O que é o Firewall WAN Cato?

Este artigo fornece informações de fundo sobre o Firewall WAN para sua conta.

Para mais informações sobre o uso do Firewall WAN, veja Gerenciando a Política de Firewall WAN.

Visão geral do Firewall WAN da Cato

O Firewall WAN na Cato Cloud controla o acesso a objetos e entidades na sua Rede de Área Ampla (WAN). Configurar a base de regras do firewall WAN para criar uma política de controle de acesso segura e proteger a rede.

O Firewall WAN é parte do Firewall de Próxima Geração (NGFW) integrado na Cato Cloud e permite criar regras para prevenir acesso não autorizado à rede. O Firewall WAN utiliza uma abordagem de lista de permissões, e há uma regra padrão ANY-ANY para bloquear todas as conexões que não são explicitamente permitidas na base de regras.

Use as regras para configurar o firewall para inspecionar todas as conexões e permitir apenas aquelas que correspondem às suas configurações ativadas. O firewall utiliza uma base de regras ordenada. Isso significa que ele começa inspecionando a conexão e verifica se corresponde à primeira regra. Se não, ele continua a aplicar cada regra sequencialmente na conexão até que uma regra corresponda à conexão.

O Firewall WAN também inclui funcionalidade completa de camada 7 com Consciência do Usuário, permitindo regras de acesso de confiança zero para aplicativos específicos no WAN.

Caso de Uso - Apenas Permitir Fabricantes de Dispositivos de Videoconferência Aprovados

Um administrador de segurança recebe uma tarefa para revisar a postura de segurança das salas de reunião no site da filial de Londres. O administrador vai para a página Inventário de Dispositivos, filtra por Campo - Tipo de Dispositivo, Operador - Em, Valor - Videoconferência, e vê todos os dispositivos de videoconferência no site de Londres. O administrador percebe que há dispositivos de videoconferência de vários fabricantes diferentes, o que não atende à política de segurança organizacional. A equipe de TI já possui uma licença de segurança IoT e cria novas regras nas políticas de firewall WAN e Internet com configurações de Atributos de Dispositivo que permitem apenas os dois fabricantes aprovados para os dispositivos de videoconferência. Alguns dos dispositivos de videoconferência no site de Londres não funcionarão mais porque estão bloqueados pelas políticas de firewall até que possam ser substituídos por novos dispositivos dos fabricantes aprovados.

Entendendo Insights Autônomos de Firewall

WAN_firewall.png

Os Insights Autônomos de Firewall WAN são uma lista de verificações de postura que avaliam sua política de Firewall WAN e mostram como elas cumprem com as recomendações da Cato. Seguir essas recomendações otimiza suas configurações de firewall e melhora a postura de segurança.

Existem dois tipos de insights:

  • Ícone de estrela (movido por IA): As regras ativadas na sua política de Firewall WAN são automaticamente analisadas pela Inteligência Artificial (IA) para detectar problemas, por exemplo, regras que podem ser descartadas ou modificadas, como:

    • Regra Temporária: Introduzida como uma solução de curto prazo para abordar uma necessidade imediata. Essas regras são criadas principalmente para funcionar temporariamente enquanto uma solução adequada ou permanente está sendo implementada ou desenvolvida.
    • Regra de Teste: Regras criadas explicitamente para validar, depurar ou experimentar uma funcionalidade ou cenário específico.
    • Regra Expirada ou Regra com Data de Expiração Futura: Regras criadas para atender a uma necessidade específica e têm uma data de corte desejável que já passou ou que ainda não foi alcançada ou não pode ser comprovada/avaliada.

    • Regras Permissivas Demais: Regras que podem ser excessivamente permissivas com base em usuários, hosts, aplicativos ou protocolos definidos para a regra. Este insight utiliza heurísticas topológicas e indica que recomendamos que você remova os itens extras da regra para melhor aderir à sua estratégia de confiança zero.

      Por exemplo: restrinja o acesso do usuário apenas ao sampleAdmin, condicionado por um perfil de postura de dispositivo de confiança zero específico, limite o aplicativo apenas ao RDP, e restrinja o protocolo apenas ao TCP.

    • Regra Não Utilizada: Identifica regras de firewall com uma ação de Permitir que não geraram qualquer evento nos últimos 60 dias.
  • Baseada em Configuração: As configurações e configurações em sua política de Firewall de Internet são para garantir que sigam as melhores práticas.

Trabalhando com o Assistente de Configuração de Firewall WAN

O Assistente de Configuração de Firewall WAN revisa autonomamente sua política usando essas verificações e insights. Quando uma verificação falha, você pode revisar e atualizar sua política diretamente no Assistente sem editar regras individuais. Isso ajuda a manter a segurança enquanto simplifica o gerenciamento das políticas. Para mais informações, veja Usando o Assistente de Configuração.


Proteções Anti-Spoofing no Firewall Cato

Uma das funcionalidades básicas de um NGFW é proteger contra ataques de anti-spoofing. Os motores de segurança na Cato Cloud descartam implicitamente qualquer conexão onde o IP de origem esteja fora do escopo da entidade configurada (como local, intervalo de rede, dispositivo ou usuário). Isso bloqueia ataques de anti-spoofing e evita violações da topologia lógica configurada.

Trabalhando com Regras Ordenadas

O firewall WAN inspeciona conexões sequencialmente e verifica se a conexão corresponde a uma regra. A regra final na base de regras é uma regra de bloqueio padrão ANY-ANY - portanto, se uma conexão não corresponder a uma regra, ela é bloqueada pela regra padrão final. Uma política de controle de acesso forte contém regras de firewall que permitem conexões e tráfego específicos na WAN.

Você pode revisar as configurações da regra padrão na seção Regras Padrão no final da base de regras. Essas configurações de regra não podem ser editadas.

Regras que estão no topo da base de regras têm uma prioridade mais alta porque são aplicadas às conexões antes das regras mais abaixo na base de regras. Por exemplo, se uma conexão corresponder à regra nº 3, a ação é aplicada à conexão, e o firewall para de inspecioná-la. O firewall não continua a aplicar as regras nº 4 e abaixo à conexão. Você pode aumentar a eficiência do firewall WAN e dar alta prioridade às regras que correspondem ao maior número de conexões.

Trabalhando com Múltiplos Objetos em uma Única Regra

Quando há uma regra com objetos em várias colunas, como um aplicativo e um serviço, há uma relação E entre eles. Por exemplo, se houver uma regra que permita o aplicativo Serviços de Backup para a porta 443, então o tráfego é permitido quando corresponde tanto ao aplicativo quanto à porta.

Para regras que utilizam múltiplos objetos em uma única coluna, como mais de uma porta, há uma relação OU entre eles. Por exemplo, se houver uma regra que permita acesso ao servidor de e-mail para o serviço SMTP e portas 25, 265, 587 e 2525, então o tráfego é permitido quando corresponde ao serviço SMTP ou a qualquer uma das portas.

  • Nota: Cada regra pode ter no máximo 64 condições com uma relação E entre elas, e as exceções de uma regra estão incluídas no limite da regra. Por exemplo, se houver uma regra com duas condições E (como uma fonte e um serviço), e a regra tiver 25 exceções com 3 condições E cada (como uma fonte, um aplicativo, e um serviço), então a regra tem 77 condições. Isso excede o limite suportado de 64 condições e a regra pode não funcionar corretamente. No entanto, você pode atribuir mais de 64 objetos dentro da mesma coluna de uma regra, uma vez que há uma relação OU entre eles. Por exemplo, você pode atribuir mais de 64 aplicativos em uma regra.

Entendendo a Contagem de Acertos

A contagem de acessos ajuda a identificar regras não utilizadas que podem ser removidas de uma política e a otimizar a configuração de regras para corresponder melhor ao escopo de tráfego necessário. A contagem de acessos para uma regra é baseada no número de eventos gerados pela regra. Se uma regra não gerar eventos, a contagem de acessos é zero.

A contagem de acessos contém dois números:

  • O número aproximado de eventos gerados por cada regra na política
  • Com que frequência a regra é comparada em relação a outras regras (classificada por percentil)

Você pode identificar rapidamente as regras com a maior e menor contagem de acessos, com base na cor da barra de status. Essa cor reflete com que frequência a regra é acessada em relação a outras regras:

  • Azul: 0 - 24º percentil
  • Verde: 25º - 49º percentil
  • Laranja: 50º - 74º percentil
  • Vermelho: 75º -100º percentil

Redefinição e Atualização do Contador de Acertos

Redefinir.png

Os valores da contagem de acertos são atualizados automaticamente a cada 24 horas e são baseados no tráfego dos últimos 14 dias. A partir dos três pontos no final de cada regra, você pode redefinir ou atualizar a contagem de acertos para visibilidade atualizada. Isso permite medir com precisão a eficácia da regra e validar imediatamente a atividade da regra.

  • Redefinindo o contador de acertos para uma regra específica de firewall retorna a contagem de acertos para 0
  • Atualizar o contador de acertos atualiza a contagem de acertos sob demanda para todas as regras de firewall

Revisões de Políticas e Edição Concorrente por Múltiplos Administradores

O Firewall WAN permite que diferentes administradores editem a política em paralelo. Cada administrador pode editar regras e salvar as alterações na base de regras em sua própria revisão privada e, em seguida, publicá-las na política da conta (a revisão publicada). Para mais informações sobre como gerenciar revisões de política, consulte Trabalhando com Revisões de Política.

Configurando as Configurações de Tempo para uma Regra

Você pode configurar as configurações de tempo para uma regra para que ela seja habilitada ou desabilitada em uma data e hora definidas. No menu suspenso Tempo, você pode configurar a Agenda Diária e/ou o Período Ativo.

Você pode configurar ambas as opções para que, por exemplo, a regra esteja ativa em dias de semana durante o mês de maio de 2025. Alternativamente, você pode configurar cada opção independentemente para atender a seus requisitos.

Time.png

Entendendo a Programação Diária

A Agenda Diária define o cronograma para quando a regra está ativa. Se um cronograma for configurado para uma regra, na tabela de regras, um símbolo de relógio é exibido na coluna Ação.

As opções para a Agenda Diária são:

  • Sem restrição de tempo: Não há agenda para a regra. Este é o comportamento padrão das regras.
  • Limitar ao horário de funcionamento: A regra está ativa apenas durante o horário de funcionamento configurado na Aplicação de Gerenciamento Cato. Para mais informações sobre o horário de trabalho, consulte Definindo o Horário de Trabalho Padrão para a Conta.

  • Personalizado: Selecione a hora do dia e os dias da semana em que a regra está ativa. Desmarque a opção Recorrente e selecione a Data para a configuração de tempo da regra.

    • Recorrente: A configuração de tempo será aplicada mais de uma vez, por exemplo, todas as terças-feiras das 9:00 às 17:00.

Entendendo o Período Ativo

O Período Ativo define o período de data e hora em que a regra está ativa em UTC. Se o campo Válido a Partir de não for selecionado, a regra estará ativa imediatamente após a regra ser salva e publicada.

Na tabela de regras, se um Período Ativo for definido, um símbolo de ampulheta é exibido na coluna Ação. A cor do símbolo reflete o status:

  • Preto: A regra não está ativa e se tornará ativa no futuro
  • Verde: A regra está ativa
  • Vermelho: A regra expirou

Entendendo as Configurações para Regras de Firewall WAN

Esta seção explica os campos e configurações para as regras na base de regras do firewall WAN. Uma compreensão detalhada do firewall WAN ajuda a gerenciar com sucesso o controle de acesso para a rede corporativa.

Ações das Regras

A tabela a seguir descreve as ações que cada regra de firewall pode aplicar ao tráfego da rede. Para ações que geram eventos, você pode mostrar logs de eventos em Inicial > Eventos.

Item Descrição
Permitir Firewall permite tráfego correspondente.
Bloquear Firewall bloqueia tráfego correspondente.
Prompt

O firewall redireciona o tráfego correspondente para uma página da web com uma mensagem. O usuário é solicitado a decidir se deseja ou não continuar. Você pode personalizar a página de prompt, consulte Personalizando a Página de Bloqueio/Prompt.

A página de prompt da Cato é uma página HTML que usa JavaScript e cookies de sessão para gerenciar o consentimento do usuário. Esses cookies são específicos do domínio, temporários e geralmente excluídos quando o navegador é fechado. Cato atualmente usa três prefixos de nome de cookie, (tls_cert_err, fw_wan, e fw_inet). O manuseio de cookies e a persistência de sessão dependem das configurações e comportamentos do usuário, do navegador e do sistema operacional.

Para revisar eventos em que um usuário escolhe prosseguir após uma página de prompt, filtre a página de Eventos para mostrar eventos com o campo Ação de Prompt configurado com o valor Prosseguir.

Colunas da Base de Regras

A tabela a seguir descreve cada coluna na base de regras do firewall WAN. Quando há várias colunas configuradas para uma regra, há uma relação E entre elas.

Para mais informações sobre Origem, Destino, App e itens de Categoria para uma regra, consulte Referência para Objetos de Regras.

Item Descrição
#

Mostra a prioridade da regra na base de regras do firewall WAN.

  • Use o campo Ordem da Regra para mudar a prioridade da regra.
  • Use a alternância Ativado para ativar ou desativar a regra. A alternância é verde toggle.png quando ativado.
Nome Digite um Nome para a regra
Fonte Fonte do tráfego para esta regra
Critérios

Defina acesso condicional com base em atributos do dispositivo real de um usuário final ou outros dispositivos que se comunicam em sua rede, como IoT/OT. Opções incluem:

  • Atributos do Dispositivo - Atributos de dispositivos conforme identificado pelo motor de detecção de Inventário de Dispositivos
  • Plataformas - Sistema operacional (SO) do dispositivo
  • Países - País de origem para a conexão com base na localização física do dispositivo (de acordo com a geolocalização do endereço IP)
  • Perfis de Postura de Dispositivo - Perfis de Dispositivo (configurados em Acesso > Postura de Dispositivo)
  • Origem da Conexão - A geolocalização do dispositivo (remoto ou por trás de um site)
Direção

Indica a direção da regra. Opções incluem:

  • Para - Esta regra permite o tráfego em apenas uma direção, Fonte para o Destino. Por exemplo, o site Alpha está permitido a se conectar ao site Bravo, mas o site Bravo não pode se conectar com o site Alpha.
  • Ambos - Esta regra gerencia o tráfego em ambas as direções, para e de Fonte e Destino.
Destino Destino do tráfego para esta regra
App/Categoria Aplica-se apenas a objetos correspondentes para as aplicações, categorias e outros objetos específicos
Serviço/Porta Aplica-se apenas ao tráfego que corresponde aos serviços e portas especificados
Ação

Aplique a ação especificada ao tráfego que corresponde à regra

Por exemplo, quando o tráfego é bloqueado, a conexão é descartada e as regras de prioridade inferior não são aplicadas a esta conexão
Rastreamento Quando a regra é correspondente, um evento é gerado ou uma notificação de alerta por email é enviada para a lista especificada
Contagem de Acertos A contagem de acertos para esta regra
More_icon.png

Abre um menu suspenso com estas opções:

  • Adicionar Regra Acima - Adiciona uma nova regra acima da regra selecionada
  • Adicionar Regra Abaixo - Adiciona uma nova regra abaixo da regra selecionada
  • Duplicar Regra: Cria uma nova regra idêntica diretamente abaixo da regra original selecionada na mesma seção
  • Mover Regra - Altera a prioridade da regra definindo uma posição diferente para ela na ordem das regras
  • Adicionar Exceção - Cria uma nova exceção à regra selecionada
  • Ativar/Desativar - Quando uma regra está desativada, o firewall não inspeciona conexões pelas configurações na regra
  • Ver Eventos da Regra - Mostrar a página de Eventos predefinida para eventos relacionados com a regra
  • Excluir Regra - Excluir a regra selecionada

Recursos relacionados para o Firewall WAN

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário