Nota
Nota: Por favor, entre em contato com cato-releases@catonetworks.com para mais informações sobre como habilitar e usar este recurso.
Por padrão, o tráfego LAN atrás de um site é enviado pela WAN para o PoP para inspeção de tráfego. Isso significa que, para hosts atrás do mesmo site, o tráfego é enviado ao PoP pela última milha e depois retorna ao mesmo site. Você também pode usar o Socket como um firewall LAN para segmentar o tráfego localmente, sem precisar de um aparelho de firewall de terceiros.
O Socket Next Gen LAN Firewall permite que você aplique controles de política de Camada 2 até Camada 7 (camada de aplicativo) ao tráfego leste-oeste enquanto roteia e segmenta o tráfego atrás do site. O roteamento do tráfego localmente também garante que ambientes críticos, como OT e IoT, possam continuar operando na rede local, mesmo que a conexão à Internet caia.
O Firewall LAN é uma política em nível de conta que permite que você configure regras para aplicar políticas corporativas em vários sites, sem configurar manualmente cada site.
A Corp de Exemplo possui 200 locais globais que usam o mesmo design de rede LAN. Isso inclui VLAN ID 10 para servidores e VLAN ID 20 para dispositivos OT críticos para negócios. A equipe de rede decide rotear o tráfego entre essas VLANs localmente, o que permite que os dispositivos OT e servidores continuem se comunicando mesmo se houver uma queda do ISP. Além disso, eles desejam permitir apenas protocolos específicos entre as VLANs.
A equipe de rede cria uma regra de Rede LAN com o Site configurado como um objeto de Grupo contendo os 200 sites relevantes, e o Transporte configurado como LAN para rotear o tráfego localmente. Em seguida, eles criam uma regra de Firewall LAN sob a regra de Rede LAN, com VLAN 10 e VLAN 20 configuradas como Origem e Destino, e Direção como Ambos. Sob Serviço/Porta, eles configuram os protocolos que desejam permitir, e a Ação é configurada como Permitir.
Esta única regra de Firewall LAN aplica a política a cada uma das 200 redes locais, sem a necessidade de configurar regras separadas para todos os sites.
-
O Firewall LAN Socket Next Gen está disponível apenas para contas que não têm uma política de firewall LAN de nível de site configurada atualmente. No futuro, a Cato converterá as atuais políticas de firewall LAN de nível de site para a política de Firewall LAN Socket Next Gen
-
Suportado a partir do Socket v22 e superior
O throughput máximo suportado para o Firewall LAN de Próxima Geração do Socket é baseado em uma mistura de aplicativos TCP e UDP definidos pela Cato.
|
Modelo de Socket |
Throughput de L4 Mbps |
Throughput de L7 Mbps |
|---|---|---|
|
X1500 |
1000 |
740 |
|
X1500B |
1000 |
1000 |
|
X1600 e X1600 LTE |
8000 |
2500 |
|
X1700 |
8000 |
8000 |
|
X1700B |
13000 |
10000 |
Nota: Desempenho e throughput são medidos sob condições ideais de teste com base em MTU de pacote de 1500.
Esta seção explica conceitos básicos para entender o papel e as capacidades do firewall LAN de Camada 7.
Para entender o papel do Firewall LAN e sua relação com outras políticas da Cato, é importante entender que a Cato identifica o tráfego como um de três diferentes tipos: LAN, WAN ou Internet. Compreender as distinções e características desses tipos de tráfego é crucial para o planejamento ideal de políticas e a utilização das diferentes políticas de firewall da Cato. Para mais informações, veja Getting Started with the Cato Firewalls.
O tráfego entre hosts dentro do mesmo site pode ser tratado como tráfego LAN (roteado pelo Socket e não enviado para o PoP) ou tráfego WAN (enviado para o PoP e depois de volta ao site), dependendo da sua configuração. O comportamento padrão do Socket é rotear todo o tráfego para o PoP para inspeção e o PoP bloqueia ou permite o tráfego. No entanto, o tráfego que corresponde à política de Firewall LAN é roteado localmente e não é enviado ao PoP.
Quando o tráfego de um host na LAN chega ao Socket, o Socket verifica se o tráfego corresponde a uma regra na política de firewall LAN.
-
Se corresponder a uma Regra, o Socket roteia o tráfego para o destino local sem enviá-lo ao PoP.
-
Se o tráfego não corresponder a uma Regra de Firewall LAN, ele é enviado para o PoP para tratamento pelo firewall WAN ou da Internet.
Para mais informações sobre a definição de tráfego LAN, veja abaixo, The LAN Firewall Policy.
O seguinte é um diagrama de máquina de estados mostrando como o Firewall LAN do Socket lida com o tráfego de um host na rede local.
O firewall LAN suporta inspeção das Camadas 2 a 4 e da Camada 7 (camada de aplicações), permitindo que você controle o tráfego baseado em aplicações, serviços e conteúdo específico dentro das aplicações. Por padrão, os sites suportam funcionalidade de Camada 2-4, e você define na política quais sites também estão habilitados com capacidades de Camada 7. Esta seção descreve a diferença entre os firewalls Camada 2-4 e Camada 7.
