Configurando a Política de Firewall Socket LAN

Nota

Nota: Próxima Migração Automática das Regras de Firewall LAN do Site para a Política em Nível de Conta

Recentemente lançamos o Firewall LAN de Próxima Geração do Socket, que fornece configurações em nível de conta e Aplicação de Camada 7. A partir de 1º de julho de 2025, migraremos as regras de firewall LAN em nível de site existentes para a política em nível de conta.

  • Cada regra em nível de site será automaticamente configurada na nova política como uma Regra de Rede para especificar o roteamento, e uma Regra de Firewall para permitir ou bloquear o tráfego
  • As regras para cada site serão adicionadas como uma seção separada na base de regras
  • A migração é um processo automático e perfeito, e não se espera nenhuma interrupção de serviço
  • Se você estiver interessado em migrar sua política antes de 1º de julho, entre em contato com ea@catonetworks.com

Visão Geral

O comportamento padrão do Socket é encaminhar todo o tráfego WAN e Internet para o PoP para inspeção de segurança. Isso inclui tráfego LAN entre segmentos de rede adjacentes dentro de um site (por exemplo, VLANs).  Em alguns cenários, você pode querer sobressair o comportamento padrão e configurar o Socket em um site para permitir ou bloquear a comunicação entre dois segmentos de rede ou hosts, diretamente no Socket, sem enviar o tráfego para o PoP da Cato.  Com a política do Firewall LAN, você pode configurar regras para permitir ou bloquear o tráfego LAN diretamente no Socket. Opcionalmente, você pode habilitar o rastreamento (eventos) para cada regra.

Nota

Nota: O Firewall LAN é uma melhoria para a Política de Roteamento Local. Para mais informações, veja abaixo Pré-requisitos para Usar o Firewall LAN e Atualizando a Política de Roteamento Local para o Firewall LAN.

Entendendo o Firewall LAN

O Firewall LAN permite que você bloqueie ou permita certos tipos de tráfego no nível do Socket, criando políticas de acordo com suas necessidades.

O diagrama abaixo mostra uma regra de Firewall LAN que permite o tráfego de LAN1 para LAN2.

image.png

Este diagrama mostra uma regra de Firewall LAN que bloqueia o tráfego de LAN1 para LAN2.

image.png

Usando o Firewall LAN - Exemplo de Base de Regras

A seguir, um exemplo de regras de configuração do Firewall LAN. Cada regra é explicada abaixo:

image.png

Regra 1 - 'Bloquear convidado' - Esta regra impede hosts que estão usando a rede 'Guest-Wifi' de acessar qualquer outro host ou recursos internos no site enquanto rastreia esses eventos. Os hosts ainda podem acessar a internet.

Rule 2 - 'Allow file share' - This rule allows only hosts connected to the 'Corp-Users' network to connect to servers in the 'File-Servers' local network over HTTPS or SMB (TCP/445). Cada fluxo é rastreado nos eventos. Com esta política de permitir localmente, a sobrecarga do túnel para SMB e HTTPS entre as redes é diminuída, pois o tráfego é gerenciado localmente no site e não atravessa o túnel.

Regra 3 - 'Permitir servidor de CCTV' - Esta regra permite que hosts da rede 'IOT-Cameras' se conectem à rede 'IOT-File-Servers' apenas via HTTPS. Cada fluxo é rastreado nos eventos. 

Comportamento implícito - Qualquer outro tráfego de host que não esteja definido na base de regras será enviado para o PoP da Cato para inspeção antes de retornar para 'File-Servers'. Por exemplo, qualquer tráfego de 'Corp-Users' para 'File-Servers' sobre TCP/21 (FTP) não corresponderá à base de regras de exemplo e acionará o comportamento padrão (enviar tráfego para o PoP da Cato).

Trabalhando com a Base de Regras do Firewall LAN

A política do firewall LAN é processada em uma ordem do primeiro para o último configurado. Uma vez que uma regra corresponde, uma ação é aplicada. Senão, o tráfego é enviado para o PoP da Cato por padrão.

As regras no topo da base de regras têm uma prioridade maior porque são aplicadas às conexões antes das regras dispostas mais abaixo na base. Por exemplo, se uma conexão corresponde à regra #3, a ação é aplicada à conexão e o firewall para de inspecioná-la. O firewall não continua aplicando as regras #4 e abaixo na conexão. Você pode aumentar a eficiência do firewall LAN e dar alta prioridade às regras que correspondem ao maior número de conexões.

Vazão para o Firewall LAN

A tabela a seguir representa o throughput suportado no Firewall LAN para cada modelo de Socket.

Nota: Os valores representados abaixo são baseados em testes unidimensionais de Socket v19.0 em ambiente de laboratório.

Modelo Socket

Largura de Banda TCP

Largura de Banda UDP

X1500

até 1Gb/seg

até 2Gb/seg

X1600

até 8Gb/seg

até 8.5Gb/seg

X1700

até 10Gb/seg

até 12Gb/seg

Pré-requisitos para Usar o Firewall LAN

O Firewall LAN é uma melhoria da Política de Roteamento Local existente. Este recurso é habilitado por site.

Certifique-se de que todos os Sockets no site estão executando a Versão do Socket 18,0 ou superior.

Atualizando as Regras de Roteamento Local para o Firewall LAN

  • Se não houver regras de Roteamento Local configuradas para o site, você pode atualizá-lo imediatamente para a política de Firewall LAN

  • Se houver regras de Roteamento Local configuradas para o site, migre as regras de Roteamento Local para o Firewall LAN, veja Atualizando a Política de Roteamento Local para o Firewall LAN

  • Após atualizar para o Firewall LAN, habilite o recurso (alternar Firewall LAN Ativado no canto superior direito da tela).

    Quando este recurso está desabilitado, todo o tráfego é enviado para o PoP.

Configurando o Firewall LAN

Esta seção explica como definir regras para o Firewall LAN e os objetos, portas e serviços que você pode configurar.

Definindo uma Regra de Firewall LAN

Crie uma nova regra de Firewall LAN e configure as Configurações para a regra gerenciar roteamento para o tráfego LAN. Use a opção Adicionar Regra Abaixo para adicionar facilmente uma regra no lugar correto na base de regras.

Nota

Nota: Aplicar a nova configuração ao Socket pode levar até um minuto.

Para definir uma Regra de Firewall LAN:

  1. No menu de navegação, clique em Rede > Sites e selecione o site.

  2. No menu de navegação, clique em Configurações do Site > Firewall LAN.

  3. Clique em Novo. O painel Adicionar Regra é aberto.

  4. Na seção Geral:

    1. Digite um Nome para a nova regra.

    2. Por padrão, a regra está Habilitada. Você pode desativar a regra usando o alternador Habilitado.

    3. Sob Direção, selecione Para para permitir tráfego em uma direção apenas, ou Ambos para permitir tráfego bidirecional.

    4. Escolha a Ordem da Regra. Recomendamos que você defina uma alta ordem de regra para regras mais específicas e uma ordem baixa para regras menos específicas

      Nota: Consulte a seção "Trabalhando com a Base de Regras do Firewall LAN" para mais informações sobre configuração de ordem de regra.

      image.png

  5. Expanda as seções Fonte e Destino, e defina as entidades de origem e destino do tráfego para esta regra.

  6. Expanda a seção Serviço/Porta, selecione os protocolos aos quais a regra se aplica.

    1. Se selecionado Porta/Protocolo, defina a porta e o protocolo relevantes como desejar no formato "Protocolo/Porta" (ou seja,). TCP/80-88, UDP/53, ICMP etc.)

    2. Se selecionado Serviço Simples, selecione os serviços relevantes da Camada 4 como previsto.

      A lista de serviços predefinidos é baseada na definição RFC de cada serviço.

  7. Seção NAT:

    1. Habilitar NAT - Opcionalmente, habilite NAT na interface de saída. Isso traduz todos os IPs originários para um IP NAT.

    image.png

  8. Na seção Ações:

    1. Permitir localmente -  Esta ação permite tráfego local correspondente entre as redes LAN do Socket.

    2. Bloquear localmente -  Esta ação bloqueia tráfego correspondente localmente entre as redes LAN do Socket.

    Nota:  Se o tráfego não coincidir com nenhuma das regras, a ação padrão é Enviar para PoP.

  9. Na seção Ações sob Rastrear:

    1. Opcionalmente, habilite a caixa de seleção de Evento. Quando coincidir, um evento é gerado para esta regra.

  10. Clique em Aplicar, e então clique em Salvar.

Regras de NAT e Firewall LAN

Existem cenários que requerem o uso de NAT entre as redes LAN dentro de um site, isso pode ser entre duas (ou mais) redes conectadas diretamente, ou entre redes roteadas (rotas estáticas ou rotas BGP).

  1. NAT é configurável apenas na Para direção.

  2. Após salvar a configuração para a regra, o Aplicativo de Gerenciamento Cato calcula automaticamente a Rede de Saída e o IP de Saída para a regra.

Objetos de Fonte e Destino do Firewall LAN

Os seguintes objetos de fonte e destino podem ser definidos:

  • Alcance Global - Faixa nativa para a interface LAN de um site.

  • Host - Hosts e servidores definidos no site.

  • Sub-rede de Interface - VLAN, faixas roteadas ou diretas, ou uma faixa nativa secundária AWS vSocket.

  • Interface de Rede - Sub-redes e faixas de rede definidas para as interfaces LAN de um site.

  • Qualquer - Qualquer fonte ou destino dentro do site.

Serviços e Portas do Firewall LAN

A seguir está uma lista predefinida de serviços disponíveis:

Serviço

Porta

Protocolo

RDP

3389

TCP

MYSQL

3306

TCP

HTTP

80

TCP

HTTPS

443

TCP

SSH

22

TCP

SMTP

25

TCP

DNS TCP

53

TCP

DNS UDP

53

UDP

Monitoramento e Eventos

Você pode, opcionalmente, habilitar o rastreamento de eventos para cada regra definida no Firewall LAN.

Nota

Nota: O tráfego do Firewall LAN não será visível nos painéis de controle de aplicativo e análise de rede.

Os eventos aparecem em Monitoramento do Site > Eventos.

  • Tipo de Evento - Segurança

  • Sub-Type - Firewall LAN

Para filtrar eventos do Firewall LAN:

  1. Acesse Inicial > Eventos.

  2. Clique em Filtrar e selecione o campo, operador e valor relevantes.

    1. Campo - Vários campos podem ser selecionados como filtro. Por exemplo, podemos optar por filtrar "Site de Origem" ou "Sub-Type" (Firewall LAN)

    2. Operador - Escolha incluir ou excluir valores específicos (É, Não é) ou múltiplos valores (Em, Não está em), por exemplo, "Site de Origem" com o operador "Em" permite selecionar vários sites de origem como valores.

    3. Valor - O valor para o campo.

  3. Clique em Adicionar Filtro.

imagem.png

No exemplo a seguir, você pode ver os detalhes para um evento de Firewall LAN.

  • Ação - Bloquear ou Monitorar. (O tráfego foi bloqueado ou permitido localmente pelo Firewall LAN)

  • Nome do Host Configurado - Informações adicionais sobre o host no IP de Origem, se disponível.

  • Sub-Type - Firewall LAN.  Todos os eventos gerados pelo Firewall LAN terão este Sub-Type.

  • Regra - O nome da regra definida que gerou este evento.

image.png

Ao contrário do Firewall WAN ou de Internet, onde os eventos são gerados pelo PoP de Cato, os eventos do Firewall LAN são gerados no próprio Socket. Esses eventos são enviados pelo túnel do site para serem armazenados no Aplicativo de Gerenciamento Cato. 

Todo o tráfego fluente pelo túnel é priorizado antes dos eventos do Firewall LAN, que têm uma prioridade QOS padrão de 255 e podem gerar uma sobrecarga adicional. 

Cato recomenda rastrear apenas regras de Firewall LAN de alta prioridade, para evitar uma sobrecarga adicional sobre o túnel.

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário