기본적으로 사이트 뒤에 있는 LAN 트래픽은 검사 목적으로 WAN을 통해 PoP로 전송됩니다. 이는 동일한 사이트에 있는 호스트의 경우 트래픽이 최종 마일을 거쳐 PoP로 전송된 후 동일한 사이트로 다시 전송됨을 의미합니다. Socket을 LAN 방화벽으로 사용하여 별도의 타사 방화벽 장비가 필요 없이 현지에서 트래픽을 분할할 수도 있습니다.
Socket 차세대 LAN 방화벽을 사용하여 사이트 뒤의 트래픽을 라우팅하고 세분화하면서 동서 트래픽에 계층 2에서 계층 7(응용 계층) 정책 제어를 적용할 수 있습니다. 로컬에서 트래픽을 라우팅하면 인터넷 연결이 끊어지더라도 OT 및 IoT와 같은 중요한 환경이 로컬 네트워크에서 계속 작동할 수 있습니다.
LAN 방화벽은 계정 수준의 정책으로 여러 사이트에 걸쳐 기업 차원의 정책을 수동으로 각 사이트를 구성하지 않고도 규칙을 설정할 수 있게 해줍니다. 다음 세대 LAN 방화벽 규칙을 구성하는 방법에 대한 자세한 내용은 소켓 다음 세대 LAN 방화벽 정책 관리를 참조하십시오.
다른 소켓 유형에 대한 다음 세대 LAN 방화벽 처리량에 대한 정보는 Cato Cloud의 제한값 및 연결 제한을 참조하십시오.
Example Corp는 동일한 LAN 네트워크 설계를 사용하는 200개의 글로벌 지점을 보유하고 있습니다. 여기에는 서버용 VLAN ID 10과 비즈니스에 중요한 OT 장치용 VLAN ID 20이 포함됩니다. 네트워크 팀은 이러한 VLAN 간 트래픽을 로컬에서 라우팅하기로 결정하여 ISP 장애가 발생하더라도 OT 장치와 서버가 계속 통신할 수 있도록 합니다. 또한, VLAN 간 특정 프로토콜만 허용하고자 합니다.
네트워크 팀은 사이트가 200개의 관련 사이트를 포함하는 그룹 객체로 구성되고 전송이 로컬에서 트래픽을 라우팅하도록 LAN으로 구성된 LAN 네트워크 규칙을 생성합니다. 그런 다음, LAN 네트워크 규칙 하에 VLAN 10 및 VLAN 20이 원본 및 대상으로 구성되고 방향이 양방향으로 구성된 LAN 방화벽 규칙을 생성합니다. 서비스/포트에서 허용할 프로토콜을 구성하고 작업은 허용으로 구성됩니다.
이 단일 LAN 방화벽 규칙은 모든 사이트에 대해 별도의 규칙을 구성할 필요 없이 200개 로컬 네트워크 각각에 정책을 적용합니다.
소켓 차세대 LAN 방화벽의 최대 지원 처리량은 TCP 및 UDP 애플리케이션의 앱 믹스를 기준으로 Cato에 의해 정의됩니다.
|
소켓 모델 |
L4 Mbps 처리량 |
L7 Mbps 처리량 |
|---|---|---|
|
X1500 |
1000 |
740 |
|
X1500B |
1000 |
1000 |
|
X1600 그리고 X1600 LTE |
8000 |
2500 |
|
X1700 |
8000 |
8000 |
|
X1700B |
13000 |
10000 |
참고: 성능과 처리량은 1500 패킷 MTU를 기준으로 이상적인 테스트 조건에서 측정됩니다.
이 섹션에서는 계층 7 LAN 방화벽의 역할과 기능을 이해하기 위한 기본 개념을 설명합니다.
LAN 방화벽의 역할 및 다른 카토 정책과의 관계를 이해하기 위해서는 카토가 LAN, WAN 또는 인터넷 중 하나로 트래픽을 식별한다는 점을 이해하는 것이 중요합니다. 이러한 트래픽 유형의 구별과 특성을 이해하는 것은 최적의 정책 계획 및 다양한 카토 방화벽 정책의 활용에 매우 중요합니다. 자세한 내용은 Cato 방화벽 시작하기를 참조하세요.
동일한 사이트 내의 호스트 간의 트래픽은 구성에 따라 LAN 트래픽(소켓에서 라우팅되고 PoP로 전송되지 않음) 또는 WAN 트래픽(PoP에 전송된 후 다시 사이트로 전송됨)으로 처리될 수 있습니다. Socket의 기본 동작은 모든 트래픽을 검사 목적으로 PoP로 라우팅하고 PoP는 트래픽을 차단하거나 허용하는 것입니다. 그러나 LAN 방화벽 정책과 일치하는 트래픽은 현지에서 라우팅되고 PoP로 전송되지 않습니다.
LAN의 호스트에서 오는 트래픽이 Socket에 도달하면 Socket은 해당 트래픽이 LAN 방화벽 정책의 규칙과 일치하는지 확인합니다.
-
규칙과 일치하면 Socket은 트래픽을 PoP로 전송하지 않고 로컬 대상으로 라우팅합니다.
-
트래픽이 LAN 방화벽 규칙과 일치하지 않으면 WAN 또는 인터넷 방화벽에서 처리하도록 PoP로 전송됩니다.
LAN 트래픽 정의에 대한 자세한 내용은 아래 LAN 방화벽 정책을 참조하세요.
다음은 로컬 네트워크의 호스트에서 오는 트래픽을 Socket LAN 방화벽이 처리하는 방법을 보여주는 상태 기계 다이어그램입니다.
LAN 방화벽은 응용 프로그램, 서비스 및 응용 프로그램 내의 특정 콘텐츠를 기반으로 트래픽을 제어할 수 있는 계층 2에서 계층 4 및 계층 7 (응용 계층) 검사를 지원합니다. 기본적으로 사이트는 계층 2-4 기능을 지원하며, 정책에서 어떤 사이트가 계층 7 기능도 활성화되는지를 정의합니다. 이 섹션에서는 계층 2-4와 계층 7 방화벽의 차이점을 설명합니다.
계층 2-4 방화벽은 IP 주소, 포트 및 TCP 또는 UDP와 같은 전송 계층 프로토콜과 같은 기본 기준에 따라 트래픽을 필터링합니다. 이러한 기준에 대해 Socket 방화벽은 첫 번째 패킷에 따라 트래픽을 허용하거나 차단하기로 결정할 수 있습니다. 기본적인 트래픽 제어에 효과적이지만 이 접근 방식은 패킷 내에서 전송되는 실제 데이터는 분석하지 않습니다.
계층 7 (응용 계층) 방화벽은 특정 응용 프로그램, 도메인 또는 프로토콜을 식별하기 위해 패킷 페이로드를 검사합니다. 예를 들어, 계층 7 방화벽은 SMBv1과 SMBv3 트래픽을 구분하거나 트래픽을 생성하는 특정 응용 프로그램(예: Office 365)을 식별할 수 있습니다. 이러한 심층 검사는 보다 세분화된 정책 집행과 로컬 네트워크 트래픽에 대한 향상된 제어를 허용합니다. 그러나 계층 7 검사는 응용 프로그램 데이터(예: HTTP 트래픽에서 도메인 이름 추출)를 결정하기 위한 추가 패킷 분석 및 계층 4 처리보다 더 많은 Socket 자원을 필요로 합니다. 이를 회사 LAN 방화벽 정책을 계획하고 계층 7 기능을 활성화할 사이트를 결정할 때 고려해야 합니다.
레이어 7 기능을 갖춘 사이트를 활성화할 때 소켓은 LAN 전송을 사용하는 트래픽이 정의되어 있는 한 트래픽에 대해 LAN 방화벽 규칙이 구성되어 있지 않더라도 패킷을 깊이 검사합니다(아래를 참조 LAN 방화벽 정책). 이는 응용 프로그램, 앱 위험 및 사용자 정의 앱과 같은 필드를 포함하여 사이트 트래픽 이벤트에 계층 7 데이터가 나타남을 의미합니다.
Socket은 LAN 트래픽에 대한 라우팅 결정을 내림으로써 LAN 방화벽 정책을 적용합니다. 트래픽을 PoP로 보낼지 또는 로컬로 라우팅할지를 결정한 후, LAN 방화벽 규칙을 적용하여 트래픽이 차단되거나 허용되는지 결정합니다. 그 후, LAN 방화벽 규칙이 적용되어 트래픽이 차단되거나 허용되는지 결정됩니다.
이를 구현하기 위해 LAN 방화벽 정책에는 LAN 네트워크 및 LAN 방화벽 규칙이 포함됩니다. LAN 네트워크 규칙은 Socket이 트래픽을 LAN을 통해 로컬로 라우팅할지 또는 WAN 트래픽으로 PoP에 전송되는지를 정의합니다. LAN 네트워크 규칙이 일치하여 전송을 LAN으로 정의하면, 관련 LAN 방화벽 규칙에 따라 트래픽을 허용하거나 차단하는 규칙이 적용되고 Socket은 그 규칙을 강제 실행합니다. 트래픽이 LAN 네트워크 규칙과 일치하지 않으면 WAN 트래픽으로 처리되어 PoP로 전송됩니다.
LAN 방화벽 규칙은 단일 LAN 네트워크 규칙에 연결되어 해당 LAN 네트워크 규칙에 의해 정의된 트래픽에 대한 방화벽 작업이 구체적임을 보장합니다.
다음 섹션에서는 LAN 네트워크 및 LAN 방화벽 규칙의 특성을 설명합니다.
LAN 네트워크 규칙은 다양한 네트워크 호스트 또는 세그먼트 간 트래픽을 라우팅하는데 사용되는 전송(LAN 또는 WAN)을 제어합니다. 이는 특정 사이트가 아닌 전체 계정에 대해 구성된 글로벌 정책입니다. 이는 각 규칙을 계정 내 여러 사이트에 적용하도록 구성할 수 있음을 의미합니다. 예를 들어, 동일한 VLAN 구성을 사용하는 여러 사이트를 설정한 경우 규칙에 정의된 각 사이트의 VLAN에 적용되는 단일 규칙을 만들 수 있습니다.
LAN 네트워크 규칙은 계층 4 라우팅 결정을 내리며 계층 7 기능을 사용하지 않습니다. 예를 들면, 사이트, VLAN 또는 특정 프로토콜에 대한 조건으로 네트워크 규칙을 정의할 수 있지만 응용 프로그램을 기반으로 조건을 만들 수는 없습니다.
LAN 네트워크 규칙은 그 아래 여러 LAN 방화벽 규칙에 대한 부모가 될 수 있습니다. 따라서 트래픽이 LAN 네트워크 규칙과 일치하지만 LAN 방화벽 규칙과 일치하지 않으면 차단됩니다. 따라서 트래픽이 LAN 네트워크 규칙과 일치하지만 LAN 방화벽 규칙과 일치하지 않으면 차단됩니다.
LAN 방화벽 규칙은 특정 유형의 트래픽을 허용하거나 차단하며 이러한 이벤트를 모니터링 및 준수 목적으로 추적합니다. 각 LAN 방화벽 규칙은 특정 부모 LAN 네트워크 규칙에 직접 연결되며 부모 규칙의 원본 및 대상 범위로 제한됩니다. LAN 방화벽 규칙은 기본적으로 MAC 주소 기반 세분화를 포함하여 계층 4까지 세분화를 지원합니다. 또한, 계층 7 기능으로 구성된 사이트의 경우, LAN 방화벽 규칙에는 응용 프로그램, 도메인 및 기타 계층 7 조건을 기반으로 한 지능형 트래픽 필터링이 포함될 수 있습니다.
기본적으로 각 LAN 네트워크 규칙 하단에는 마지막 규칙으로 ANY-ANY 차단 규칙이 구성되어 있습니다. 따라서, 트래픽이 LAN 네트워크 규칙에는 일치하지만 LAN 방화벽 규칙에는 일치하지 않으면 차단됩니다. 이러한 암시적 동작은 명시적으로 허용된 트래픽만 로컬 네트워크를 통과할 수 있도록 하여 온프레미스 세분화에 대한 진정한 제로 트러스트 접근 방식을 강화합니다.
히트 수는 미사용 규칙을 식별하고, 보다 필요한 트래픽 범위에 맞게 규칙 구성을 최적화하는 데 도움을 줍니다. 규칙의 히트 수는 규칙에 의해 생성된 이벤트 수를 기준으로 합니다. 규칙이 이벤트를 생성하지 않으면, 히트 수는 0입니다.
히트 수는 두 가지 숫자를 포함합니다:
-
정책에서 각 규칙에 의해 생성된 대략적인 이벤트 수
-
규칙이 기타 규칙에 비해 얼마나 자주 히트되는지 (백분위 수로 순위 매김)
이 값은 매 24시간마다 업데이트되며, 과거 14일 동안의 트래픽을 기준으로 합니다.
상태 바의 색상을 기준으로 가장 높은 및 낮은 히트 수로 규칙을 신속히 식별할 수 있습니다. 이 색상은 기타 규칙에 비해 얼마나 자주 규칙이 히트되는지를 나타냅니다:
-
파란색: 0 - 24번째 백분위수
-
녹색: 25번째 - 49번째 백분위수
-
주황색: 50번째 - 74번째 백분위수
-
빨간색: 75번째 - 100번째 백분위수
댓글 0개
이 문서에는 댓글을 달 수 없습니다.