Gerenciando a Política do Firewall LAN Next Gen do Socket

Este artigo explica como configurar as regras do Firewall LAN Next Gen do Socket para rotear e controlar o tráfego do site localmente no Socket. Para mais informações sobre o Socket Next Gen LAN Firewall, veja O que é o Firewall LAN de Socket Next Gen.

Visão geral

Configurar regras de Rede LAN para definir o tráfego a ser roteado localmente com transporte LAN, em seguida criar regras de Firewall LAN relacionadas para impor a Política de Implantação de segurança para o tráfego.

Este é um exemplo de fluxo de trabalho em alto-nível para configurar a política:

  1. Determine quais sites requerem capacidades de aplicação de Camada 7 e configure-os na política.

    Isso habilita a aplicação de Camada 7 para regras do Firewall LAN, bem como eventos com dados de Camada 7 para o site.

  2. Monitorar Desempenho do Túnel de Socket e eventos para os locais para avaliar o impacto de ativar usuários LDAP na Camada 7.

  3. Criar regras de Rede LAN para definir qual tráfego de site é roteado localmente através do Socket em vez de pela WAN.

  4. Por cada regra de Rede LAN, criar regras de Firewall LAN para impor a Política de Implantação de segurança para o tráfego.

Ativando Capacidade de Camada 7 para um Site

Habilite capacidades de inspeção de Camada 7 para tráfego de um site. Após estar ativado, o Socket realiza inspeção profunda de pacotes no tráfego, quer uma regra de Firewall LAN esteja configurada ou não, enquanto houver tráfego definido para usar transporte LAN (veja O que é o Socket Next Gen LAN Firewall). Isso significa que dados de Camada 7 aparecem em eventos para o tráfego do site, incluindo campos como Aplicações, Risco do App, e App Personalizado. Isso também impacta o uso da CPU do Socket.

LAN_Firewall_L7_Sites.png

Para ativar a capacidade de Camada 7 para um site:

  1. No menu de navegação, clique em Segurança > Firewall LAN.

    A página do Firewall LAN abre sua revisão não publicada existente, ou a revisão publicada mais recente.

  2. Selecione a aba Locais da Camada 7.

  3. Clique em Novo. O painel Adicionar Site é aberto.

  4. Sob Site, selecione um ou mais locais da lista suspensa de sites do Socket.

  5. Clique em Aplicar. O site é adicionado à lista de locais da Camada 7.

  6. Clique em Salvar. A funcionalidade da Camada 7 é configurada para o site.

Criando regras de Rede LAN

Crie uma nova regra de Rede LAN e configure as configurações para definir o transporte para o tráfego. Para regras definidas com transporte LAN, você pode adicionar regras de Firewall LAN para gerenciar o controle de acesso para o tráfego. Para mais informações, veja abaixo Criar Regras de Firewall LAN.

LAN_Firewall.png

Para criar uma regra de Rede LAN:

  1. No menu de navegação, clique em Segurança > Firewall LAN.

    A página do Firewall LAN abre sua revisão não publicada existente, ou a revisão publicada mais recente.

  2. Clique em Novo e no menu suspenso selecione Nova Regra de Rede LAN. O painel Nova Regra de Rede é aberto.

  3. Digite o Nome para a regra.

  4. Ative ou desative a regra usando o controle deslizante (verde é ativado, cinza é desativado).

  5. Configure a Posição e a Direção para a nova regra.

    • Por padrão, a regra é aplicada em uma direção, da fonte Para o destino. Clique no menu suspenso Direção para definir a regra para operar em Ambas as direções.

  6. Expanda a seção Site e selecione um ou mais sites ou grupos de site que a regra se aplica. O valor padrão é Qualquer.

  7. Expanda a seção Fonte e selecione um ou mais objetos para a fonte de tráfego desta regra.

    1. Selecione o tipo (por exemplo: Host, Interface de Rede, IP, Usuário, Grupo de Usuários, Qualquer). O valor padrão é Qualquer.

    2. Quando necessário, selecione um objeto específico da lista suspensa para esse tipo.

  8. Expanda a seção Destino e selecione um ou mais objetos de destino para esta regra.

    1. Selecione o tipo (por exemplo: Host, Interface de Rede, IP, Usuário, Grupo de Usuários, Qualquer). O valor padrão é Qualquer.

    2. Quando necessário, selecione um objeto específico da lista suspensa para esse tipo.

  9. Expanda a seção Critérios e adicione as condições do dispositivo à regra. Para mais informações, veja Adicionando Condições de Dispositivo às Regras de Firewall. Os valores padrão são Qualquer.

  10. Expanda a seção Serviço/Porta e selecione os protocolos que a regra aplica com uma das seguintes opções:

    • Serviço Simples - Selecione os serviços de Camada 4 relevantes na lista.

      A lista de serviços predefinidos é baseada na definição RFC de cada serviço.

    • IServiço Personalizado - Insira a porta e o protocolo relevantes no formato "Protocolo/Porta" (ex.: TCP/80-88, UDP/53, ICMP)

    O valor padrão é Qualquer.

  11. (Opcional) Expanda a seção NAT para habilitar NAT na interface de saída. Isso traduz todos os IPs de origem para um IP NAT.

    image.png

  12. Selecione o Transporte para o tráfego que corresponde à regra. As opções são:

    • LAN - O tráfego é roteado localmente pelo Socket e não enviado para o PoP

    • WAN - O tráfego é enviado através da WAN para o PoP para inspeção

  13. Clique em Salvar.

    As mudanças são salvas em sua revisão não publicada e estão disponíveis para edição até serem publicadas ou descartadas.

Criando Regras de Firewall LAN

Crie uma nova regra de Firewall LAN e configure as configurações para gerenciar o controle de acesso para o tráfego. Uma regra de Firewall LAN só pode ser configurada com objetos dentro do escopo da sua regra de Rede LAN pai.

Regras para sites habilitados com capacidades de Camada 7 podem incluir condições com objetos de camada de aplicação como Aplicação e Domínio. Se as regras para sites sem capacidades de Camada 7 incluírem esses objetos, as regras não funcionarão corretamente.

Nota: Tráfego dentro do mesmo site que não corresponde a uma regra de Firewall LAN é considerado tráfego WAN, mesmo que viaje até o PoP e volte para o mesmo site.

Nota

Nota: Para usar objetos Usuário e Grupo de Usuários nos campos Fonte e Destino, ou para usar critérios de dispositivos em uma regra, por favor contate feature-releases@catonetworks.com para mais informações sobre ativar e usar este recurso.

Para criar uma regra de Firewall LAN:

  1. No menu de navegação, clique em Segurança > Firewall LAN.

    A página do Firewall LAN abre sua revisão não publicada existente, ou a revisão publicada mais recente.

  2. Clique em Novo e no menu suspenso selecione Nova Regra de Firewall LAN. O painel Nova Regra de Firewall abre.

  3. Insira o Nome para a regra.

  4. Habilite ou desabilite a regra usando o controle deslizante (verde é habilitado, cinza é desabilitado).

  5. Configure a Posição para a regra, e no menu suspenso Regras selecione a regra de referência relevante, da seguinte forma:

    • Para as opções Antes da Regra e Após a Regra, selecione no menu suspenso Regras uma regra de Firewall LAN sob a regra de Rede LAN relevante.

    • Para as opções Primeira na Regra e Última na Regra, selecione no menu suspenso Regras a regra de Rede LAN pai para esta regra.

  6. Configure a Direção para a regra.

    • Por padrão, a regra é aplicada em uma direção, da origem Para o destino. Clique no menu suspenso Direção para definir a regra para operar em Ambas as direções.

  7. Expanda a seção Origem e selecione um ou mais objetos de origem do tráfego para esta regra.

    1. Selecione o tipo (por exemplo: Host, Interface de Rede, IP, Usuário, Grupo de Usuários, Qualquer). O valor padrão é Qualquer.

    2. Quando necessário, selecione um objeto específico na lista suspensa para esse tipo.

  8. Expanda a seção Destino e selecione um ou mais objetos de destino para esta regra.

    1. Selecione o tipo (por exemplo: Host, Interface de Rede, IP, Usuário, Grupo de Usuários, Qualquer). O valor padrão é Qualquer.

    2. Quando necessário, selecione um objeto específico na lista suspensa para esse tipo.

  9. Expanda a seção App/Categoria e selecione um ou mais aplicativos para a regra.

    Quando houver mais de um objeto App/Categoria em uma regra, há uma relação OU entre eles. O valor padrão é Qualquer.

    Nota: Apenas configure objetos App/Categoria para regras para sites com capacidades de Camada 7 habilitadas. Caso contrário, a regra não funcionará corretamente.

  10. Expanda a seção Serviço/Porta e selecione os protocolos que a regra aplica com uma das seguintes opções:

    • Serviço Simples - Selecione os serviços de Camada 4 relevantes na lista

      A lista de serviços predefinidos é baseada na definição RFC de cada serviço.

    • Serviço - Selecione os serviços de Camada 7 relevantes na lista

    • IServiço Personalizado - Insira a porta e o protocolo relevantes no formato "Protocolo/Porta" (ex.: TCP/80-88, UDP/53, ICMP)

    O valor padrão é Qualquer.

  11. Selecione a Ação para esta regra. As opções são Permitir e Bloquear.

  12. (Opcional) Configure opções de rastreamento para gerar Eventos e Enviar Notificação. A frequência começa a contar após o envio da primeira notificação.

    Para mais informações sobre as notificações, consulte o artigo relevante para Grupos de Assinatura, Listas de Email e Integrações de Alerta na seção Alertas.

  13. Clique em Salvar.

    As mudanças são salvas em sua revisão não publicada e estão disponíveis para edição até serem publicadas ou descartadas.

Monitoramento e Eventos

Você pode, opcionalmente, ativar o rastreamento de eventos para cada regra definida na política do Firewall LAN de Próxima Geração.

Nota

Nota: o tráfego do firewall LAN não será visível nos painéis de análise de aplicativos e rede.

Os eventos aparecem em Monitoramento de Site > Eventos.

  • Tipo de Evento - Segurança

  • Sub-Tipo - Firewall LAN

Para filtrar eventos do Firewall LAN:

  1. Vá para Início > Eventos.

  2. Clique em Filtro e selecione o campo, operador e valor relevantes.

    1. Campo - Múltiplos campos podem ser selecionados como um filtro. Por exemplo, podemos optar por filtrar por "Site de origem" ou "Sub-Tipo" (Firewall LAN)

    2. Operador - Escolha incluir ou excluir valores específicos (É, Não é) ou múltiplos valores (Em, Não em), por exemplo "Site de origem" com operador "Em" permite selecionar vários sites de origem como valores.

    3. Valor - O valor para o campo.

  3. Clique em Adicionar filtro.

    image.png
image.png

No exemplo seguinte, você pode ver os detalhes de um evento do Firewall LAN.

  • Ação - Bloquear ou Monitorar. (O tráfego foi bloqueado ou permitido localmente pelo Firewall LAN)

  • Nome do Host Configurado - Informações adicionais do host sobre o IP de origem, se disponível.

  • Sub-Tipo - Firewall LAN.  Todos os eventos gerados pelo Firewall LAN terão este sub-tipo.

  • Regra de Rede - A regra de Rede LAN principal para a regra do Firewall LAN que gerou o evento.

  • Nome da Regra - O nome da regra do Firewall LAN que gerou o evento.

LAN_FW_L7_Event.png

Ao contrário do Firewall WAN ou de Internet, onde eventos são gerados pelo PoP da Cato, eventos do Firewall LAN são gerados no próprio Socket. Estes eventos são enviados pelo túnel do site para serem armazenados na Aplicação de Gerenciamento da Cato. 

Todo o tráfego de fluxo sobre o túnel é priorizado antes dos eventos do Firewall LAN, que têm uma prioridade de QoS padrão de 255 e podem gerar sobrecarga adicional. 

A Cato recomenda seguir apenas regras de Firewall LAN de alta prioridade para evitar sobrecarga adicional sobre o túnel.

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário