって、ブラウザがデフォルトのHTTPプロトコルバージョンを使用するように、HTTP 3.0とQUICではなく、QUICおよびGQUICトラフィックをブロックする特定のルールを作成することをお勧めします。 これにより、QUICサービスやGQUICアプリケーションの使用状況の報告だけでなく、使用されているアプリケーションの詳細な分析が提供されます。
For rules that allow Internet access, we recommend that you select a specific site, host or user in the Source column, instead of using the option Any. インターネットに対する任意のトラフィックを許可するルールは、予期しないソースからのトラフィックを許可するため、潜在的なセキュリティリスクです。
次のスクリーンショットは、送信元列が全てのサイトおよび全てのSDPユーザーに設定され、すべてではなくなっているルールを示しています:
Anyを一部の設定で使用するインターネットファイアウォールルールは、重要で有益な情報を含まないイベントを生成する可能性があります。 例えば、全てのアプリケーションで構成されたルールは、トラフィックフロー内のアプリケーションを特定しないイベントを生成する可能性があります。 これは、ファイアウォールがアプリケーション識別を完了する前にあらゆるアプリケーションがルールに一致するために、規則をトリガーするからです。 その後、Catoセキュリティスタックがアプリケーション識別プロセスを完了すると、このアプリケーション使用データはアプリケーション分析画面に含まれます。 ただし、イベントはすべて同じ情報を含んでいるわけではないため、アプリケーションの使用状況をさらに調査することが難しい場合があります。
アプリケーション使用の分析を改善するために、ルール条件でのAnyの使用を最小限に抑え、特定のアプリケーション、サービス、ポートなどを使用した詳細なルールをお勧めします。
特定のサービスまたはポートのためにインターネットアウトバウンドトラフィックを許可するファイアウォールルールを構成する必要がある場合、潜在的なセキュリティリスクを含むカテゴリまたはアプリケーションをブロックすることをお勧めします。
例えば、すべてのHTTPトラフィックを許可するルールがある場合、次のようなカテゴリに例外を追加してください: チート、ギャンブル、暴力とヘイト、パークドドメイン、ヌード、武器、性教育、カルト、および匿名化ソフト。 これらは悪意のあるコンテンツを含む可能性のあるカテゴリの例であり、例外はこれらのカテゴリへのインターネットアクセスをブロックします。
一般に、インターネットトラフィックを許可するルールには、通常のプレインテキストプロトコルの代わりに安全で暗号化されたプロトコルを使用することをお勧めします。 例えば、FTPの代わりにFTPSを、TelnetやSNMPの代わりにSSHを使用してください。 セキュアプロトコルで許可されたインターネットトラフィックは暗号化され、ハッカーがそれを傍受して解読するのは非常に困難です。
セキュリティリスクが少ないウェブサイトへのアクセスを許可するルールがある場合、許可の代わりに確認アクションを使用することをお勧めします。 ユーザーがこれらのウェブサイトのいずれかにアクセスしようとすると、確認アクションはユーザーをウェブページにリダイレクトし、続行するかどうかを決定します。 これらのウェブサイトはネットワークにセキュリティリスクを追加するため、このルールに一致するトラフィックのイベントを追跡することをお勧めします。
確認アクションが正しく機能するために、サポートされているすべてのデバイスにCato証明書をインストールすることをお勧めします。
ルールに多くのカテゴリを含めると、ルールベースの管理が難しくなります。 代わりに、すべての関連カテゴリを含むカスタムカテゴリを定義し、この単一のカスタムカテゴリをルールに追加できます。 1つのカスタムカテゴリを使用するシンプルなルールを定義することで、ルールベースを読みやすく検索しやすくなります。
例えば、すべてのカテゴリ、アプリケーション、サービスを含むインターネットプロファイルというカスタムカテゴリを作成し、関連するインターネットファイアウォールルールにこのカスタムカテゴリを追加できます。 ルールを最新の状態に保つために、単にカスタムカテゴリを編集して、必要な更新を削除または追加することができます。
以下は、カスタムカテゴリを使用してベストプラクティスを実施するための追加の提案です:
-
確認アクションで定義したいすべてのトラフィックのためにルールを作成します。 次に、すべての関連するURLとカテゴリを含むPrompt Sitesというカスタムカテゴリを作成し、ルールに追加します。 確認アクションの推奨カテゴリには、チーティング、ギャンブル、暴力と憎悪、悪趣味、パークドドメイン、武器、性教育、カルト、アノニマイザーが含まれます。 一致するトラフィックのイベントを生成するためにルールのトラッキングを設定します。
-
ブロックアクションで定義したいすべてのトラフィックのためにルールを作成します。 次に、すべての関連するURLとカテゴリを含むBlock Sitesというカスタムカテゴリを作成し、ルールに追加します。 ブロックアクションの推奨カテゴリには、ボットネット、危険、ポルノ、キーロガー、マルウェア、フィッシング、スパイウェア、違法薬物、ハッキング、スパム、問題のあるものが含まれます。 ルールのトラッキングを設定して、トラフィックに一致するイベントを生成します。
インターネットファイアウォール内の最終ルールは暗黙のAny - Any - Allowルールですが、明示的なAny - Any - Allowルールを最終ルールとして追加することをお勧めします。 この方法で、すべてのインターネットトラフィックを簡単にログできます。全てのルールのためにイベントを追跡することを選択するだけです。
許可リストの動作を持つインターネットファイアウォールを実装することは、デフォルトでファイアウォールがすべてのインターネットトラフィックをブロックすることを意味します。 企業のセキュリティポリシーのニーズに応じて、インターネットトラフィックを特に許可するルールをファイアウォールに追加します。
Cato管理アプリケーションで許可リストインターネットファイアウォールを実装するには、ルールベースの下部にある最終ルールが任意のソースから任意の宛先へのすべてのトラフィックをブロックする明示的なルールである必要があります。 以下の例を参照してください:
ネットワーク上のインターネットトラフィックを監視および分析するのに役立つイベントを生成するために、最終ルールのトラッキングを有効にすることもお勧めします。
このセクションでは、許可リストアプローチを使用するインターネットファイアウォールのルールベースに含めることをお勧めするルールについて説明します。
HTTPおよびHTTPSトラフィックを許可する場合、リスクがあり不適切なコンテンツを含むウェブサイトをブロックすることをお勧めします。 これらのウェブサイトは通常企業によってブロックされ、またマルウェアの潜在的な原因となる可能性があります。 各カテゴリ(リソース > カテゴリ)には、ルールに簡単に追加できる様々なウェブサイトおよびアプリがあります。 カテゴリ例として、ボットネット、損傷したもの、ポルノ、キー ロガー、マルウェア、フィッシング、スパイウェア、違法薬物、ハッキング、スパム、疑わしいものが含まれます。
ルールベースの最上部に、インターネットトラフィックの一部としてすべてのDNSサービスを許可するルールがあることを確認してください。
次のスクリーンショットはDNSトラフィックを許可するルールの例を示しています:
アカウントが使用し、インターネットへのアクセスを必要とするサービスを許可するルールを作成します。 さらに、特定のサイトでのみ使用されるサービスがある場合は、それらのサイトへのアクセスのみを許可する別のルールを作成できます。
組織で使用されているアプリケーションを、事前定義されたアプリケーションリストからインターネットファイアウォールルールに追加します。 Catoはこのリストを新しいアプリケーションで継続的に更新します。 リストに表示されないアプリケーションが必要な場合は、カスタムアプリケーションを定義できます。 カスタムアプリケーションの設定に関する詳細については、カスタムアプリケーションの操作を参照してください。
ブロックリスト動作を持つインターネットファイアウォールを実装することは、デフォルトでファイアウォールがすべてのインターネットトラフィックを許可することを意味します。 企業のセキュリティポリシーのニーズに応じて、特定のインターネットトラフィックをブロックするルールをファイアウォールに追加してください。 ブロックリストングはインターネットファイアウォールのデフォルト構造で、ルールによってブロックされていないトラフィックを許可します。
さらに、お勧めする方法として、学習期間を利用して不要なインターネットトラフィックを特定することがあります。 この学習期間中には、最下部に任意のソースから任意の宛先へのトラッキングが有効になっているトラフィックを許可するルールを一時的に追加してください。 このルールは、インターネットへのアクセスが許可されたすべての接続に対してイベントを生成します。 アカウントのインターネットトラフィックをレビューした際に不要なトラフィックを識別した場合、それをブロックするためのルールを追加できます。
ファイアウォールイベントに関する詳細については、ネットワークのイベント分析を参照してください。
このセクションでは、ブロックリストアプローチを使用するインターネットファイアウォールのルールベースに含めることをお勧めするルールについて説明します。
TelnetとSNMP v1 & v2のようなサービスは潜在的なセキュリティリスクであり、インターネットルールベースでブロックできます。 組織がこれらのサービスにアクセスする必要がある場合、特定のユーザーまたはグループに対してブロックルールへの例外を追加することをお勧めします。
以下のスクリーンショットは、Telnet and SNMPトラフィックをブロックするルールのサンプルと、IT部門のアクセスを許可する例外を示しています:
カテゴリ未分類には、カテゴリリストの既存のカテゴリに割り当てられていないウェブサイトが含まれています。 これらのウェブサイトは、ネットワークに対する潜在的なセキュリティリスクとなる可能性があります。 すべてのインターネットトラフィックに対して、カテゴリ未分類をブロックするルールを作成してください。
カトのRBIサービスを使用して未分類サイトへの安全なアクセスを有効にすることもできます。 RBIに関する詳細については、リモートブラウザ分離(RBI)を通じたブラウジングセッションの保護を参照してください。
CatoのWANファイアウォールは、Cato Cloudに接続された異なるネットワーク要素間のトラフィックを制御する責任があります。 WANファイアウォールを使用すると、ネットワーク上のWANトラフィックを制御して最適なネットワークセキュリティを実現できます。
WANファイアウォールはデフォルトですべての接続をブロック(許可リスト方式)を使用します。 これは、特定のWANファイアウォールルールを定義しない限り、サイトとユーザー間の接続がすべてブロックされることを意味します。
The following screenshot shows an example WAN firewall policy in the Cato Management Application (Security > WAN Firewall)
このセクションには、アカウントのWAN接続性を確保するためのベストプラクティスが含まれています。
WANファイアウォールの黄金ルールは、必要なトラフィックのみを許可することです。 これらの許可ルールには、使用されている特定のサービスとポートを追加して、WANファイアウォールのセキュリティ強化接続を提供してください。
以下のスクリーンショットは、すべてのZTNA ユーザーがデータセンターサイトにアクセスできるサンプルWANファイアウォールルールを示しています。 このルールは、ZTNA ユーザーに対してのみリモートデスクトッププロトコルトラフィックを許可するため、セキュリティが向上します。
いずれかのソースまたは宛先へのアクセスを許可するWANファイアウォールルールは、特定のサイトやユーザーよりもセキュリティが低くなります。 より具体的な設定により、アカウントのWAN接続性を制御するための制御が強化されます。
次のスクリーンショットは、ソースおよび宛先設定で特定のサイトを使用するWANファイアウォールルールの例を示しています:
一部の設定でAnyを使用してWANファイアウォールルールを設定する際、ルールに関連するイベントには必ずしもすべての関連データが含まれるわけではなく、アプリケーション使用の分析が困難になる可能性があります。 Any設定を使用したルールのイベントについての詳細は、上記「詳細なルールでイベントデータを改善する」を参照してください。 アプリケーション使用の分析を改善するために、ルール条件でのAnyの使用を最小限に抑え、特定のアプリケーション、サービス、ポートなどを使用した詳細なルールをお勧めします。
許可リスト動作を持つWANファイアウォールを実装することは、デフォルトでファイアウォールがサイト、サーバー、ユーザー間のすべてのWAN接続をブロックすることを意味します。 ネットワーク内のWANトラフィック接続を特定できるようにファイアウォールにルールを追加してください。 許可リストはCato WANファイアウォールのデフォルト構造であり、WANルールベースの暗黙の最終ルールはANY ANY ブロックです。
WAN内の任意の送信元から任意の宛先への接続を許可するルールを追加しないことを強くお勧めします。 このタイプのすべてすべて許可ルールは、ネットワークを重大なセキュリティリスクにさらします。
許可リストWANファイアウォールの強力なセキュリティポリシーには、組織で使用される特定のサービスとアプリケーションのみを許可するルールが含まれています。 サイト間のトラフィックに対して任意のサービスを許可するルールを使用する代わりに、サービスまたはアプリケーションをこのルールに追加します。 サービスはポートよりも具体的であるため、可能であればポートではなくサービスを使用してルールを定義することをお勧めします。
組織でよく使用されるサービスの例: DNS、DHCP、SMB、データベース、Citrix、リモートデスクトッププロトコル、DCE/RPC、SMTP、FTP、ICMP、NetBIOS、NTP、SNMPなどがあります。
組織でよく使用されるアプリケーションの例: SharePoint、Slack、Citrix ShareFileなどがあります。
すべてのアプリケーションとサービスを含むカスタムカテゴリを作成し、このカスタムカテゴリを関連するルールに追加することもできます。 ファイアウォールで事前定義されていないアプリケーションやサービスには、カスタムアプリケーションを使用してください。 これにより、イベントにはより良い分析のためにアプリケーション名を含めることができます。
ブロックリスト動作を持つWANファイアウォールを実装することは、デフォルトでファイアウォールがサイト、サーバー、ユーザー間のすベてのWAN接続を許可することを意味します。 企業のセキュリティポリシーのニーズに応じて、特にWANトラフィックをブロックするルールをファイアウォールに追加します。 WANセキュリティポリシーには、このアプローチを使用することをお勧めしません。 しかし、組織がそれを使用している場合は、不要なWANトラフィックをブロックしていることを確認してください。
Cato管理アプリケーションでブロックリストWANファイアウォールを実装するには、ルールベースの最下部に "すべて すべて 許可" ルールが含まれています。
0件のコメント
サインインしてコメントを残してください。