O que é o Socket Next Gen LAN Firewall

A Example Corp possui 200 filiais globais que utilizam o mesmo design de rede LAN. Isso inclui VLAN ID 10 para servidores e VLAN ID 20 para dispositivos OT críticos para os negócios. A equipe de rede decide rotear o tráfego entre essas VLANs localmente, o que permite que os dispositivos OT e servidores continuem se comunicando mesmo que haja uma falha no ISP. Além disso, eles desejam permitir apenas protocolos específicos entre as VLANs.

A equipe de rede cria uma regra de Rede LAN com o Site configurado como um objeto Grupo contendo os 200 sites relevantes, e a Transporte configurada como LAN para rotear o tráfego localmente. Então, eles criam uma regra de Firewall LAN sob a regra de Rede LAN, com VLAN 10 e VLAN 20 configuradas como Fonte e Destino, e Direção como Ambas. Em Serviço/Porta, eles configuram os protocolos que desejam permitir, e a Ação é configurada como Permitir.

Essa única regra de Firewall LAN aplica a política a cada uma das 200 redes locais, sem precisar configurar regras separadas para todos os sites.

Para entender o papel do LAN Firewall e sua relação com outras políticas da Cato, é importante entender que a Cato identifica o tráfego como um dos três tipos diferentes: LAN, WAN ou Internet. Compreender as distinções e características desses tipos de tráfego é crucial para um planejamento de política ideal e utilização das diferentes políticas de firewall da Cato. Para mais informações, consulte Introdução aos Firewalls Cato.

O tráfego entre hosts dentro do mesmo site pode ser tratado como tráfego LAN (roteado pelo Socket e não enviado ao PoP), ou tráfego WAN (enviado para o PoP e então retornado ao site), dependendo de sua configuração. O comportamento padrão do Socket é rotear todo o tráfego para o PoP para inspeção, e o PoP bloqueia ou permite o tráfego. No entanto, o tráfego que corresponde à política de LAN Firewall é roteado localmente e não enviado ao PoP.

Quando o tráfego de um host na LAN chega ao Socket, o Socket verifica se o tráfego corresponde a uma regra na política de firewall LAN.

Para mais informações sobre definir Tráfego LAN, veja abaixo, A Política de Implantação de Firewall LAN.

A seguir, um diagrama de máquina de estados mostrando como o Socket LAN Firewall lida com o tráfego de um host na rede local.

O firewall LAN suporta inspeção das Camadas 2 até 4 e da Camada 7 (camada de aplicação), permitindo controlar o tráfego com base em aplicações, serviços e conteúdos específicos dentro de aplicações. Por padrão, sites suportam funcionalidades da Camada 2-4, e você define na política quais sites também estão habilitados com capacidades da Camada 7. Esta seção descreve a diferença entre firewalling da Camada 2-4 e da Camada 7.

Firewalls de Camadas 2-4 filtram tráfego com base em critérios básicos, como endereços IP, portas e protocolos da camada de transporte como TCP ou UDP. Para esses critérios, o firewall Socket pode decidir permitir ou bloquear o tráfego com base no primeiro pacote. Embora eficaz para controle básico de tráfego, essa abordagem não analisa os dados reais sendo transmitidos dentro dos pacotes.

Firewalls de Camada 7 (Camada de Aplicação) inspecionam o payload dos pacotes para identificar aplicações específicas, domínios ou protocolos. Por exemplo, um firewall de Camada 7 pode distinguir entre tráfego SMBv1 e SMBv3 ou identificar a aplicação específica gerando o tráfego (como Office 365). Essa inspeção mais profunda permite uma aplicação de políticas mais granular e controle aprimorado sobre o tráfego da rede local. No entanto, porque a inspeção de Camada 7 requer a análise de pacotes adicionais para determinar os dados da aplicação (por exemplo, extraindo um nome de domínio no tráfego HTTP), e mais recursos de Socket do que o processamento de Camada 4. Isso deve ser levado em consideração ao planejar sua política de firewall corporativo LAN e decidir quais sites habilitar com capacidades da Camada 7.

