Catoインターネットファイアウォールとは何ですか?

この記事では、アカウントのインターネットファイアウォールに関する背景情報を提供しています。

インターネットファイアウォールの設定方法については、インターネットファイアウォールポリシーの管理を参照してください。

概要

インターネットファイアウォールは、WANとインターネット間のトラフィックを検査し、このトラフィックを制御するためのルールを作成することができます。 WANファイアウォールと同様に、インターネットファイアウォールは順序付けられたルールベースを使用し、最初のルールから接続は各ルールに従って検査されます。インターネットファイアウォールはブラックリストアプローチを使用します。これは、ルールベースで明示的にブロックされていないトラフィックと接続を許可する暗黙のANY - ANYルールがあることを意味します。インターネットファイアウォールは、ユーザー認識を含む完全なレイヤー7機能を備えており、特定のアプリケーションに対してルールを作成することができます。例えば、インターネットファイアウォールを使用して以下を行うことができます:

FacebookやLinkedInなどの特定のウェブサイトをブロック
銃、アルコール、ギャンブルなど不適切なウェブサイトのカテゴリをブロック
IT部門のみがリモート管理アプリケーション（SaaSおよびIaaS）を使用することを許可

自律型ファイアウォールインサイトの理解

自律型ファイアウォールインサイトは、インターネットファイアウォールポリシーを評価し、Catoの推奨にどのように準拠しているかを示すベストプラクティスのリストです。これらの推奨事項に従うことで、ファイアウォールの設定を最適化し、セキュリティ状況を向上させます。

インサイトは2種類あります：

スターアイコン（AIによる）：インターネットファイアウォールポリシーで有効化されたルールは人工知能（AI）によって自動的に分析され、問題を検出します。例えば、廃止または修正できるルールなど：
- 期限切れルール または 将来の有効期限のあるルール： 特定のニーズに対処するために作成され、期限がすでに過ぎた、または未到達、または証明/評価できない有効期限を持つルール。
- 仮ルール： 緊急のニーズに対処するための短期的な解決策として導入されました。これらのルールは、適切または永久的な解決策が展開または開発される間、主に一時的に機能するように作成されます。
- テストルール： 特定の機能やシナリオを検証、デバッグ、実験するために明示的に作成されたルール。
- 未使用ルール： 過去60日間にイベントを生成しなかった許可アクションを持つファイアウォールルールを識別します。
- 矛盾するルールチェック: 同一の条件だが異なるアクションを持つファイアウォールルールを識別し、低優先のルールが適用されない可能性がある競合を生じさせる可能性があります。
構成ベース： インターネットファイアウォールポリシー内の設定がベストプラクティスに従うようにするための構成です。

インターネットファイアウォール構成ウィザードの使用

インターネットファイアウォール設定ウィザードは、これらのチェックとインサイトを使用して、ポリシーを自律的にレビューします。チェックが失敗した場合、個別のルールを編集せずにウィザード内でポリシーを見直し、更新することができます。これにより、ポリシー管理を簡素化しながらセキュリティを維持します。詳細については、設定ウィザードの使用を参照してください。

Catoファイアウォールでのアンチスプーフィング保護

NGFWの基本機能の1つは、アンチスプーフィング攻撃から保護することです。 Cato Cloud内のセキュリティエンジンは、設定されたエンティティ（サイト、ネットワーク範囲、デバイス、またはユーザーなど）の範囲外のソースIPとの接続を暗黙的にドロップします。これにより、アンチスプーフィング攻撃をブロックし、設定された論理トポロジーの違反を防ぎます。

順序付きルールの管理

インターネットファイアウォールが接続を順次検査し、接続がルールに一致するかどうかを確認します。ルールベースの最終ルールは、暗黙のANY - ANY許可ルールですので、接続がルールに一致しない場合は、最終的な暗黙のルールによって許可されます。

ルールベースの上位にあるルールは、接続に対して最初に適用されるため、より高い優先度となります。接続がルール#3に一致すると、アクションが接続に適用され、ファイアウォールはそれ以上の検査を停止します。ファイアウォールは接続に対してルール#4以下を適用し続けません。

単一のルールに複数のオブジェクトを扱う

複数の列にオブジェクトがあるルールが存在する場合、例えばアプリケーションとサービス、それらの間にはANDの関係があります。例えば、Netflixアプリケーションをポート443でブロックするルールがある場合、アプリケーションとポートの両方に一致したときにトラフィックがブロックされます。

単一の列で複数のオブジェクトを使用するルールの場合、例えば複数のアプリケーションがある場合、それらの間にはORの関係があります。例えば、Netflix、iTunes、YouTubeアプリケーションへのアクセスをブロックするルールがある場合、トラフィックは任意のアプリケーションに一致したときにブロックされます。

注意

注意：各ルールには最大64の条件を持つことができ、AND関係があり、ルールの例外はルール制限に含まれます。例えば、2つのAND条件（ソースとサービス）を持つルールがあり、3つのAND条件（ソース、アプリ、サービス）を持つ25 の例外がある場合、ルールは77の条件を持つことになります。これにより、64条件のサポートされている制限を超え、ルールが正常に機能しない可能性があります。ただし、ルール内の同じ列内に64以上のオブジェクトを割り当てることができ、それらの間にはOR関係があります。例えば、1つのルールに64以上のアプリを割り当てることができます。

ヒット数の理解

ヒット数は、ポリシーから削除できる未使用のルールを特定し、必要なトラフィック範囲により適合するようにルール構成を最適化するのに役立ちます。ルールのヒット数は、ルールによって生成されたイベント数に基づいています。ルールがイベントを生成しない場合、ヒット数はゼロです。

ヒット数には2つの数値が含まれています：

ポリシー内の各ルールによって生成されたイベントのおおよその数
ルールが他のルールに比べてどれほど頻繁にヒットされるか（パーセンタイル別のランキング）

これらの値は毎日24時間ごとに更新され、過去14日間のトラフィックに基づいています。

ステータスバーの色に基づいて、ヒット数が最も高いルールと最も低いルールをすばやく特定できます。この色は、他のルールに対してどのくらいの頻度でルールがヒットされるかを反映します：

青: 0 - 24パーセンタイル
緑: 25 - 49パーセンタイル
オレンジ: 50 - 74パーセンタイル
赤: 75 - 100パーセンタイル

ヒットカウンターのリセットおよび更新

ヒット数の値は過去14日間のトラフィックに基づいて、自動的に毎24時間更新されます。各ルールの終わりにある三つの点から、最新の可視性のためにヒット数をリセットまたは更新できます。これにより、ルールの有効性を正確に測定し、ルールの活動をすぐに検証できます。

特定のファイアウォールルールのヒットカウンターをリセットすると、ヒット数が0に戻ります
ヒットカウンターの更新は、すべてのファイアウォールルールのヒット数を要求に応じて更新します

複数の管理者によるポリシー変更と同時編集

インターネットファイアウォールは、異なる管理者が並行してポリシーを編集できるようにします。それぞれの管理者はルールを編集し、それぞれのプライベート改訂でルールベースに変更を保存し、それをアカウントポリシー（公開された改訂）に公開することができます。ポリシーリビジョンの管理方法について詳しくは、ポリシーリビジョンの操作を参照してください。

ルールの時間設定の構成

ルールの時間設定を構成して、指定された日時に有効または無効にできます。時間ドロップダウンで、毎日のスケジュール および/または アクティブ期間 を設定できます。

これらのオプションの両方を設定して、例えば2025年5月の平日にルールがアクティブになるようにできます。また、各オプションを独立して設定して、要件を満たすこともできます。

日々のスケジュールの理解

毎日のスケジュール はルールがアクティブなスケジュールを定義します。ルールのスケジュールが設定されている場合、ルールテーブルの アクション 列に時計シンボルが表示されます。

毎日のスケジュール のオプションは以下の通りです:

時間の制約なし: ルールにはスケジュールがありません。これがルールのデフォルトの動作です。
勤務時間内に制限する: ルールは、Cato管理アプリケーションで設定された勤務時間中のみアクティブです。勤務時間についてさらに詳しくは、アカウント用のデフォルトの勤務時間の定義をご覧ください。
カスタム：ルールが有効な時間帯と曜日を選択します。 繰り返しオプションのチェックを外し、ルールの時間設定を日付で選択します。
- 繰り返し: 例えば毎週火曜日の午前9時から午後5時まで、時間設定が複数回適用されます。

アクティブ期間の理解

アクティブ期間 はUTCでルールがアクティブな日時の期間を定義します。 有効開始 フィールドが選択されていない場合、ルールは保存および公開された後に直ちにアクティブになります。

ルールテーブルで、アクティブ期間 が定義されている場合、アクション 列に砂時計のシンボルが表示されます。シンボルの色はステータスを反映します:

黒: ルールはアクティブではなく将来アクティブになります
緑: ルールはアクティブです
赤: ルールは期限切れです

MSAに関連するトラフィックブロック

Cato Networksのマスターサービス契約（MSA）は、自動的にブロックされる潜在的に違法または悪意のあるトラフィックを定義します。インターネットファイアウォールルールベースの上位にはこれらの接続をブロックする隠された暗黙のルールがあります。

MSAに関する詳細は、Cato Networks MSA をご覧ください。

インターネットファイアウォールルールの設定の理解

このセクションでは、インターネットファイアウォールルールベースのルールに対するフィールドと設定を説明します。インターネットファイアウォールを十分に理解することで、企業ネットワークへのアクセス制御を成功裏に管理することができます。

ルールアクション

次の表では、各ファイアウォールルールがネットワークトラフィックに適用できるアクションを説明します。イベントを生成するアクションについては、ホーム > イベントでイベントログを表示できます。

アイテム	説明
許可	ファイアウォールは一致するトラフィックを許可します。
ブロック	ファイアウォールは一致するトラフィックをブロックします。
確認	ファイアウォールは一致するトラフィックをメッセージ付きのウェブページにリダイレクトします。ユーザーは続行するかどうかを決定するための確認を求められます。確認ウェブページをカスタマイズすることができます。リダイレクトページカスタマイズをご覧ください。 Cato確認ページは、ユーザーの同意を管理するためにJavaScriptとセッションcookieを使用するHTMLページです。これらのcookieはドメイン特有で、一時的であり、通常ブラウザを閉じると削除されます。 Catoは現在、3つのcookie名プレフィックスを使用しています (`tls_cert_err`, `fw_wan`, `fw_inet`)。 cookieの管理とセッションの永続化は、ユーザーの設定と行動、ブラウザ、オペレーティングシステムによって異なります。確認ページ後にユーザーが進行することを選択した場合のイベントを確認するには、イベントページをフィルタして、確認アクションフィールドに進行するの値を設定しているイベントを表示します。
リモートブラウジング (RBI)	一致するトラフィックはRBIによって届けられます。
キャプティブポータル	一致するトラフィックはキャプティブポータルに送られます。

インターネットファイアウォールルールベースの列

異なるルールベースの列およびルールの送信元、アプリ、カテゴリアイテムの説明については、What is the Cato WAN Firewall? およびルールオブジェクトの参照。 WANファイアウォールとは異なり、インターネットファイアウォールの宛先は常にインターネットです。ルールに対して複数の列が設定されている場合、それらの間にはANDの関係があります。

ルール順序の設定

ルール順序は、他のルールに対するルールの位置を設定することで定義されます。例えば、特定のルールに続くようにルールを設定するか、セクションの最初に配置します。

ルール順序を定義するためのオプションは次のとおりです。

ルールの前 - ルールは選択されたルールの直前に配置されます
ルールの後 - ルールは選択されたルールの直後に配置されます
セクションの先頭 - ルールは選択されたセクションの先頭に配置されます
セクションの最後 - ルールは選択されたセクションの最後に配置されます
1番目 - ルールはルールベースの最上部に配置されます
最後 - ルールはルールベースの最下部に配置されます