계정을 위한 원격 포트 포워딩 구성

원격 포트 전달 (RPF)을 사용하면 인터넷에서 들어오는 연결을 Cato 클라우드를 통해 내부 LAN 호스트로 직접할 수 있습니다. 그 연결은 다양한 Cato 보안 서비스의 혜택을 받습니다.

참고

참고: 중국에 위치한 PoP에 대한 RPF는 지원되지 않습니다. 이 중국 PoP들에 대해 할당된 IP를 선택할 수 없습니다.

RPF 설정 개요

허용 목록 방식이나 차단 목록 방식을 사용하여 RPF 자원에 대한 인바운드 접근 제어를 관리할 수 있습니다:

  • 허용 목록 - 모든 소스(IP 주소 및 범위)를 차단하고 특수 구성된 소스만 허용합니다.
  • 차단 목록 - 모든 소스(IP 주소 및 범위)를 허용하고 특수 구성된 소스만 차단합니다.

인터넷 연결된 RPF 자원에 대한 접근을 제어해야 하는 경우 차단 목록 접근 방식이 추천됩니다. 이 접근 방식은 Cato 관리 애플리케이션 또는 API를 통해 차단된 출처 목록을 구성할 수 있는 옵션을 제공합니다. 차단 목록은 고객이 유지관리하는 차단 목록, 개인 보안 피드, 특정 지리적 기록 및 타사 시스템에서 받은 지표에 기초할 수 있습니다.

참고

참고: Cato IPS 서비스는 인바운드 RPF 트래픽을 보호하지만, 인바운드 트래픽에 대한 TLS 검사는 수행되지 않습니다. 이는 암호화된 트래픽의 내용을 IPS가 검사할 수 없음을 의미하지만, IPS는 평판 검사(예: 스캐너, 포트 스위퍼, 알려진 C&C 등)에 기반하여 트래픽을 검사합니다.

Cato 방화벽의 안티 스푸핑 보호

NGFW의 기본 기능 중 하나는 안티 스푸핑 공격에 대한 보호입니다. Cato 클라우드의 보안 엔진은 소스 IP가 구성된 엔터티(예: 사이트, 네트워크 범위, 디바이스 또는 사용자)의 범위를 벗어나는 모든 연결을 암묵적으로 차단합니다. 이렇게 하면 안티 스푸핑 공격을 차단하고 구성된 논리적 토폴로지의 위반을 방지할 수 있습니다.

정책 수정 및 다수의 관리자 동시 편집

원격 포트 포워딩 정책을 통해 각 관리자가 정책을 동시에 편집할 수 있습니다. 각 관리자는 규칙을 편집하고 변경 사항을 자신의 개인 개정본에 저장한 다음, 이를 계정 정책에 게시할 수 있습니다(게시된 개정본). 정책 수정본을 관리하는 방법에 대한 자세한 정보는 Working with Policy Revisions를 참조하세요.

Autonomous 인사이트 이해하기

RPF_auto.png

모범 사례에 따라 RPF 설정 정책을 평가하고 Cato의 권장 사항과의 준수 여부를 보여주는 인사이트 목록입니다. 이 권장 사항을 따르면 방화벽 구성이 최적화되고 보안 상태가 향상됩니다.

인사이트에는 두 가지 유형이 있습니다:

  • Star 아이콘(AI에 의해 지원): RPF 정책에서 활성화된 규칙이 인공지능(AI)을 통해 자동으로 분석되어 예를 들어, 버려지거나 수정될 수 있는 규칙 등의 문제를 감지합니다.

    • 만료된 규칙 또는 미래 만료 날짜가 설정된 규칙: 특정 필요를 해결하기 위해 생성된 규칙으로, 이미 지나갔거나 아직 도래하지 않은 바람직한 종료 날짜를 가진 규칙입니다.
    • 임시 규칙: 즉각적인 필요를 해결하기 위한 단기 솔루션으로 도입되었습니다. 이 규칙은 적절하거나 영구적인 솔루션이 배포되거나 개발되는 동안 임시로 작동하도록 주로 생성되었습니다.
    • 테스트 규칙: 특정 기능이나 시나리오를 검증, 디버깅 또는 실험하기 위해 명시적으로 생성된 규칙입니다.
  • 구성 기반: RPF 설정 정책의 구성 및 설정이 모범 사례를 따르도록 보장합니다.

