Os firewalls desempenham um papel fundamental na segurança das suas redes corporativas e na proteção dos recursos internos. Este artigo contém recomendações e melhores práticas para ajudá-lo a criar a política de segurança mais rígida para sua organização. Também explicamos como manter suas políticas de firewall limpas e gerenciáveis.
O firewall de Internet ajuda você a gerenciar o acesso de usuários e dispositivos em sua rede a uma ampla variedade de serviços web, aplicações e conteúdos. O firewall WAN permite que você gerencie o tráfego WAN para recursos internos e entre usuários e sites. Este guia ajuda a configurar e ajustar as regras em cada firewall para maximizar a eficácia da política de segurança.
Para mais informações sobre configurações específicas de regras, consulte Referência para Objetos de Regras.
A página Melhores Práticas na Aplicação de Gerenciamento Cato (CMA) mostra uma série de verificações de firewall, e se sua conta está em conformidade com elas, para mais informações, veja Revisão das Melhores Práticas para Sua Conta no CMA.
Existem duas abordagens para bases de regras de firewall: lista de permissão e lista de bloqueio. Listar as regras de firewall significa que as regras definem qual tráfego o firewall permite. Todo o tráfego restante é bloqueado pelo firewall. Listas de bloqueio na base de regras de firewall é o oposto; as regras definem o tráfego que é bloqueado. Todo o tráfego restante é permitido pelo firewall. As organizações escolhem a abordagem que melhor atende às suas necessidades e situações específicas.
- Uma política de segurança de allowlist tem uma regra de bloqueio ANY ANY como a regra final para bloquear todo o tráfego que não corresponde a uma regra de permissão
- Uma política de segurança de blocklist tem uma regra de permissão ANY ANY como a regra final para permitir todo o tráfego que não corresponde a uma regra de bloqueio
As recomendações para cada abordagem são discutidas abaixo nas respectivas seções para os Firewalls de Internet e WAN.
Os firewalls de Internet e WAN da Cato usam dois tipos diferentes de regras de firewall:
- Regras de firewall tradicionais (também conhecidas como regras simples)
- Regras de firewall de próxima geração (NG) (também conhecidas como regras complexas)
Esta seção descreve as diferenças entre esses tipos de regras e a lógica que o firewall usa para aplicá-las ao tráfego de rede.
A Cato permite que você defina uma política de segurança de rede e configure regras de firewall tradicionais para controlar o tráfego de entrada e saída na sua rede. As regras de firewall tradicionais da Cato possuem apenas uma ou mais das seguintes configurações:
- Intervalo de IP
- ASN
- Países
- Site
- Host
-
Protocolo/Porta
- Protocolos disponíveis: TCP, UDP, TCP/UDP e ICMP
O motor de firewall tradicional avalia o tráfego no primeiro pacote. Por exemplo, administradores de rede podem configurar regras de firewall baseadas em protocolos e portas. Para este tipo de regra, o firewall decide permitir ou bloquear o tráfego com base no primeiro pacote.
A captura de tela a seguir mostra um exemplo de regra de firewall WAN tradicional que bloqueia o tráfego TCP na porta 80:
A figura a seguir mostra um exemplo de uma conexão TCP do Host A para o Host B e o ponto para que o motor de firewall tradicional avalie uma regra de bloqueio:
Nota
Nota: O motor de firewall tradicional não descarta os pacotes. O PoP completa o handshake TCP sem enviar nenhum pacote para o destino (Host B). A razão para isso é exibir a página de redirecionamento da Internet para ações de bloqueio ou de aviso. Para mais informações sobre a página de redirecionamento, consulte Personalizando a Página de Bloqueio/Solicitação.
O motor de firewall NG da Cato é stateful e usa inspeção de dados na camada de aplicação para total percepção e controle de aplicações e serviços. Aplica inspeção profunda de pacotes (DPI) e múltiplos motores de segurança para inspecionar o tráfego. O elemento chave do motor de firewall NG é a conscientização da aplicação, que permite definir regras que permitem ou bloqueiam o tráfego com base em aplicações e serviços. O motor de firewall NG inspeciona o conteúdo dos pacotes com base em aplicações, aplicações personalizadas, categorias, categorias personalizadas, serviços, FQDN, domínio e mais. Por exemplo, você pode definir uma regra para bloquear o tráfego do aplicativo uTorrent na sua rede. Para inspecionar o conteúdo dos dados do fluxo de comunicação, o firewall avalia múltiplos pacotes no fluxo, incluindo pacotes que podem ajudar a identificar a aplicação e outros atributos da carga útil do conteúdo.
A figura a seguir mostra um exemplo de uma conexão TCP do Host A para o Host B e o ponto para que o NG firewall avalie uma regra de bloqueio:
Esta seção contém melhores práticas para uma política de segurança sólida que são relevantes para os firewalls de Internet e WAN.
Os firewalls WAN e de Internet no Cato Networks são firewalls ordenados. O firewall inspeciona as conexões sequencialmente e verifica se a conexão corresponde a uma regra. Por exemplo, se uma conexão corresponder à regra #3, a ação é aplicada à conexão, e o firewall para de inspecioná-la. O firewall não continua aplicando as regras #4 e posteriores à conexão.
Quando as regras de firewall estão na ordem errada, você pode acidentalmente bloquear ou permitir o tráfego. Isso pode levar a uma má experiência do usuário ou criar riscos de segurança. Para mais informações sobre a ordem das regras do firewall, consulte os artigos da Base de Conhecimento sobre firewall.
Esta é a ordem recomendada da base de regras para a maioria dos casos:
- Regras específicas de bloqueio
- Regras gerais de permissão
- Regras específicas de permissão
-
Regra ANY ANY
- Allowlist (firewall padrão WAN) usa uma regra final de bloqueio
- Blocklist (firewall padrão da Internet) com uma regra final de permissão
Como o firewall Cato segue uma base de regras ordenada, se você configurar as regras do firewall NG antes das regras do firewall tradicional, o motor DPI inspeciona o tráfego para identificar a aplicação ou serviço antes de aplicar a ação. Isso significa que o primeiro pacote pode passar e chegar ao destino. Portanto, para que as regras tradicionais protejam adequadamente sua rede e apliquem a ação no primeiro pacote, elas precisam ter uma alta prioridade e estar localizadas no topo da base de regras (antes de qualquer regra de firewall NG). Recomendamos que você coloque todas as regras de firewall tradicionais no topo da base de regras antes das regras do firewall NG.
Para mais informações, veja acima Regras de Firewall Tradicionais vs NG.
Cato também recomenda essas configurações para o firewall de WAN e Internet para mitigar ainda mais os riscos relacionados ao tráfego de DNS:
- Bloquear usos evasivos do DNS restringindo o serviço DNS sobre HTTPS - DoH nas políticas de firewall
-
No firewall da Internet, bloquear a categoria de Aplicação de Domínio Estacionado para tráfego DNS
- Defina corretamente as segmentações WAN para bloquear ataques de rebind de DNS
As políticas de Firewall WAN e Internet suportam até 128 predicados por regra cada.
Predicados são os tipos de configurações definidos para uma regra, e os elementos são o número total de itens. Por exemplo, uma regra com 100 usuários e 10 sites possui 110 elementos e 2 predicados (usuário e site).
Grupos e grupos avançados cada um conta como um único predicado.
A opção Rastrear para regras de firewall permite que você monitore e analise os eventos de tráfego e notificações do firewall. Recomendamos que você configure regras para gerar eventos para a ação de Bloquear, a fim de monitorar facilmente as fontes que tentam acessar conteúdo restrito. Você também pode configurar eventos e notificações para regras que lidam com tráfego com riscos de segurança significativos.
Como prática recomendada, recomendamos usar o monitoramento para registrar todo o tráfego da Internet. Para implementar isso, adicione uma regra explícita de Permitir ANY-ANY como regra final do Firewall da Internet e configure-a para gerar eventos. Isso fornece visibilidade para todo o tráfego de Internet na sua rede, permitindo que você entenda como proteger melhor a rede e os usuários, mantendo a usabilidade.
Para mais informações sobre notificações por e-mail e eventos, consulte Alertas a Nível de Conta e Notificações de Sistema.
A configuração de Tempo permite definir um intervalo de tempo específico para a regra de firewall. Fora do intervalo de tempo, o firewall ignora essa regra. Este recurso permite que você limite o acesso à Internet e melhore o controle de acesso na sua rede. Por exemplo, você pode definir uma regra no firewall da Internet que bloqueia o acesso à categoria Social apenas durante o horário de trabalho. Você pode criar uma regra no firewall WAN que só permite acesso a um data center na nuvem durante o horário de expediente. A seção Ações para uma regra fornece uma opção predefinida para Limitar às horas de trabalho.
Você também pode agendar restrições de tempo Personalizadas e limitar a regra às horas especificadas. Certifique-se de que a hora De seja configurada antes da hora Até, caso contrário, a regra não funcionará corretamente. Se você quiser criar uma restrição que abranja o final de um dia e o início do próximo, crie duas regras e defina uma restrição para as horas relevantes de cada dia. Por exemplo, uma regra com uma restrição definida de 23:00-23:59 na Segunda-feira e uma segunda regra com uma restrição definida de 00:00 a 01:00 na Terça-feira.
Nota
Nota: As regras de firewall com restrição de tempo têm diferentes classificações com base no tipo de usuário:
- Para sites, o fuso horário configurado será usado para aplicar regras de firewall com restrição de tempo
- Para usuários ZTNA, as regras de firewall com restrição de tempo serão baseadas na geolocalização de seu endereço de IP público. Se isso não estiver disponível, a geolocalização do fuso horário da conta será usada.
Uma base de regras de firewall simples e limpa ajuda a implementar uma política de segurança sólida porque é mais fácil de gerenciar e reduz confusões. As recomendações nesta seção ajudam você a criar uma política de segurança clara e consistente e evitar erros.
Quando você criar uma regra, dê a ela um nome específico e único. Nomes de regras autoexplicativos permitem que outros administradores na equipe entendam facilmente o propósito da regra. Regras mal nomeadas podem causar erros e criar confusão.
Por exemplo, nomeie uma regra de firewall de Internet que bloqueia sites de jogos de azar como Bloquear Jogos de Azar em vez de Sites Bloqueados.
Cada regra individual de firewall pode ser desativada ou ativada. No entanto, recomendamos que você só desative regras por um curto período de tempo. Para regras que estão obsoletas e não são mais usadas, exclua-as da base de regras em vez de desativá-las. Regras desativadas tornam a base de regras mais complexa e difícil de gerenciar.
Ao criar uma regra de firewall, use um Grupo de usuários ou sites e restrinja o acesso à rede para os membros deste grupo. Por exemplo, você pode criar um grupo de usuários (Recursos > Grupos) e bloquear o acesso à internet somente para este grupo.
Exceções são ferramentas poderosas para regras de firewall, mas podem tornar a base de regras difícil de ler. Nos casos em que você usa exceções em regras, nomeie as regras de forma que fique óbvio que elas contêm exceções. Por exemplo, Bloquear Social (com exceção).
Embora não haja limitação no número de regras que podem ser adicionadas a uma política de firewall, um número extremamente alto pode resultar em problemas de desempenho e tornar a política difícil de gerenciar. Recomendamos projetar a base de regras para evitar a necessidade de um número muito alto de regras.
O firewall da Internet Cato inspeciona o tráfego da Internet e permite que você crie regras para controlar o acesso à Internet. O firewall de Internet é baseado em um conjunto de regras de segurança que permitem a você permitir ou bloquear o acesso de sites e usuários a websites, categorias, aplicativos, entre outros. A abordagem padrão do firewall de Internet é a lista de bloqueio (Qualquer Qualquer Permitir).
A captura de tela a seguir mostra uma política de firewall da Internet de exemplo no CMA (Segurança > Firewall da Internet):
Nota: Uma regra de sistema no topo da regra de base do firewall da Internet. Esta regra bloqueia automaticamente tráfego potencialmente ilegal ou malicioso conforme definido pelo Acordo de Serviço Mestre (MSA) da Cato Networks.
Melhores Práticas para a Política de Firewall da Internet Cato
A seção contém melhores práticas para ajudar a proteger o acesso à Internet para sua conta.
QUIC é um novo transporte multiplexado construído sobre UDP. O HTTP/3 é projetado para aproveitar as características do QUIC, incluindo a ausência de bloqueio de Head-Of-Line entre fluxos. O projeto QUIC começou como uma alternativa para TCP+TLS+HTTP/2, com o objetivo de melhorar a experiência do usuário, particularmente os tempos de carregamento de páginas. Cato pode identificar e bloquear o tráfego QUIC assim como o tráfego GQUIC (Google QUIC).
Para gerenciar o tráfego QUIC em uma regra de firewall ou de rede, use o serviço QUIC e a aplicação GQUIC nas regras relevantes. Estes são exemplos de regras de firewall da Internet bloqueando o tráfego QUIC para uma conta:
Como o protocolo QUIC funciona sobre UDP 443, o tráfego HTTP encapsulado não é analisado. Isso significa que a tela de Análise de Aplicações mostra apenas entradas para o tráfego QUIC em vez da aplicação em si.
Portanto, recomendamos criar regras específicas para bloquear o tráfego QUIC e GQUIC, para que o navegador use a versão HTTP padrão em vez do HTTP 3.0 e do QUIC. Isso fornece análises detalhadas para as aplicações usadas, em vez de apenas relatar o uso do serviço QUIC ou da aplicação GQUIC.
Para regras que permitem acesso à Internet, recomendamos que você selecione um site, host ou usuário específico na coluna Fonte, em vez de usar a opção Qualquer. Regras que permitem qualquer tráfego para a Internet são um risco potencial de segurança, pois você está permitindo tráfego de fontes inesperadas.
A captura de tela a seguir mostra uma regra em que a coluna Fonte está definida para os grupos Todos os sites e Todos os Usuários SDP em vez de Qualquer:
Regras de firewall de Internet que usam Qualquer em algumas configurações podem gerar eventos que não incluem informações importantes e úteis. Por exemplo, uma regra configurada com Qualquer aplicação pode gerar eventos que não identificam o aplicativo no fluxo de tráfego. Isso acontece porque o firewall aciona a regra antes de concluir a identificação do aplicativo, já que qualquer aplicação corresponde à regra. Então, quando a pilha de segurança Cato completa o processo de identificação do aplicativo, esses dados de uso do aplicativo são incluídos na tela de Análise de Aplicações. No entanto, os eventos não incluem todas as mesmas informações, e pode ser difícil continuar a investigar mais sobre o uso da aplicação.
Para ajudar a melhorar a análise de uso de aplicações, recomendamos que você minimize Qualquer para condições de regras e, em vez disso, use regras granulares com aplicações, serviços, portas específicas e assim por diante.
Quando for necessário configurar regras de firewall que permitam qualquer tráfego de saída da Internet para um serviço ou porta específica, recomendamos que você bloqueie categorias ou aplicativos que são potenciais riscos de segurança.
Por exemplo, se você tiver uma regra que permite todo o tráfego HTTP, adicione uma exceção à regra para categorias como: Trapaça, Jogos de Azar, Violência e Ódio, Domínios Estacionados, Nudez, Armas, Educação Sexual, Seitas, e Anonimizadores. Estas são exemplos de categorias que podem conter conteúdo malicioso, e a exceção bloqueia o acesso à Internet para essas categorias.
Em geral, recomendamos que para regras que permitem tráfego de Internet, use protocolos seguros e criptografados em vez de protocolos de texto simples. Por exemplo, use FTPS em vez de FTP, ou SSH em vez de Telnet ou SNMP. O tráfego da Internet que é permitido com protocolos seguros é criptografado e muito difícil para hackers interceptarem e decifrarem.
Se você tiver uma regra que permite o acesso a websites com um risco de segurança menor, recomendamos que você use a ação Prompt em vez de Permitir. Quando os usuários tentam acessar um desses websites, a ação Prompt redireciona os usuários para uma página web onde eles decidem se desejam continuar ou não. Porque esses websites adicionam um risco de segurança para a sua rede, recomendamos que você monitore eventos para tráfego que corresponde a esta regra.
Para que a ação Prompt funcione corretamente, recomendamos que você instale o certificado Cato em todos os dispositivos suportados.
Quando você inclui muitas categorias em uma regra, isso torna a base de regras mais difícil de gerenciar. Em vez disso, você pode definir uma Categoria Personalizada que contém todas as categorias relevantes e, em seguida, adicionar esta única Categoria Personalizada à regra. Definir regras simples que usam uma Categoria Personalizada torna a base de regras fácil de ler e buscar.
Por exemplo, você pode criar uma Categoria Personalizada chamada Perfil de Internet que contém todas as categorias, aplicativos e serviços que você deseja permitir o acesso, e então adicionar a Categoria Personalizada à regra de firewall da Internet relevante. Para manter a regra atualizada, você pode simplesmente editar a Categoria Personalizada e remover ou adicionar as atualizações necessárias.
Estas são sugestões adicionais para regras que implementam melhores práticas usando Categorias Personalizadas:
- Crie uma regra para todo o tráfego que você deseja definir com a ação Prompt. Em seguida, crie uma Categoria Personalizada chamada Prompt Sites que contenha todos os URLs e categorias relevantes e adicione-a à regra. Categorias recomendadas para a ação Prompt incluem: Trapaça, Jogos de Azar, Violência e Ódio, Mau Gosto, Domínios Estacionados, Armas, Educação Sexual, Seitas, e Anonimizadores. Configure o rastreamento para a regra para gerar eventos para tráfego correspondente.
- Crie uma regra para todo o tráfego que você deseja definir com a ação Bloquear. Em seguida, crie uma Categoria Personalizada chamada Block Sites que contenha todos os URLs e categorias relevantes e adicione-a à regra. Categorias recomendadas para a ação Bloquear incluem: Botnets, Comprometidos, Pornografia, Keyloggers, Malware, Phishing, Spyware, Drogas Ilegais, Hacking, SPAM, Questionável. Configure o rastreamento para a regra para gerar eventos para tráfego correspondente.
A regra final no firewall de Internet é uma regra implícita Qualquer - Qualquer - Permitir, no entanto, recomendamos que você adicione uma regra explícita Qualquer - Qualquer - Permitir como a regra final. Dessa forma, você pode facilmente registrar TODO o tráfego de Internet, basta selecionar Rastrear Eventos para todas as regras.
O Firewall da Internet na Cato torna simples e eficaz bloquear domínios de nível superior (TLDs) inteiros, como .shop, .info ou TLDs de códigos de países como .cg (Congo). Essa capacidade aumenta a segurança ao permitir que as organizações evitem proativamente o acesso a TLDs de alto risco ou indesejados em suas redes.
Para bloquear um TLD, defina o Domínio para a Aplicação/Categoria de uma regra de Firewall da Internet. Não é necessário usar um curinga (por exemplo, *.info); subdomínios são automaticamente incluídos. Isso significa que adicionar info bloqueará example.info, subdomain.example.info, e qualquer outro domínio sob o TLD .info.
O Firewall da Internet bloqueia tráfego de saída para domínios sob o TLD especificado. Ele não bloqueia tráfego de entrada. Bloquear um país pelo domínio depende do próprio nome de domínio, em vez de filtragem baseada em IP.
O exemplo acima mostra domínios que podem ser adicionados a uma regra de bloqueio com este comportamento:
- info bloqueia todos os domínios .info
- shop bloqueia todos os domínios .shop
- cg bloqueia todos os domínios .cg (Congo)
Implementar um firewall de Internet com comportamento de lista de permissão significa que, por padrão, o firewall bloqueia todo o tráfego da Internet. Adicione regras ao firewall que permitam especificamente tráfego de Internet de acordo com as necessidades da política de segurança corporativa.
Para implementar um firewall de Internet lista de permissão no CMA, a regra final na parte inferior da base de regras deve ser uma regra explícita que bloqueia qualquer tráfego de qualquer fonte para qualquer destino. Veja o exemplo a seguir:
Também recomendamos que você habilite o rastreamento para a regra final para gerar eventos que ajudem a monitorar e analisar o tráfego de Internet na sua rede.
Esta seção discute regras que recomendamos que você inclua em bases de regras para o firewall de Internet que usam a abordagem de lista de permissão.
Ao permitir tráfego HTTP e HTTPS, recomendamos que você bloqueie websites que contenham conteúdo arriscado e inadequado. Esses websites são tipicamente bloqueados por empresas e também podem ser fontes potenciais de malware. Cada categoria (Recursos > Categorias) contém uma variedade de websites e aplicativos que você pode facilmente adicionar às regras. Categorias incluem, por exemplo, Botnets, Comprometido, Pornografia, Keyloggers, Malware, Phishing, Spyware, Drogas Ilegais, Hackers, SPAM e Questionável.
No topo da base de regras, certifique-se de que há uma regra para permitir todos os serviços DNS como parte do tráfego de Internet.
A captura de tela a seguir mostra uma regra de exemplo permitindo tráfego DNS:
Crie uma regra para permitir os serviços que são usados pela sua conta e requerem acesso à Internet. Além disso, se houver serviços que são usados apenas para sites específicos, você pode criar uma regra separada que permita apenas o acesso para esses sites.
Adicione as aplicações que são usadas pela sua organização às regras do firewall da Internet a partir da lista de aplicações predefinidas. A Cato atualiza continuamente esta lista com novas aplicações. Se precisar de uma aplicação que não aparece na lista, você pode definir uma aplicação personalizada. Para mais informações sobre como configurar aplicativos personalizados, consulte Using Custom Apps.
Implementar um firewall de Internet com comportamento de lista negra significa que, por padrão, o firewall permite todo o tráfego da Internet. Adicione regras ao firewall que bloqueiem especificamente o tráfego de Internet de acordo com as necessidades da política de segurança da sua empresa. A lista de bloqueio é a estrutura padrão para o firewall de Internet, permite qualquer tráfego que não seja bloqueado por uma regra.
Além disso, recomendamos que você use um período de aprendizado para identificar tráfego de Internet indesejado. Durante este período de aprendizado, adicione temporariamente uma regra no final da base de regras que permita qualquer tráfego de qualquer fonte para qualquer destino com rastreamento habilitado. Esta regra gera um evento para cada conexão que é permitida acessar a Internet. Ao revisar o tráfego de Internet para sua conta, se você identificar tráfego indesejado, pode adicionar uma regra para bloqueá-lo.
Para mais informações sobre eventos de firewall, consulte Analyzing Events in Your Network.
Esta seção descreve regras que recomendamos incluir nas bases de regras para o firewall de Internet que utilizam a abordagem de lista de bloqueio.
Serviços como Telnet e SNMP v1 & v2 são potenciais riscos de segurança, e eles podem ser bloqueados nas bases de regras da Internet. Se sua organização requer acesso a esses serviços, recomendamos que adicione uma exceção à regra de bloqueio para aqueles usuários ou grupos específicos.
A captura de tela a seguir mostra uma regra de exemplo bloqueando tráfego Telnet e SNMP, com uma exceção que permite acesso para o Departamento de TI:
A categoria Não Categorizado contém sites que não são atribuídos a uma categoria existente da lista de categorias. Esses sites podem ser um potencial risco de segurança para sua rede. Crie uma regra que bloqueie a categoria Não Categorizado para todo o tráfego de Internet.
Você também pode usar o serviço RBI da Cato para habilitar o acesso seguro a sites Não Categorizados. Para mais informações sobre o RBI, consulte Securing Browsing Sessions Through Remote Browser Isolation (RBI).
Existem vários países conhecidos por gerar tráfego malicioso. Se sua organização não tiver negócios com esses países, recomendamos que você bloqueie o Acesso à Nuvem para eles e reduza o potencial tráfego malicioso. Você pode criar uma regra que use a configuração País na seção Aplicativo / Categoria para bloquear o tráfego de Internet para os países especificados.
Se você quiser bloquear tráfego de um país específico mas permitir Acesso à Nuvem para um FQDN específico, crie uma regra com o FQDN necessário com uma ação de Permitir. Em seguida, crie uma regra de baixa prioridade que bloqueie o país.
O firewall WAN da Cato é responsável por controlar o tráfego entre os diferentes elementos de rede que estão conectados à Cato Cloud. Com o firewall WAN, você pode controlar o tráfego WAN sobre sua rede e alcançar segurança de rede ideal.
O firewall WAN usa a abordagem Qualquer Qualquer Bloqueio (lista de permissão) por padrão. Isso significa que qualquer conectividade entre sites e usuários é bloqueada, a menos que você defina regras específicas de firewall WAN que permitam as conexões.
A captura de tela a seguir mostra um exemplo de política de firewall WAN no CMA (Segurança > Firewall WAN)
Esta seção contém melhores práticas para ajudá-lo a proteger a conectividade WAN para sua conta.
A regra de ouro para o firewall WAN é permitir apenas o tráfego desejado. Para essas regras de permissão, adicione serviços e portas específicos que são usados e fornecem conectividade segura aprimorada para o firewall WAN.
A captura de tela a seguir mostra uma Regra de Firewall WAN de exemplo que permite que todos os Usuários ZTNA acessem o site do datacenter. Esta regra melhora a segurança porque só permite tráfego RDP para Usuários ZTNA.
Regras de Firewall WAN que dão acesso a Qualquer Fonte ou Destino são menos seguras do que sites e usuários específicos. As configurações mais específicas oferecem maior controle sobre a conectividade WAN para a conta.
A captura de tela a seguir mostra um exemplo de uma regra de Firewall WAN que utiliza sites específicos nas configurações de Fonte e Destino:
Quando você configura regras do Firewall WAN usando Any em algumas configurações, os eventos relacionados à regra não necessariamente incluem todos os dados relevantes, o que pode tornar mais difícil analisar o uso do aplicativo. Para mais informações sobre eventos para regras usando configurações Qualquer, veja acima Melhorando os Dados de Eventos com Regras Granulares . Para ajudar a melhorar a análise de uso de aplicações, recomendamos que você minimize o uso de Qualquer para condições de regras e, em vez disso, use regras granulares com aplicações, serviços, portas específicas e assim por diante.
Implementar um firewall WAN com comportamento de lista de permissão significa que, por padrão, o firewall bloqueia toda a conectividade WAN entre locais, servidores, usuários, etc. Adicionar regras ao firewall que permitam especificamente a conectividade de tráfego WAN na sua rede. A lista de permissão é a estrutura padrão para o firewall WAN da Cato, a regra final implícita da base de regras WAN é ANY ANY Block.
Recomendamos fortemente que não adicione uma regra que permita conectividade de qualquer fonte para qualquer destino no WAN. Este tipo de regra Permitir Qualquer Qualquer expõe sua rede a riscos de segurança significativos.
Uma política de segurança forte para um firewall WAN de lista de permissão inclui regras que somente permitem os serviços e aplicações específicos usados pela sua organização. Em vez de usar regras que permitem Qualquer serviço para o tráfego entre sites, adicione os serviços ou aplicações a esta regra. Dado que serviços são mais específicos que portas, recomendamos definir regras usando Serviços em vez de portas sempre que possível.
Exemplos de serviços frequentemente usados por organizações incluem: DNS, DHCP, SMB, Bancos de Dados, Citrix, RDP, DCE/RPC, SMTP, FTP, ICMP, NetBIOS, NTP, SNMP, etc.
Exemplos de aplicações frequentemente usadas por organizações incluem: SharePoint, Slack, Citrix ShareFile, etc.
Você também pode criar uma categoria personalizada que contenha todas as aplicações e serviços para o firewall WAN e, em seguida, adicionar esta categoria personalizada às regras relevantes. Use as Aplicações Personalizadas para aplicações ou serviços que não estão pré-definidos no firewall. Isso também permite que os Eventos contenham o nome do Aplicativo para uma melhor análise.
Implementar um firewall WAN com comportamento de lista negra significa que, por padrão, o firewall permite toda a conectividade WAN entre sites, servidores, usuários, e assim por diante. Adicione regras ao firewall que bloqueiem especificamente o tráfego WAN de acordo com as necessidades da política de segurança corporativa. Não recomendamos usar essa abordagem para uma política de segurança WAN. No entanto, se sua organização a usa, certifique-se de bloquear o tráfego WAN indesejado.
Para implementar um firewall WAN lista de bloqueio no CMA, a base de regras contém uma regra ANY ANY Allow na parte inferior.
Para firewalls WAN de lista de bloqueio, recomendamos que adicione as seguintes regras acima da regra final Permitir Qualquer Qualquer para ajudar a criar uma forte política de segurança:
- Regras para bloquear serviços que são riscos de segurança e têm vulnerabilidades conhecidas, como o SMBv1
- Regras que bloqueiam conectividade entre sites que não precisam se comunicar
0 comentário
Por favor, entre para comentar.