Este artigo fornece informações básicas sobre o firewall de Internet para sua conta.
Para mais informações sobre como configurar o firewall de Internet, veja Gerenciando a Política de Firewall da Internet.
O Firewall de Internet inspeciona o tráfego entre a WAN e a Internet e permite que você crie regras para controlar esse tráfego. Semelhante ao firewall WAN, o firewall de Internet usa uma base de regras ordenada; a partir da primeira regra, as conexões são inspecionadas de acordo com cada regra. O firewall de Internet usa uma abordagem de lista negra. Isso significa que há uma regra implícita de Qualquer - Qualquer para permitir qualquer tráfego e conexões que não estejam explicitamente bloqueadas na base de regras. O firewall de Internet também inclui funcionalidade completa da camada 7 com Consciência do Usuário, e você pode criar regras para aplicativos específicos. Por exemplo, você pode usar o firewall de Internet para:
-
Bloquear sites específicos como Facebook ou LinkedIn
-
Bloquear categorias de websites inadequados, como Armas, Álcool e Jogos de Azar
-
Permitir apenas ao departamento de TI usar aplicativos de administração remota (SaaS e IaaS)
The Autonomous Firewall Insights are a list of best practices that evaluate your Internet Firewall policy and show how they comply with Cato’s recommendations. Seguir essas recomendações otimiza suas configurações de firewall e melhora a postura de segurança.
Existem dois tipos de insights:
-
Ícone de estrela (impulsionado por IA): Regras habilitadas na sua política de Firewall de Internet são analisadas automaticamente por Inteligência Artificial (IA) para detectar problemas, por exemplo, regras que podem ser descartadas ou modificadas, tais como:
-
Regra Expirada ou Regra com Data de Expiração Futura: Regras criadas para atender a uma necessidade específica e que têm uma data de término desejável que já passou ou que ainda não foi alcançada ou não pode ser comprovada/avaliada.
-
Regra Temporária: Introduzida como uma solução de curto prazo para atender a uma necessidade imediata. Essas regras são criadas principalmente para funcionar temporariamente enquanto uma solução adequada ou permanente está sendo implantada ou desenvolvida.
-
Regra de Teste: Regras criadas explicitamente para validação, depuração ou experimentação de um recurso ou cenário específico.
-
Regra Não Utilizada: Identifica regras de firewall com a ação Permitir que não geraram quaisquer eventos nos últimos 30 dias
-
Verificação de Regras Contraditórias: Identifica regras de firewall com predicados idênticos mas ações diferentes, o que pode criar conflitos que impedem a aplicação de regras de menor prioridade
-
-
Baseado em Configuração: As configurações e definições na sua política de Firewall de Internet devem garantir que sigam as melhores práticas.
Uma das funcionalidades básicas de um NGFW é proteger contra ataques de falsificação de identidade. Os motores de segurança na Cato Cloud descartam implicitamente qualquer conexão onde o IP de origem esteja fora do escopo da entidade configurada (como site, faixa de rede, dispositivo ou usuário). Isso bloqueia ataques de falsificação de identidade e previne violações da topologia lógica configurada.
O firewall de Internet inspeciona as conexões sequencialmente e verifica se a conexão corresponde a uma regra. A regra final na base de regras é uma regra implícita de permitir Qualquer - Qualquer - assim, se uma conexão não corresponder a uma regra, ela é permitida pela regra implícita final.
Regras que estão no topo da base de regras têm uma prioridade mais alta porque são aplicadas às conexões antes das regras mais abaixo na base de regras. Se uma conexão corresponder à regra #3, a ação é aplicada à conexão e o firewall para de inspecioná-la. O firewall não continua a aplicar as regras #4 e abaixo à conexão.
Trabalhando com o Assistente de Configuração do Firewall de Internet
O Assistente de Configuração do Firewall de Internet analisa autonomamente sua política usando essas verificações e insights. Quando uma verificação falha, você pode revisar e atualizar sua política diretamente no Assistente sem editar regras individuais. Isso ajuda você a permanecer seguro enquanto simplifica o gerenciamento de políticas.
O Acordo de Serviços Mestre da Cato Networks (MSA) define tráfego que é potencialmente ilegal ou malicioso e que é automaticamente bloqueado. Há uma regra implícita oculta no topo da base de regras do firewall de Internet que bloqueia essas conexões.
Para mais informações sobre o MSA, veja Cato Networks MSA.
Quando há uma regra com objetos em várias colunas, como uma aplicação e um serviço, então há uma relação E entre eles. Por exemplo, se há uma regra que bloqueia o aplicativo Netflix para a porta 443, então o tráfego é bloqueado quando ele corresponde tanto à aplicação quanto à porta.
Para regras que usam múltiplos objetos em uma única coluna, como mais de uma aplicação, então há uma relação OU entre elas. Por exemplo, se há uma regra que bloqueia o acesso aos aplicativos Netflix, iTunes e YouTube, então o tráfego é bloqueado quando corresponder a qualquer um dos aplicativos.
Note
Nota: Cada regra pode ter um máximo de 64 condições com uma relação E entre elas, e as exceções de uma regra estão incluídas no limite da regra. Por exemplo, se há uma regra com duas condições E (como uma fonte e um serviço), e a regra tem 25 exceções com 3 condições E cada (como uma fonte, uma app e um serviço), então a regra tem 77 condições. Isso excede o limite suportado de 64 condições e a regra pode não funcionar corretamente. No entanto, você pode atribuir mais de 64 objetos dentro da mesma coluna de uma regra, pois há uma relação OU entre eles. Por exemplo, você pode atribuir mais de 64 aplicativos em uma regra.
A contagem de acertos ajuda a identificar regras não utilizadas que podem ser removidas de uma política, e otimizar a configuração de regras para melhor corresponder ao escopo de tráfego necessário. A contagem de acertos para uma regra é baseada no número de eventos gerados pela regra. Se uma regra não gerar eventos, a contagem de acertos é zero.
A contagem de acertos contém dois números:
-
O número aproximado de eventos gerados por cada regra na política
-
Com que frequência a regra é acionada em relação às outras regras (classificado por percentil)
Esses valores são atualizados a cada 24 horas e são baseados nos últimos 14 dias de tráfego.
Você pode identificar rapidamente as regras com a contagem de acertos mais alta ou mais baixa, com base na cor da barra de status. Esta cor reflete com que frequência a regra é acionada em relação a outras regras:
-
Azul: 0 - 24º percentil
-
Verde: 25º - 49º percentil
-
Laranja: 50º - 74º percentil
-
Vermelho: 75º -100º percentil
O Firewall de Internet permite que diferentes administradores editem a política em paralelo. Cada administrador pode editar regras e salvar as alterações na base de regras em sua própria revisão privada, e então publicá-las na política da conta (a revisão publicada). For more information on how to manage policy revisions, see Working with Policy Revisions.
Esta seção explica os campos e configurações das regras na base de regras do Firewall de Internet. Uma compreensão completa do Firewall de Internet ajuda a gerenciar com sucesso o controle de acesso para a rede corporativa.
A tabela a seguir descreve as ações que cada regra de firewall pode aplicar ao tráfego da rede. Para ações que geram eventos, você pode mostrar logs de eventos em Tela Inicial > Eventos.
|
Item |
Descrição |
|---|---|
|
Permitir |
O Firewall permite tráfego correspondente. |
|
Bloquear |
O Firewall bloqueia tráfego correspondente. |
|
Prompt |
O Firewall redireciona o tráfego correspondente para uma página web com uma mensagem. Ao usuário é solicitado que decida se deseja ou não continuar. Você pode personalizar a página de aviso, veja Personalizando a Página de Aviso / Bloqueio. To review events for when a user chooses to proceed after a prompt page, filter the Events page to show events with the Prompt Action field set with the value Proceed. mm |
|
Navegação Remota (RBI) |
Matching traffic is delivered by RBI. |
|
Portal Cativo |
Matching traffic is directed to the captive portal. |
For a description of the different rulebase columns and Source, App, and Category items for rules, see What is the Cato WAN Firewall? and Reference for Rule Objects. Ao contrário do firewall WAN, o Destino do Firewall de Internet é sempre a Internet. Quando há múltiplas colunas configuradas para uma regra, então há uma relação E entre elas.
A ordem das regras é definida estabelecendo a posição de uma regra em relação às outras regras. Por exemplo, defina uma regra para seguir uma regra específica, ou para ser a primeira em uma seção.
Estas são as opções para definir a ordem da regra:
-
Antes da Regra - A regra é posicionada imediatamente antes da regra selecionada
-
Após a Regra - A regra é posicionada imediatamente após a regra selecionada
-
Primeiro na Seção - A regra é posicionada primeiro na seção selecionada
-
Último na Seção - A regra é posicionada por último na seção selecionada
-
Primeiro - A regra é posicionada no topo da base de regras
-
Último - A regra é posicionada na parte inferior da base de regras
O firewall de Internet na Cato Cloud permite que você controle o acesso à Internet para sua rede corporativa. Crie facilmente uma política de segurança de Internet que permita aos usuários acessar conteúdo web relacionado a negócios e bloqueie websites, aplicativos inapropriados, etc.
0 comentário
Por favor, entre para comentar.