Quando você ativa um site com capacidade de Camada 7, o Socket realiza inspeção profunda de pacotes no Tráfego, independentemente de uma Regra de Firewall LAN estar configurada, desde que haja tráfego definido para usar transporte LAN (veja abaixo, A Política de Implantação de Firewall LAN). Isso significa que os dados de Camada 7 aparecem em eventos para o tráfego do site, incluindo campos como Aplicação, Risco da Aplicação e Aplicativo Personalizado.

As regras de Rede LAN controlam qual transporte (LAN ou WAN) é usado para rotear o tráfego entre vários hosts ou segmentos de rede. Esta é uma política global configurada para a conta inteira, e não por sites específicos. Isso significa que cada regra pode ser configurada para se aplicar a múltiplos sites na conta. Por exemplo, se você configurar vários sites usando a mesma configuração de VLAN, pode criar uma única regra que se aplica às VLANs em cada site definido na regra.

As regras de Rede LAN tomam decisões de roteamento da Camada 4 e não usam a funcionalidade da Camada 7. Por exemplo, você pode definir regras de Rede com condições para sites, VLANs ou protocolos específicos, mas não pode fazer uma condição baseada na aplicação.

Uma regra de Rede LAN pode ser pai de múltiplas regras de Firewall LAN abaixo dela. Há uma regra padrão de Bloqueio ANY-ANY configurada como a última regra sob uma regra de Rede LAN. Portanto, se o tráfego corresponder a uma regra de Rede LAN, mas não a uma regra de Firewall LAN, ele é bloqueado.

As regras de Firewall LAN permitem ou bloqueiam tipos específicos de tráfego e rastreiam esses eventos para fins de monitoramento e conformidade. Cada regra de Firewall LAN está diretamente ligada a uma regra de Rede LAN principal específica e é limitada ao escopo de origem e destino da regra principal. As regras de Firewall LAN dão suporte à segmentação até a Camada 4 por padrão, incluindo segmentação baseada em endereços MAC. Além disso, para sites configurados com funcionalidade de Camada 7, as regras de Firewall LAN podem incluir filtragem inteligente de tráfego baseada em aplicações, domínios e outras condições de Camada 7.

Há uma regra padrão de Bloqueio ANY-ANY do Firewall LAN configurada como a última regra sob cada regra de Rede LAN. Portanto, se o Tráfego corresponder a uma Regra de Rede LAN, mas não corresponder a uma Regra de Firewall LAN, ele será bloqueado. Esse comportamento implícito aplica uma abordagem verdadeira de confiança zero à segmentação em premissas, garantindo que somente o tráfego explicitamente permitido possa transitar na rede local.

A contagem de acertos ajuda a identificar regras não utilizadas que podem ser removidas de uma política, e otimizar a configuração de regras para melhor corresponder ao escopo de tráfego necessário. A contagem de acertos para uma regra é baseada no número de eventos gerados pela regra. Se uma regra não gera eventos, a contagem de acertos é zero.

A contagem de acertos contém dois números:

Esses valores são atualizados a cada 24 horas e são baseados nos últimos 14 dias de tráfego.

Você pode identificar rapidamente as regras com a contagem de acertos mais alta e mais baixa, com base na cor da barra de status. Essa cor reflete com que frequência a regra é acertada em relação a outras regras:

Redefinindo e Atualizando o Contador de Acertos

Os valores da contagem de acertos são atualizados automaticamente a cada 24 horas e são baseados nos últimos 14 dias de tráfego. Nos três pontos no final de cada regra, você pode redefinir ou atualizar a contagem de acertos para visibilidade atualizada. Isso permite medir com precisão a eficácia das regras e validar imediatamente a atividade das regras.

• Redefinir o contador de acertos para uma regra específica retorna a contagem de acertos a 0

• Recarregar o contador de acertos atualiza a contagem de acertos sob demanda para todas as regras de política