인터넷 방화벽 정책 관리

이 문서에서는 조직의 인터넷 접속을 제어하기 위한 인터넷 방화벽 정책을 관리하는 방법을 설명합니다.

Cato의 인터넷 방화벽 정책에 대한 자세한 정보는 What is the Cato Internet Firewall?를 참조하세요..

개요

인터넷 방화벽은 WAN과 인터넷 간의 트래픽을 검사하고 이 트래픽을 제어하기 위한 규칙을 생성할 수 있게 합니다. WAN 방화벽과 유사하게 인터넷 방화벽은 처음 규칙부터 시작하여 순서대로 규칙 기반을 사용하여 연결을 검사합니다.

인터넷 방화벽에서는 다양한 관리자들이 정책을 병렬로 편집할 수 있도록 합니다. 각 관리자는 규칙을 편집하고 자신의 개인 수정본으로 변경사항을 저장한 후 게시된 수정본으로 계정 정책에 게시할 수 있습니다. 정책 수정본을 관리하는 방법에 대한 더 많은 정보를 보려면 Working with Policy Revisions를 참조하세요.

인터넷 방화벽 구성 마법사는 이러한 검사와 인사이트를 사용하여 정책을 자율적으로 검토합니다. 체크가 실패하면 개별 규칙을 편집하지 않고 마법사에서 직접 정책을 검토하고 업데이트할 수 있습니다. 이는 정책 관리를 간소화하면서 보안을 유지하는 데 도움이 됩니다.

인터넷 방화벽 정책 구성

이 섹션에서는 인터넷 방화벽 규칙을 생성하는 절차, 잠금을 무시하여 규칙을 편집하는 방법, 게시되지 않은 수정본을 게시하거나 삭제하는 방법을 설명합니다.

순서형 인터넷 방화벽 활성화

카토 클라우드의 인터넷 방화벽은 귀하의 기업 네트워크에 대한 인터넷 접근을 제어할 수 있게 합니다. 사용자가 비즈니스와 관련된 웹 콘텐츠에 접근하고 부적절한 웹사이트, 애플리케이션 등을 차단하는 인터넷 보안 정책을 쉽게 생성하십시오.

인터넷 방화벽을 활성화하거나 비활성화하려면:

네비게이션 메뉴에서 보안 > 인터넷 방화벽을 클릭합니다.
규칙 기반 위의 방화벽 활성화됨에서 계정에 대해 인터넷 방화벽을 활성화(녹색)하거나 비활성화(회색)하려면 슬라이더 를 클릭합니다.
저장을 클릭합니다.

새 인터넷 방화벽 규칙 만들기

인터넷 방화벽 규칙을 생성하고 게시되지 않은 수정본에 변경사항을 저장합니다.

소스, 앱 및 카테고리 항목에 대한 더 많은 정보를 보려면 규칙 객체 참조를 참조하세요.

시간 옵션은 규칙이 활성화되는 시간 범위를 정의합니다. 규칙에 대한 사용자 정의 옵션을 구성하거나 계정에 정의된 기본 근무 시간 지정할 수 있습니다.

인터넷 방화벽에 대한 새로운 DNS 정책을 생성하려면:

네비게이션 메뉴에서 보안 > 인터넷 방화벽을 선택합니다.

인터넷 방화벽 페이지는 기존에 게시되지 않은 수정본 또는 가장 최신 게시된 수정본으로 열립니다.
새로운을 클릭합니다.
규칙에 대한 이름을 입력합니다.
슬라이더(Green 활성화됨, Grey 비활성화됨)를 사용하여 DNS 정책을 LDAP 사용자 활성화하거나 비활성화합니다.
이 규칙에 대한 규칙 순서를 구성합니다.

규칙 순서 옵션에 대한 더 많은 정보를 보려면 Cato 인터넷 방화벽이란?을 참조하세요..
소스를 확장하고 소스 유형을 선택합니다.
- 유형(예: 호스트, 네트워크 인터페이스, IP, 모든)을 기본 선택합니다. 기본 값은 모든입니다.
- 필요에 따라 해당 유형의 드롭다운 목록에서 특정 내부를 기본 선택합니다.
신뢰할 수 있는 네트워크 식별 기준 섹션을 확장하고 규칙에 장치 추가를 장치 추가합니다. 더 많은 정보를 보려면 방화벽 규칙에 장치 조건 추가하기를 참조하십시오. 기본 값들은 모든입니다.
앱/카테고리 섹션을 확장하고 규칙에 대해 하나 이상의 애플리케이션을 선택합니다.

규칙에 둘 이상의 앱/카테고리 객체가 있을 경우, 그들 사이에 OR 관계가 형성됩니다. 기본값은 모든입니다.
서비스/포트 섹션을 확장하고 이 규칙에 적용되는 유형(서비스, 포트/프로토콜, 사용자 정의 서비스 또는 Any)을 정의하십시오.

규칙에 둘 이상의 서비스/포트 객체가 있을 경우, 그들 사이에 OR 관계가 형성됩니다. 기본값은 모든입니다.
이 DNS 정책에 대해 작업을 기본 선택합니다. 옵션은 허용, 차단, 프롬프트입니다.
(선택 사항) 추적 옵션을 구성하여 이벤트 생성 및 알림 보내기를 실행합니다. 첫 번째 알림이 전송된 후 빈도 카운트가 시작됩니다.

알림에 대한 자세한 내용은 섹션의 Subscription Groups, Mailing Lists 및 Alert Integrations에 관한 관련 기사를 참조하십시오.
(선택 사항) 이 DNS 정책이 LDAP 사용자 활성화될 때를 정의하는 시간 옵션을 구성하다.
적용을 클릭합니다. 새로운 DNS 정책이 규칙 기반에 추가됩니다.
저장을 클릭합니다.

변경 사항은 게시되지 않은 수정본에 저장되며, 게시되거나 삭제될 때까지 편집 가능합니다.

인터넷 연결 허용을 위한 예외 사용

인터넷 방화벽 규칙 기반에서 특정 규칙을 무시하고 낮은 우선순위의 규칙을 계속 사용할 수 있도록 예외를 사용할 수 있습니다. 낮은 우선순위 규칙이 트래픽을 일치시켜 차단하지 않도록 주의해야 합니다. 최종 암시적 모든 모든 허용 규칙은 모든 트래픽을 허용합니다. 예를 들어, 규칙 #3이 채용 카테고리에 대한 접근을 차단하는 경우, 인사(HR) 부서가 접근을 차단하지 않는 예외를 만들 수 있습니다.

규칙에 대한 예외는 규칙의 하위 집합이며, 일부 설정은 규칙과 예외 모두에 적용됩니다:

DNS 정책을 비활성화하면 예외들도 비활성화됩니다.
DNS 정책을 이동하여 우선순위를 변경하고 접두사 변경 변경 내역도 이동됩니다.

방화벽 규칙에 예외를 장치 추가하려면:

네비게이션 메뉴에서 보안 > 인터넷 방화벽을 기본 선택합니다.
규칙의 오른쪽에서 를 클릭하고 예외 추가를 선택합니다.

예외 추가 패널이 열립니다.
규칙 예외에 대한 설정을 확장하고 구성합니다.

상위 규칙의 작업은 규칙 예외에 적용되지 않습니다.
적용을 클릭합니다. 예외가 규칙 아래에 아래에 추가됩니다.
저장을 클릭합니다. 예외는 게시되지 않은 수정본에 저장되며 게시되거나 버려지기 전까지는 편집할 수 있습니다.

방화벽 규칙에서 예외를 사용자 삭제하려면:

네비게이션 메뉴에서 보안 > 인터넷 방화벽을 기본 선택합니다.
규칙의 오른쪽 열에서 을 클릭하고 팝업 창에서 예외 삭제를 선택합니다.

예외가 규칙에서 제거됩니다.
저장을 클릭합니다. 예외는 게시되지 않은 수정본에서 삭제되며, 예외를 할당된 계정 정책에서 사용자 삭제하기 위해 해당 수정본을 게시할 수 있습니다.

알려진 제한사항

Facebook Messenger 앱에 대해, Messenger는 자원을 로드하기 위해 Facebook과 동일한 도메인을 공유하기 때문에 Messenger 앱을 차단하고 Facebook 앱을 허용하기 위해 인터넷 방화벽을 사용하는 것은 불가능합니다. 이러한 앱에 대한 클라우드 액세스를 관리하기 위해 CASB 애플리케이션 제어 정책을 사용할 수 있습니다.