Este artigo fornece informações de fundo sobre o firewall de Internet para sua conta.
Para mais informações sobre como configurar o firewall de Internet, consulte Gerenciando a Política de Firewall de Internet.
O firewall de Internet inspeciona o tráfego entre a WAN e a Internet e permite que você crie regras para controlar esse tráfego. Semelhante ao firewall de WAN, o firewall de Internet utiliza uma base de regras ordenada, começando pela primeira regra, as conexões são inspecionadas de acordo com cada regra. O firewall de Internet usa uma abordagem de lista negra. Isso significa que há uma regra implícita ANY - ANY para permitir qualquer tráfego e conexões que não são explicitamente bloqueadas na base de regras. O firewall de Internet também inclui funcionalidade completa da camada 7 com reconhecimento de usuário, e você pode criar regras para aplicativos específicos. Por exemplo, você pode usar o firewall de Internet para:
- Bloquear website específico, como Facebook ou LinkedIn
- Bloquear categorias de websites inadequados, como Armas, Álcool e Jogos
- Permitir apenas ao departamento de TI o uso de aplicações de administração remota (SaaS e IaaS)
Os Insights Autônomos de Firewall são uma lista de melhores práticas que avaliam sua política de Firewall de Internet e mostram como elas cumprem com as recomendações da Cato. Seguir essas recomendações otimiza suas configurações de firewall e melhora a postura de segurança.
Existem dois tipos de percepções:
-
Ícone de estrela (alimentado por IA): Regras habilitadas em sua política de firewall de Internet são analisadas automaticamente por Inteligência Artificial (IA) para detectar problemas, por exemplo, regras que podem ser descartadas ou modificadas, como:
- Regra Expirada ou Regra com Data de Expiração Futura: Regras criadas para atender uma necessidade específica e que possuem uma data de corte desejável que já passou ou que ainda não foi atingida ou não pode ser comprovada/avaliada.
- Regra Temporária: Introduzida como solução a curto prazo para atender uma necessidade imediata. Essas regras são criadas principalmente para funcionar temporariamente enquanto uma solução apropriada ou permanente está sendo implantada ou desenvolvida.
- Regra de Teste: Regras explicitamente criadas para validação, depuração ou experimentação com uma funcionalidade ou cenário específico.
- Regra Não Utilizada: Identifica regras de firewall com uma ação Permitir que não geraram eventos nos últimos 60 dias
- Verificação de Regras Contraditórias: Identifica regras de firewall com predicados idênticos mas ações diferentes, o que pode criar conflitos que impedem a aplicação de regras de menor prioridade
- Baseado em Configuração: As configurações e definições em sua política de Firewall de Internet garantem que sigam as melhores práticas.
O Assistente de Configuração do Firewall de Internet revisa autonomamente sua Política de Implantação usando esses checks e Insights. Quando uma verificação falha, você pode revisar e atualizar sua política diretamente no Assistente sem editar regras individuais. Isso ajuda a manter sua segurança enquanto simplifica o gerenciamento de políticas. Para mais informações, veja Usando o Assistente de Configuração.
Uma das funcionalidades básicas de um NGFW é proteger contra ataques de spoofing. Os mecanismos de segurança no Cato Cloud descartam implicitamente qualquer conexão onde o IP de origem esteja fora do escopo da entidade configurada (como site, intervalo de rede, dispositivo ou usuário). Isso bloqueia ataques de spoofing e evita violações da topologia lógica configurada.
O firewall de Internet inspeciona conexões sequencialmente e verifica se a conexão corresponde a uma regra. A regra final na base de regras é uma regra implícita de permissão ANY - ANY - então, se uma conexão não corresponder a uma regra, ela é permitida pela regra implícita final.
Regras que estão no topo da base de regras têm maior prioridade porque são aplicadas às conexões antes das regras mais abaixo na base de regras. Se uma conexão corresponder à regra #3, a ação é aplicada à conexão e o firewall para de inspecioná-la. O firewall não continua a aplicar as regras #4 e abaixo à conexão.
Quando há uma regra com objetos em várias colunas, como uma aplicação e um serviço, então há uma relação AND entre eles. Por exemplo, se houver uma regra que bloqueia a aplicação Netflix para a porta 443, então o tráfego é bloqueado quando corresponde tanto à aplicação quanto à porta.
Para regras que utilizam múltiplos objetos em uma única coluna, como mais de uma aplicação, então há uma relação OR entre elas. Por exemplo, se houver uma regra que bloqueia o acesso às aplicações Netflix, iTunes e YouTube, então o tráfego é bloqueado quando corresponde a qualquer uma das aplicações.
Nota
Nota: Cada regra pode ter no máximo 64 condições com uma relação AND entre elas, e as exceções de uma regra são incluídas no limite da regra. Por exemplo, se houver uma regra com duas condições AND (como uma fonte e um serviço), e a regra tiver 25 exceções com 3 condições AND cada (como uma fonte, um app e um serviço), então a regra tem 77 condições. Isso excede o limite suportado de 64 condições e a regra pode não funcionar corretamente. No entanto, você pode atribuir mais de 64 objetos dentro da mesma coluna de uma regra, já que há uma relação OR entre eles. Por exemplo, você pode atribuir mais de 64 apps em uma regra.
A contagem de acessos ajuda a identificar regras não utilizadas que podem ser removidas de uma política e otimizar a configuração de regras para corresponder melhor ao escopo de tráfego necessário. A contagem de acessos para uma regra é baseada no número de eventos gerados pela regra. Se uma regra não gerar eventos, a contagem de acessos é zero.
A contagem de acessos contém dois números:
- O número aproximado de eventos gerados por cada regra na política
- Com que frequência a regra é acertada em relação a outras regras (classificada por percentil)
Esses valores são atualizados uma vez a cada 24 horas e são baseados nos últimos 14 dias de tráfego.
Você pode identificar rapidamente as regras com a maior e a menor contagem de acessos, com base na cor da barra de status. Essa cor reflete a frequência com que a regra é acionada em relação a outras regras:
- Azul: 0 - 24º percentil
- Verde: 25º - 49º percentil
- Laranja: 50º - 74º percentil
- Vermelho: 75º - 100º percentil
Os valores de contagem de acertos são atualizados automaticamente a cada 24 horas e são baseados nos últimos 14 dias de tráfego. A partir dos três pontos no final de cada regra, você pode redefinir ou atualizar a contagem de acertos para visibilidade atualizada. Isso permite medir com precisão a eficácia da regra e validar imediatamente a atividade da regra.
- Redefinir o contador de acertos para uma regra específica de firewall retorna a contagem de acertos para 0
- Atualizar o contador de acertos atualiza a contagem de acertos sob demanda para todas as regras de firewall
O firewall de Internet permite que diferentes administradores editem a política em paralelo. Cada administrador pode editar regras e salvar as alterações na base de regras em sua própria revisão privada, e depois publicá-las na política da conta (a revisão publicada). Para mais informações sobre como gerenciar revisões de política, consulte Trabalhando com Revisões de Política.
Você pode configurar as configurações de tempo para uma regra para que ela seja ativada ou desativada em uma data e hora definidas. No dropdown Hora, você pode configurar a Agenda Diária e/ou o Período Ativo.
Você pode configurar ambas as opções para que, por exemplo, a regra esteja ativa em dias úteis durante o mês de maio de 2025. Alternativamente, você pode configurar cada opção de forma independente para atender aos seus requisitos.
A Agenda Diária define o cronograma para quando a regra está ativa. Se um cronograma estiver configurado para uma regra, na Tabela de Regras, um símbolo de relógio é exibido na coluna Ação.
As opções para a Agenda Diária são:
- Sem restrição de tempo: Não há agenda para a regra. Este é o comportamento padrão das regras.
- Limitar às horas de trabalho: A regra está ativa apenas durante as horas de trabalho configuradas na Aplicação de Gerenciamento da Cato. Para mais informações sobre o horário de trabalho, consulte Definindo o Horário de Trabalho Padrão para a Conta.
-
Personalizado: Selecione o horário do dia e os dias da semana em que a regra está ativa. Desmarque a opção Recorrente e selecione a Data para a configuração de tempo da regra.
- Recorrente: A configuração de tempo será aplicada mais de uma vez, por exemplo, todas as terças-feiras, das 9:00 às 17:00.
O Período Ativo define o período de data e hora em que a regra está ativa no UTC. Se o campo Válido a Partir de não for selecionado, a regra estará ativa imediatamente após ser salva e publicada.
Na Tabela de Regras, se um Período Ativo estiver definido, um símbolo de ampulheta é exibido na coluna Ação. A cor do símbolo reflete o status:
- Preto: A regra não está ativa e se tornará ativa no futuro
- Verde: A regra está ativa
- Vermelho: A regra expirou
O Acordo de Serviço Mestre (MSA) da Cato Networks define o tráfego que é potencialmente ilegal ou malicioso e que é bloqueado automaticamente. Há uma regra oculta implícita no topo da base de regras do firewall de Internet que bloqueia essas conexões.
Para mais sobre o MSA, veja MSA da Cato Networks.
Esta seção explica os campos e configurações para as regras na base de regras do firewall de Internet. Uma compreensão completa do firewall de Internet ajuda a gerenciar com sucesso o controle de acesso para a rede corporativa.
A tabela a seguir descreve as ações que cada regra de firewall pode aplicar ao tráfego de rede. Para ações que geram eventos, você pode mostrar logs de eventos em Início > Eventos.
| Item | Descrição |
|---|---|
| Permitir | Firewall permite o tráfego correspondente. |
| Bloquear | Firewall bloqueia o tráfego correspondente. |
| Prompt |
O firewall redireciona o tráfego correspondente para uma página da web com uma mensagem. O usuário é solicitado a decidir se continua ou não. Você pode personalizar a página de prompt, consulte Personalizando a Página de Bloqueio/Prompt. A página de prompt da Cato é uma página HTML que utiliza JavaScript e cookies de sessão para gerenciar o consentimento do usuário. Esses cookies são específicos de domínio, temporários e geralmente excluídos ao fechar o navegador. Cato atualmente usa três prefixos de nome de cookie, ( Para revisar eventos em que um usuário escolhe prosseguir após uma página de prompt, filtre a página de Eventos para mostrar eventos com o campo Ação de Prompt configurado com o valor Prosseguir. |
| Navegação Remota (RBI) | O tráfego correspondente é entregue por RBI. |
| Portal Cativo | O tráfego correspondente é direcionado para o portal cativo. |
Para uma descrição das diferentes colunas da base de regras e dos itens de Fonte, Aplicativo e Categoria para regras, consulte O que é o Firewall Cato WAN? e Referência para Objetos de Regras. Diferentemente do firewall WAN, o Destino para o firewall de Internet é sempre a Internet. Quando há várias colunas configuradas para uma regra, então há uma relação E entre elas.
A ordem das regras é definida ao definir a posição de uma regra em relação a outras regras. Por exemplo, defina uma regra para seguir uma regra específica ou para ser a primeira em uma seção.
Estas são as opções para definir a ordem das regras:
- Antes da Regra - A regra é posicionada imediatamente antes da regra selecionada
- Após a Regra - A regra é posicionada imediatamente após a regra selecionada
- Primeiro na Seção - A regra é posicionada primeiro na seção selecionada
- Último na Seção - A regra é posicionada por último na seção selecionada
- Primeiro - A regra é posicionada no topo da base de regras
- Último - A regra é posicionada na parte inferior da base de regras
0 comentário
Por favor, entre para comentar.