Firewalls de Camada 2-4 filtram tráfego baseado em critérios básicos tais como endereços IP, portas e protocolos da camada de transporte como TCP ou UDP. Para esses critérios, o Firewall Socket pode decidir permitir ou bloquear o tráfego com base no primeiro pacote. Embora eficaz para controle básico de tráfego, essa abordagem não analisa os dados reais sendo transmitidos nos pacotes.
Firewalls de Camada 7 (Camada de Aplicação) inspecionam a carga útil do pacote para identificar aplicações específicas, domínios ou protocolos. Por exemplo, um firewall Camada 7 pode distinguir entre tráfego SMBv1 e SMBv3 ou identificar o aplicativo específico gerando o tráfego (como o Office 365). Essa inspeção mais profunda permite uma aplicação mais granulada de políticas e controle aprimorado sobre o tráfego da rede local. No entanto, porque a inspeção de Camada 7 requer a análise de pacotes adicionais para determinar os dados da aplicação (por exemplo, extrair um nome de domínio no tráfego HTTP), e recursos maiores do Socket do que o processamento de Camada 4. Isso deve ser levado em consideração ao planejar sua política de firewall LAN corporativa e decidir quais sites habilitar com capacidades de Camada 7.
Quando você habilita um site com capacidades de Camada 7, o Socket realiza inspeção profunda de pacotes no tráfego, independentemente de uma regra de Firewall LAN estar configurada, desde que haja tráfego definido para usar o transporte LAN (veja abaixo, The LAN Firewall Policy). Isso significa que dados de Camada 7 aparecem em eventos para o tráfego do site, incluindo campos como Aplicação, Risco do App, e Aplicativos Personalizados.
O Socket aplica a Política de Firewall LAN primeiro determinando uma decisão de roteamento para o tráfego LAN - se enviar o tráfego para o PoP ou roteá-lo localmente. Em segundo lugar, as regras de firewall LAN são aplicadas para determinar se o tráfego é bloqueado ou permitido.
Para implementar isso, a política de firewall LAN inclui regras de Rede LAN e Firewall LAN. As regras de Rede LAN definem como o Socket roteia o tráfego, localmente pela LAN, ou como tráfego WAN enviado para um PoP. Uma vez que uma regra de Rede LAN é correspondida e define o Transporte como LAN, as regras de Firewall LAN associadas determinam se o tráfego é Permitido ou Bloqueado, e o Socket aplica a regra. Se o tráfego não corresponder a nenhuma Regra de Rede LAN, ele é tratado como tráfego WAN e enviado para o PoP.
Regras de Firewall LAN estão vinculadas a uma única Regra de Rede LAN, garantindo que as ações do firewall sejam específicas para o tráfego definido por essa Regra de Rede LAN.
As seções seguintes descrevem as características das regras de Rede LAN e de Firewall LAN.
As regras de Rede LAN controlam qual transporte (LAN ou WAN) é usado para definir o tráfego entre vários hosts ou segmentos de rede. Esta é uma política configurada globalmente para toda a Conta, e não por Sites Específicos. Isso significa que cada regra pode ser configurada para ser aplicada a vários Sites na Conta. Por exemplo, se você configurar vários Sites usando a mesma configuração de VLAN, você pode criar uma única regra que se aplica às VLANs em cada site definido na regra.
As regras de Rede LAN fazem decisões de roteamento de Camada 4 e não usam funcionalidade de Camada 7. Por exemplo, você pode definir regras de Rede com condições para sites, VLANs ou protocolos específicos, mas não pode fazer uma condição baseada na aplicação.
Uma regra de Rede LAN pode ser uma regra pai para várias regras de Firewall LAN abaixo dela. Há uma regra padrão Bloqueio Qualquer-Qualquer configurada como a última regra sob uma regra de Rede LAN. Portanto, se o tráfego corresponder a uma regra de Rede LAN, mas não corresponder a uma regra de Firewall LAN, ele é Bloqueado.
Regras de Firewall LAN permitem ou bloqueiam tipos específicos de tráfego, e rastreiam esses eventos para fins de monitoramento e conformidade. Cada regra de Firewall LAN está diretamente ligada a uma regra de Rede LAN específica e está limitada ao escopo de origem e destino da regra matriz. As regras de Firewall LAN suportam até segmentação de Camada 4 por padrão, incluindo segmentação baseada em Endereços MAC. Além disso, para sites configurados com funcionalidade de Camada 7, as regras de Firewall LAN podem incluir filtragem inteligente de tráfego com base em aplicações, domínios e outras condições de Camada 7.
Há uma regra padrão de Firewall LAN Bloqueio Qualquer-Qualquer configurada como a última regra sob cada regra de Rede LAN. Portanto, se o tráfego corresponder a uma regra de Rede LAN, mas não corresponder a uma regra de Firewall LAN, ele é Bloqueado. Esse comportamento implícito reforça uma abordagem verdadeiramente zero confiança para segmentação on-premises, garantindo que apenas o tráfego explicitamente permitido possa atravessar a rede local.
0 comentário
Artigo fechado para comentários.