Cato WANファイアウォールとは何ですか?

この記事は、アカウントのためのWANファイアウォールに関する背景情報を提供します。

WANファイアウォールを使用する詳細については、WANファイアウォールポリシーの管理をご覧ください。

Cato WANファイアウォールの概要

Catoクラウド内のWANファイアウォールは、あなたの広域ネットワーク(WAN)内のオブジェクトやエンティティへのアクセスを制御します。 WANファイアウォールのルールベースを設定して、安全なアクセス制御ポリシーを作成し、ネットワークを保護します。

WANファイアウォールは、Catoクラウドに統合された次世代ファイアウォール(NGFW)の一部であり、ネットワークへの不正アクセスを防ぐためのルールを作成できます。 WANファイアウォールはホワイトリスト方式を使用し、ルールベースで明示的に許可されていないすべての接続をドロップするデフォルトのANY-ANYブロックルールがあります。

ルールを使用してファイアウォールを設定し、すべての接続を検査して、設定済みの設定に一致するものだけを許可します。 ファイアウォールは、順序付けられたルールベースを使用します。 これは、接続を検査し、最初のルールと一致するかどうかを確認することから始まります。 一致しない場合、接続がルールに一致するまで、各ルールを順番に適用し続けます。

WANファイアウォールには、ユーザー認識を備えたフルレイヤー7機能が含まれており、WAN上の特定のアプリケーションへのゼロトラストアクセスポリシーを許可します。

ユースケース - 承認済みのビデオ会議デバイスメーカーのみを許可する

セキュリティ管理者はい、ロンドン支社のサイトにある会議室のセキュリティポスチャーを確認するタスクを受け取ります。 管理者は、デバイスインベントリページに移動し、フィールド - デバイスタイプ, オペレーター - 含む, 値 - ビデオ会議でフィルタリングし、ロンドンサイトのすべてのビデオ会議デバイスを確認します。 管理者は、複数の異なるメーカーからビデオ会議デバイスがあることに気付き、これは組織のセキュリティポリシーに適合していません。 ITチームはすでにIoTセキュリティライセンスを取得しており、デバイス属性設定を使用して、ビデオ会議デバイスに対して承認された2つのメーカーのみを許可する新しいルールをWANおよびインターネットファイアウォールポリシーに作成します。 ロンドンサイトのビデオ会議デバイスの一部は、承認済みメーカーの新しいデバイスに交換されるまで、ファイアウォールポリシーによってブロックされているため、作動しなくなります。

自律型ファイアウォールインサイトの理解

WAN_firewall.png

WAN自律ファイアウォールインサイトは、ポスチャーチェックのリストであり、WANファイアウォールポリシーを評価し、Catoの推奨事項にどのように準拠しているかを示します。 これらの推奨事項に従うことで、ファイアウォールの設定を最適化し、セキュリティポスチャーを改善します。

インサイトには2種類があります。

  • 星アイコン(AIによる自動化):WANファイアウォールポリシーで有効なルールがAIによって自動的に分析され、例えば、破棄や変更が可能なルールのような問題を検出します。

    • 一時的なルール: 短期的な解決策として、即時のニーズに対処するために導入されました。 これらのルールは、適切または永続的なソリューションが導入または開発されている間に一時的に機能するために作成されることがほとんどです。
    • テストルール: 特定の機能やシナリオを検証、デバッグまたは実験するために明示的に作成されたルール。
    • 期限切れのルールまたは将来の有効期限を持つルール: 特定のニーズに対処するために作成されたルールで、既に経過したまたはまだ到達していない望ましい終了日を持つ。

    • 許可が多すぎるルール: ルールに定義されたユーザー、ホスト、アプリ、プロトコルに基づいて、過剰に許可されている可能性があるルール。 このインサイトは、トポロジーのヒューリスティクスを使用して、ゼロトラスト戦略によりよく従うためにルールから余分な項目を削除することをお勧めします。

      例えば、ユーザーアクセスを特定のゼロトラストサンプル管理者で条件付け、デバイスポスチャプロフィールにより制限し、アプリケーションをRDPのみに制限し、プロトコルをTCPのみに制限する。

    • 未使用のルール: 過去60日間にイベントを生成していない許可アクションを持つファイアウォールルールを特定します。
  • 設定ベース: インターネットファイアウォールポリシー内の設定と設定は、ベストプラクティスに従うことを保証します。

WANファイアウォール構成ウィザードの利用

WANファイアウォール構成ウィザードは、これらのチェックとインサイトを使用してポリシーを自律的にレビューします。 チェックが失敗した場合、ウィザードで個々のルールを編集せずにポリシーを直接レビューし、更新できます。 これにより、ポリシー管理を簡素化しながらセキュリティを維持するのに役立ちます。 詳細については、構成ウィザードの使用をご覧ください。


Catoファイアウォールでのアンチスプーフィング保護

NGFWの基本的な機能の一つは、アンチスプーフィング攻撃を防ぐことです。 Cato Cloud のセキュリティエンジンは、構成されたエンティティの範囲外にある場合、暗黙的に接続を拒否します(サイト、ネットワーク範囲、デバイス、ユーザーなど)。 これにより、アンチスプーフィング攻撃をブロックし、設定された論理トポロジーの違反を防ぎます。

順序付きルールの操作

WANファイアウォールは接続を順次検査し、接続がルールに一致しているかどうかを確認します。 ルールベースの最後のルールは、デフォルトのANY-ANYブロックルールです。接続がルールに一致しない場合、デフォルトの最終ルールによってブロックされます。 強力なアクセス制御ポリシーには、WAN内の特定の接続とトラフィックを許可するファイアウォールルールが含まれています。

ルールベースの最後のデフォルトルールセクションでデフォルトルール設定を確認できます。 これらのルール設定は編集できません。

ルールベースの上部にあるルールは、ルールベースの下部にあるルールよりも優先順位が高いため、接続に先に適用されます。 例えば、接続がルール3に一致する場合、アクションが接続に適用され、ファイアウォールはそれ以上検査を行いません。 ファイアウォールは接続に対してルール4以降を適用し続けません。 WANファイアウォールの効率を向上させ、多くの接続に一致するルールに優先順位を付けることができます。

単一ルールでの複数オブジェクトの操作

アプリケーションサービスなど、複数の列にオブジェクトがあるルールがある場合、それらの間にはAND関係があります。 例えば、ポート443に対するバックアップサービスアプリケーションを許可するルールがある場合、トラフィックはアプリケーションとポートの両方に一致したときに許可されます。

単一の列内で複数のオブジェクトを使用するルールの場合、例えば複数のポートの場合、それらの間にはOR関係があります。 例えば、SMTPサービスとポート25、265、587、および2525のメールサーバーへのアクセスを許可するルールがある場合、トラフィックはSMTPサービスまたはポートのいずれかに一致したときに許可されます。

  • 注意:各ルールは最大64の条件を持つことができ、それらの間にAND関係があります。例外はルールの制限に含まれます。 例えば、ソースとサービスの2つのAND条件を持つルールがあり、そのルールが25の例外を持ち、それぞれが3つのAND条件(ソース、アプリ、およびサービス)を持つ場合、ルールは77の条件を持っています。 これはサポートされる制限64条件を超えているため、ルールが正しく機能しない可能性があります。 ただし、ルールの同じ列に64以上のオブジェクトを割り当てることができます。なぜなら、そこにはOR関係があるからです。 例えば、1つのルールに64以上のアプリを割り当てることができます。

ヒット数の理解

ヒットカウントは、ポリシーから削除できる未使用のルールを特定し、必要なトラフィックスコープとより一致するようにルール設定を最適化するのに役立ちます。 ルールのヒットカウントは、ルールによって生成されるイベントの数に基づきます。 ルールがイベントを生成しない場合、ヒットカウントはゼロです。

ヒットカウントには2つの数値があります:

