Nota
Nota: Migração automática futura das regras de Firewall LAN do Site para a Política em Nível de Conta
A partir de 1º de julho de 2025, migraremos as regras de firewall LAN em nível de site existentes para a política de Firewall LAN Next Gen Socket em nível de conta.
- Cada regra em nível de site será automaticamente configurada na nova política como uma regra de Rede para especificar o roteamento, e uma regra de Firewall para permitir ou bloquear o tráfego
- As regras de cada site serão adicionadas como uma seção separada na base de regras
- A migração é um processo automático e contínuo, e não se espera interrupção do serviço
- Se estiver interessado em migrar sua política antes de 1º de julho, entre em contato com cato-releases@catonetworks.com
Por padrão, o tráfego LAN atrás de um site é enviado através da WAN para o PoP para inspeção de tráfego. Isso significa que, para hosts atrás do mesmo site, o tráfego é enviado pela última milha para o PoP e depois retornado ao mesmo site. Você também pode usar o Socket como um firewall LAN para segmentar o tráfego localmente, sem precisar de um aparelho de firewall de terceiros.
O Socket Next Gen LAN Firewall permite aplicar controles de políticas da Camada 2 até a Camada 7 (camada de aplicação) ao tráfego leste-oeste enquanto roteia e segmenta o tráfego atrás do site. Roteando o tráfego localmente também garante que ambientes críticos como OT e IoT possam continuar operando na rede local, mesmo se a conexão com a Internet estiver fora do ar.
O LAN Firewall é uma política em nível de conta que permite configurar regras para aplicar políticas corporativas em vários sites, sem a necessidade de configurá-las manualmente em cada site.
A Example Corp possui 200 filiais globais que utilizam o mesmo design de rede LAN. Isso inclui VLAN ID 10 para servidores e VLAN ID 20 para dispositivos OT críticos para os negócios. A equipe de rede decide rotear o tráfego entre essas VLANs localmente, o que permite que os dispositivos OT e servidores continuem se comunicando mesmo que haja uma falha no ISP. Além disso, eles desejam permitir apenas protocolos específicos entre as VLANs.
A equipe de rede cria uma regra de Rede LAN com o Site configurado como um objeto Grupo contendo os 200 sites relevantes, e a Transporte configurada como LAN para rotear o tráfego localmente. Então, eles criam uma regra de Firewall LAN sob a regra de Rede LAN, com VLAN 10 e VLAN 20 configuradas como Fonte e Destino, e Direção como Ambas. Em Serviço/Porta, eles configuram os protocolos que desejam permitir, e a Ação é configurada como Permitir.
Essa única regra de Firewall LAN aplica a política a cada uma das 200 redes locais, sem precisar configurar regras separadas para todos os sites.
-
O Socket Next Gen LAN Firewall está disponível apenas para contas que não possuem uma política atual de LAN Firewall em nível de site configurada. No futuro, a Cato converterá as políticas atuais de LAN Firewall em nível de site para a política Socket Next Gen LAN Firewall
-
Suportado a partir de Socket v22 e versões superiores
A largura de banda máxima suportada para o Socket Next Gen LAN Firewall é baseada em uma combinação de aplicativos TCP e UDP definida pela Cato.
|
Modelo Socket |
Largura de Banda L4 Mbps |
Largura de Banda L7 Mbps |
|---|---|---|
|
X1500 |
1000 |
740 |
|
X1500B |
1000 |
1000 |
|
X1600 e X1600 LTE |
8000 |
2500 |
|
X1700 |
8000 |
8000 |
|
X1700B |
13000 |
10000 |
Nota: O desempenho e a largura de banda são medidos sob condições ideais de teste com base em 1500 MTU de pacote.
Esta seção explica conceitos básicos para entender o papel e as capacidades do firewall LAN de Camada 7.
Para entender o papel do LAN Firewall e sua relação com outras políticas da Cato, é importante entender que a Cato identifica o tráfego como um dos três tipos diferentes: LAN, WAN ou Internet. Compreender as distinções e características desses tipos de tráfego é crucial para um planejamento de política ideal e utilização das diferentes políticas de firewall da Cato. Para mais informações, veja Introdução aos Firewalls Cato.
O tráfego entre hosts dentro do mesmo site pode ser tratado como tráfego LAN (roteado pelo Socket e não enviado ao PoP), ou tráfego WAN (enviado para o PoP e então retornado ao site), dependendo de sua configuração. O comportamento padrão do Socket é rotear todo o tráfego para o PoP para inspeção, e o PoP bloqueia ou permite o tráfego. No entanto, o tráfego que corresponde à política de LAN Firewall é roteado localmente e não enviado ao PoP.
Quando o tráfego de um host na LAN chega ao Socket, o Socket verifica se o tráfego corresponde a uma regra na política de firewall LAN.
-
Se corresponder a uma regra, o Socket roteia o tráfego para o destino local sem enviá-lo ao PoP.
-
Se o tráfego não corresponder a uma regra de firewall LAN, ele é enviado ao PoP para ser tratado pelo firewall WAN ou da Internet.
Para mais informações sobre como definir o tráfego LAN, veja abaixo, A Política de Firewall LAN.
A seguir, um diagrama de máquina de estados mostrando como o Socket LAN Firewall lida com o tráfego de um host na rede local.
O firewall LAN suporta inspeção das Camadas 2 até 4 e da Camada 7 (camada de aplicação), permitindo controlar o tráfego com base em aplicações, serviços e conteúdos específicos dentro de aplicações. Por padrão, sites suportam funcionalidades da Camada 2-4, e você define na política quais sites também estão habilitados com capacidades da Camada 7. Esta seção descreve a diferença entre firewalling da Camada 2-4 e da Camada 7.
Firewalls de Camadas 2-4 filtram tráfego com base em critérios básicos, como endereços IP, portas e protocolos da camada de transporte como TCP ou UDP. Para esses critérios, o firewall Socket pode decidir permitir ou bloquear o tráfego com base no primeiro pacote. Embora eficaz para controle básico de tráfego, essa abordagem não analisa os dados reais sendo transmitidos dentro dos pacotes.
Firewalls de Camada 7 (Camada de Aplicação) inspecionam o payload dos pacotes para identificar aplicações específicas, domínios ou protocolos. Por exemplo, um firewall de Camada 7 pode distinguir entre tráfego SMBv1 e SMBv3 ou identificar a aplicação específica gerando o tráfego (como Office 365). Essa inspeção mais profunda permite uma aplicação de políticas mais granular e controle aprimorado sobre o tráfego da rede local. No entanto, porque a inspeção de Camada 7 requer a análise de pacotes adicionais para determinar os dados da aplicação (por exemplo, extraindo um nome de domínio no tráfego HTTP), e mais recursos de Socket do que o processamento de Camada 4. Isso deve ser levado em consideração ao planejar sua política de firewall corporativo LAN e decidir quais sites habilitar com capacidades da Camada 7.
Quando você habilita um site com capacidades de Camada 7, o Socket realiza inspeção de pacotes profunda no tráfego, independentemente de uma regra de Firewall LAN estar configurada, desde que haja tráfego definido para usar o transporte LAN (veja abaixo, A Política de Firewall LAN). Isso significa que os dados de Camada 7 aparecem em eventos para o tráfego do site, incluindo campos como Aplicação, Risco da Aplicação e Aplicativo Personalizado.
O Socket aplica a política de firewall LAN determinando primeiro uma decisão de roteamento para o tráfego LAN - se enviar o tráfego para o PoP ou roteá-lo localmente. Em segundo lugar, as regras de firewall LAN são aplicadas para determinar se o tráfego é bloqueado ou permitido.
Para implementar isso, a política de firewall LAN inclui regras de Rede LAN e de Firewall LAN. As regras de Rede LAN definem como o Socket roteia o tráfego, localmente sobre a LAN ou como tráfego WAN enviado a um PoP. Uma vez que uma regra de Rede LAN é correspondida e define o Transporte como LAN, as regras de Firewall LAN relacionadas determinam se o tráfego é permitido ou bloqueado, e o Socket aplica a regra. Se o tráfego não corresponder a nenhuma regra de Rede LAN, é tratado como tráfego WAN e enviado para o PoP.
As regras de Firewall LAN estão vinculadas a uma única regra de Rede LAN, garantindo que as ações de firewall sejam específicas para o tráfego definido por essa regra de Rede LAN.
As seções a seguir descrevem as características para regras de Rede LAN e de Firewall LAN.
As regras de Rede LAN controlam qual transporte (LAN ou WAN) é usado para rotear o tráfego entre vários hosts ou segmentos de rede. Esta é uma política global configurada para a conta inteira, e não por sites específicos. Isso significa que cada regra pode ser configurada para se aplicar a múltiplos sites na conta. Por exemplo, se você configurar vários sites usando a mesma configuração de VLAN, pode criar uma única regra que se aplica às VLANs em cada site definido na regra.
As regras de Rede LAN tomam decisões de roteamento da Camada 4 e não usam a funcionalidade da Camada 7. Por exemplo, você pode definir regras de Rede com condições para sites, VLANs ou protocolos específicos, mas não pode fazer uma condição baseada na aplicação.
Uma regra de Rede LAN pode ser pai de múltiplas regras de Firewall LAN abaixo dela. Há uma regra padrão de Bloqueio ANY-ANY configurada como a última regra sob uma regra de Rede LAN. Portanto, se o tráfego corresponder a uma regra de Rede LAN, mas não a uma regra de Firewall LAN, ele é bloqueado.
As regras de Firewall LAN permitem ou bloqueiam tipos específicos de tráfego e rastreiam esses eventos para fins de monitoramento e conformidade. Cada regra de Firewall LAN está diretamente ligada a uma regra de Rede LAN principal específica e é limitada ao escopo de origem e destino da regra principal. As regras de Firewall LAN dão suporte à segmentação até a Camada 4 por padrão, incluindo segmentação baseada em endereços MAC. Além disso, para sites configurados com funcionalidade de Camada 7, as regras de Firewall LAN podem incluir filtragem inteligente de tráfego baseada em aplicações, domínios e outras condições de Camada 7.
Há uma regra padrão de Bloqueio ANY-ANY do Firewall LAN configurada como a última regra sob cada regra de Rede LAN. Portanto, se o tráfego corresponder a uma regra de Rede LAN, mas não a uma regra de Firewall LAN, ele é bloqueado. Esse comportamento implícito aplica uma abordagem verdadeira de confiança zero à segmentação em premissas, garantindo que somente o tráfego explicitamente permitido possa transitar na rede local.
0 comentário
Artigo fechado para comentários.