원격 포트 포워딩 활성화

원격 포트 포워딩을 활성화하려면:

  1. 네비게이션 메뉴에서 보안 > RPF 설정을 클릭합니다.
  2. 비활성화됨 슬라이더를 클릭합니다. 슬라이더가 녹색이면 RPF가 활성화된 것을 나타냅니다.
  3. 저장을 클릭합니다. 이제 RPF가 계정에 대해 활성화되었습니다.

RPF 설정 규칙 정의

RPF 규칙의 외부 IP는 Cato에서 할당된 IP 주소입니다. 자세한 내용은 계정에 대한 IP 주소 할당을 참조하십시오. 내부 애플리케이션에 대해, 규칙에 내부 IP 및 포트를 사용하십시오.

RPF 규칙을 정의할 때 허용된 원격 IP 설정에 대해 여러 옵션이 있습니다:

  • 이러한 형식 중 하나로 특정 IP 주소나 IP 범위를 입력하십시오:

    • IP 주소 범위 - 192.0.2.10-192.0.2.20
    • 서브넷(CIDR) - 192.0.2.0/24

    또한 쉼표로 구분된 여러 IP 주소와 범위를 붙여넣을 수 있습니다. 예시: 10.1.1.1, 10.2.1.1-10.2.1.105

  • 추적 및 알림 활성화.

여러 외부 포트에서 단일 내부 포트로 매핑이 필요한 경우, 여러 RPF 규칙을 생성하여 구성할 수 있습니다.

외부에서 내부 포트로의 매핑은 외부내부 포트 범위의 순서에 기반한 일대일 매핑입니다. 예를 들어, 외부 포트 범위 5000-5005는 내부 포트 범위 6103-6108로 매핑됩니다. 이는 외부 포트 5000이 내부 포트 6103으로, 외부 포트 5001이 내부 포트 6104로 매핑된다는 것을 의미합니다.

RemotePortForwarding.png

참고

참고: IPsec 사이트가 있는 계정의 경우 RPF 규칙의 외부 IP가 IPsec 사이트의 IP 주소와 겹치는 경우 해당 규칙이 IPsec 터널 포트를 UDP/500 및 UDP/4500에서 제외하는지 확인하십시오.

RPF 규칙을 정의하기 위해:

  1. 네비게이션 메뉴에서 보안 > RPF 설정을 클릭합니다.

    RPF 설정 페이지가 기존의 게시되지 않은 수정본 또는 최신 게시본으로 열립니다.

  2. 새로운을 클릭합니다. 규칙 추가 패널이 열립니다.
  3. 규칙의 이름을 입력합니다.
  4. (선택사항) ICMP 포워드를 선택하여 이 규칙에 대해 ICMP 메시지 포워딩을 활성화합니다.
  5. 외부 섹션에서 Cato에 할당된 외부 IP외부 포트 범위를 정의합니다.
  6. 내부 섹션에서 트래픽이 포워드될 내부 IP 주소 및 내부 포트 범위를 입력합니다.
  7. 원격 IP 섹션에서 이 규칙이 허용 목록인지 또는 차단 목록인지 선택합니다.
    1. 호스트에 연결이 허용되는 유일한 트래픽 정의:
      1. 허용 목록을 선택합니다.
      2. IP 또는 서브넷 기반으로 트래픽 출처를 선택합니다. 이 IP 주소와 범위는 호스트에 RPF를 수행할 수 있는 허용된 출처입니다.
      3. add.png (추가)를 클릭하여 더 많은 허용된 원격 IP를 추가합니다.
    2. 이 호스트에 모든 트래픽을 허용하고, 차단되어 연결할 수 없는 출처를 정의하려면:
      1. 차단 목록을 선택합니다.
      2. IP 또는 서브넷 기반으로 트래픽 출처를 선택합니다. 이 IP 주소와 범위는 호스트에 RPF를 수행할 수 없는 차단된 출처입니다.
      3. add.png (추가)를 클릭하여 더 많은 차단된 원격 IP를 추가합니다.
  8. (선택사항) 규칙에 맞는 트래픽에 대한 이메일 알림 정의합니다. 자세한 내용은 계정 수준 경고 및 시스템 알림을 참조하십시오.
  9. 적용을 클릭합니다. 규칙이 추가되었습니다.

  10. 저장을 클릭하십시오.

    변경 사항은 게시되지 않은 수정본에 저장되며, 게시되거나 버려질 때까지 편집할 수 있습니다.

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개