  • ポリシー内で各ルールによって生成されるイベントのおおよその数
  • 他のルールに対してルールがどのくらい頻繁にヒットされるか(パーセンタイルでランク付け)

ステータスバーの色に基づいて、最も高いヒットカウントと最も低いヒットカウントのルールをすばやく特定できます。 この色は、他のルールと比較したときのルールのヒット頻度を反映しています:

  • 青: 0 - 24パーセンタイル
  • 緑: 25 - 49パーセンタイル
  • オレンジ: 50 - 74パーセンタイル
  • 赤: 75 - 100パーセンタイル

ヒットカウンターのリセットと更新

Reset.png

ヒット数の値は毎24時間自動的に更新され、過去14日のトラフィックを基にしています。 各ルールの終わりにある3つの点から、最新の可視性のためにヒット数をリセットまたは更新することができます。 これにより、ルールの効果を正確に測定し、ルール活動を即時に検証することができます。

  • 特定のファイアウォールルールのヒットカウンターをリセットすると、ヒット数は0に戻ります。
  • ヒットカウンターを更新すると、すべてのファイアウォールルールでヒット数が要求に応じて更新されます。

ポリシーの改訂と複数管理者による同時編集

WANファイアウォールは、異なる管理者がポリシーを並行して編集できるようにします。 各管理者は、ルールベースを編集し、自分のプライベートな改訂に変更を保存し、それをアカウントポリシー(公開改訂)に公開できます。 ポリシーリビジョンの管理方法について詳しくは、ポリシーリビジョンの操作 を参照してください。

ルールの時間設定の構成

ルールの時間設定を構成して、指定した日付と時刻に有効または無効になるようにすることができます。 時間 ドロップダウンで、毎日スケジュール または アクティブ期間を構成できます。

これらのオプションを両方設定することにより、例えば2025年5月の週日にルールをアクティブにすることができます。 または、要件に応じてそれぞれのオプションを独立して設定することもできます。

Time.png

日次スケジュールの理解

毎日スケジュールは、ルールがアクティブになるスケジュールを定義します。 ルールにスケジュールが設定されている場合、ルールテーブルのアクション列に時計のシンボルが表示されます。

毎日スケジュールのオプションは次の通りです:

  • 時間制限なし:ルールにはスケジュールはありません。 これはルールのデフォルトの動作です。
  • 勤務時間に制限:ルールはCato管理アプリケーションで設定された就業時間内のみアクティブです。 勤務時間の詳細については、アカウント用のデフォルトの勤務時間の定義をご参照ください。

  • カスタム:ルールがアクティブになる日と時間を選択します。 再発オプションをオフにし、ルールの時間設定の日付を選択します。

    • 繰り返し:時間設定は、一週間に複数回適用されます。例えば、毎週火曜日の9:00から17:00まで。

アクティブ期間の理解

アクティブ期間は、UTCでルールがアクティブになる日時を定義します。 有効日フィールドが選択されていない場合、ルールは保存および公開された直後にアクティブになります。

ルールテーブルで、アクティブ期間が定義されている場合、アクション列に砂時計のシンボルが表示されます。 シンボルの色は状態を反映します:

  • 黒:ルールはアクティブではなく、将来アクティブになります。
  • 緑:ルールはアクティブです。
  • 赤:ルールは期限切れです。

WANファイアウォールルールの設定の理解

このセクションでは、WANファイアウォールのルールベースのルールに関するフィールドと設定を説明します。 WANファイアウォールの十分な理解は、企業ネットワークのアクセス制御をうまく管理するのに役立ちます。

ルールアクション

次の表は、各ファイアウォールルールがネットワークトラフィックに適用できるアクションを示しています。 イベントを生成するアクションについては、ホーム > イベントでイベントログを表示できます。

アイテム 説明
許可 ファイアウォールは一致するトラフィックを許可します。
ブロック ファイアウォールは一致するトラフィックをブロックします。
確認

ファイアウォールは一致するトラフィックをメッセージ付きのウェブページにリダイレクトします。 ユーザーは続行するかどうかを決定するよう促されます。 確認ウェブページをカスタマイズすることができます。警告/ブロックページのカスタマイズをご覧ください。

Catoの確認ページは、ユーザーの同意を管理するためにJavaScriptとセッションcookieを使用するHTMLページです。 これらのcookieはドメイン固有で一時的であり、ブラウザが閉じられると通常削除されます。 Catoは現在、3つのcookie名のプレフィックス(tls_cert_errfw_wan、およびfw_inet)を使用しています。 Cookieの処理とセッションの永続性は、ユーザー設定と行動、ブラウザ、オペレーティングシステムによります。

確認ページ後にユーザーが続行を選択したときのイベントを確認するには、イベントページをフィルタして、確認アクションフィールドに進行するの値を設定しているイベントを表示します。

ルールベース列

次の表は、WANファイアウォールルールベース内の各列を説明します。 ルールに複数の列が設定されている場合、それらの間にはAND関係があります。

ルールのソース宛先アプリ、およびカテゴリアイテムの詳細については、Reference for Rule Objectsを参照してください。

アイテム 説明
#

WANファイアウォールルールベースでのルールの優先度を表示します。

  • ルールの順序フィールドを使用して、ルールの優先度を変更します。
  • 有効トグルを使用してルールを有効または無効にします。 トグルは有効化されると緑になりますtoggle.png
名前 ルールに対して名前を入力します。
ソース このルールのトラフィックのソース
基準

条件付きアクセスを定義する対象は、エンドユーザーの実際のデバイスまたはネットワーク上で通信する他のデバイスの属性に基づいています。例えば、IoT/OT。 オプションには以下が含まれます:

  • デバイス属性 - デバイスインベントリ検出エンジンによって識別されたデバイスの属性
  • プラットフォーム - デバイスのオペレーティングシステム(OS)
  • - デバイスの物理的な位置に基づく接続のソース国 (IPアドレスの位置情報による)
  • デバイスポスチャプロファイル - デバイスプロファイル(アクセス>デバイスポスチャで設定済み)
  • 接続元 - デバイスの位置情報(リモートまたはサイトの裏)
方向

ルールの方向を示します。 オプションには以下が含まれます:

  • 宛先 - このルールは一方向のみのトラフィックを許可します。ソースから宛先。 例えば、サイトAlphaは、サイトBravoとの接続が許可されていますが、サイトBravoはサイトAlphaに接続できません。
  • 双方向 - このルールは、ソースおよび宛先の双方向でトラフィックを管理します。
宛先 このルールのトラフィックの宛先
アプリ/カテゴリ 特定のアプリケーション、カテゴリ、およびその他のオブジェクトの一致するオブジェクトにのみ適用されます。
サービス/ポート 指定されたサービスとポートに一致するトラフィックにのみ適用されます。
アクション

ルールに一致するトラフィックに指定されたアクションを適用します。

例えば、トラフィックがブロックされると、接続がドロップされ、低優先度のルールはこの接続に適用されません。
トラッキング ルールが一致すると、イベントが生成されるか、メール通知アラートが指定されたリストに送信されます。
ヒット数 このルールのヒット数
More_icon.png

これらのオプションを含むドロップダウンメニューを開きます:

  • 上にルールを追加 - 選択されたルールの上に新しいルールを追加します。
  • 下にルールを追加 - 選択されたルールの下に新しいルールを追加します。
  • ルールの複製:同じセクション内で、元の選択されたルールの直接下に新しい同一のルールを作成します。
  • ルールを移動:ルール順序で異なる位置を定義することでルールの優先度を変更します。
  • 例外を追加 - 選択されたルールに新しい例外を作成します。
  • 有効化する/無効化する - ルールが無効化されている場合、ファイアウォールはDNSポリシーの設定に対して接続を検査しません
  • ルールイベントを表示 - イベントページをルールに関連するイベントのために事前フィルタリングして表示します
  • ルールの削除 - 選択したDNSポリシーを削除する

WANファイアウォールの関連リソース

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント