Configurando o Encaminhamento de Porta Remota para a Conta

O Encaminhamento de Porta Remota (RPF) permite direcionar uma conexão de entrada da Internet através da Cato Cloud para um host LAN interno. A conexão então se beneficia dos diferentes serviços de segurança da Cato.

Nota

Nota: RPF não é suportado para PoPs localizados na China. Você não pode escolher um IP Alocado para esses PoPs chineses.

Visão geral do Encaminhamento de Porta Remota com Cato

Você pode controlar o Controle de Acesso de entrada aos recursos RPF usando uma abordagem de Lista de Permissão ou de Lista de Bloqueio:

  • Lista de Permissão – bloqueia todas as fontes (endereços IP e intervalos) e apenas PERMITE as fontes que são especificamente configuradas
  • Lista de Bloqueio - permite todas as fontes (endereços IP e intervalos) e apenas BLOQUEIA as fontes que são especificamente configuradas

A abordagem de lista de bloqueio é recomendada para situações em que você precisa controlar o acesso a recursos RPF de frente para a Internet e as fontes permitidas não são conhecidas ou definidas. Essa abordagem fornece uma opção para configurar uma lista de fontes bloqueadas através do Aplicativo de Gerenciamento Cato ou uma API. A lista de bloqueio pode ser baseada em listas de bloqueio mantidas pelo cliente, feeds de segurança privados, registros geográficos específicos e indicadores de sistemas de terceiros.

Nota

Nota: o serviço IPS da Cato protege o tráfego RPF de entrada, entretanto, a Inspeção TLS não é realizada no tráfego de entrada. Isso significa que o IPS não pode inspecionar o conteúdo do tráfego criptografado, mas o IPS inspeciona o tráfego com base em verificações de reputação (como scanners, varredores de portas, C&Cs conhecidos, etc.).

Proteções Anti-Spoofing no Firewall da Cato

Uma das funcionalidades básicas de um NGFW é proteger contra ataques de anti-spoofing. Os motores de segurança na Cato Cloud descartam implicitamente qualquer conexão onde o IP de origem está fora do escopo da entidade configurada (como site, faixa de rede, dispositivo ou usuário). Isso bloqueia ataques de anti-spoofing e previne violações da topologia lógica configurada.

Revisões de Política e Edição Concorrente por Múltiplos Administradores

A política de Encaminhamento de Porta Remota permite que diferentes admins editem a política em paralelo. Cada admin pode editar regras e salvar as mudanças na base de regras em sua própria revisão privada e, em seguida, publicá-las na política da conta (a revisão publicada). Para mais informações sobre como gerenciar revisões de políticas, veja Trabalhando com Revisões de Políticas.

Entendendo os Insights Autônomos

RPF_auto.png

Os Insights de Encaminhamento de Porta Remota são uma lista de melhores práticas que avaliam sua política de Encaminhamento de Porta Remota e mostram como elas cumprem com as recomendações da Cato. Seguir essas recomendações otimiza suas configurações de firewall e melhora a postura de segurança.

Existem dois tipos de insights:

  • Ícone de estrela (impulsionado pela IA): Regras habilitadas em sua política de Encaminhamento de Porta Remota são analisadas automaticamente pela Inteligência Artificial (IA) para detectar problemas, por exemplo, regras que podem ser descartadas ou modificadas, como:

    • Regra Expirada ou Regra com Data de Expiração no Futuro: Regras criadas para atender a uma necessidade específica e têm uma data limite desejável que já passou ou que ainda não foi alcançada ou não pode ser provada/avaliada.
    • Regra Temporária: Introduzida como uma solução de curto prazo para atender a uma necessidade imediata. Essas regras são criadas principalmente para funcionar temporariamente enquanto uma solução adequada ou permanente está sendo implantada ou desenvolvida.
    • Regra de Teste: Regras criadas explicitamente para validação, depuração ou experimentação com uma funcionalidade ou cenário específico.
  • Baseado em Configuração: As configurações na sua política de Encaminhamento de Porta Remota devem garantir que sigam as melhores práticas.

Habilitação do Encaminhamento de Porta Remota

Para habilitar o Encaminhamento de Porta Remota:

  1. No menu de navegação, clique em Segurança > Encaminhamento de Porta Remota.
  2. Clique no controle deslizante Desativado. O controle deslizante está verde para indicar que RPF está ativado.
  3. Clique em Salvar. RPF agora está ativado para a conta.

Definindo Regras de Encaminhamento de Porta Remota

O IP Externo para uma regra RPF é um endereço IP Alocado pela Cato. Para mais informações, veja Alocando Endereços IP para a Conta. Para aplicações internas, use o IP Interno e porta na regra.

Quando você define uma regra RPF, há diferentes opções para a configuração de IPs Remotos Permitidos:

  • Digite um endereço IP específico ou um intervalo de IP em um destes formatos:

    • Intervalo de endereços IP - 192.0.2.10-192.0.2.20
    • Sub-rede (CIDR) - 192.0.2.0/24

    Você também pode colar uma lista separada por vírgulas com vários endereços IP e faixas, por exemplo: 10.1.1.1, 10.2.1.1-10.2.1.105

  • Habilitar rastreamento e notificações.

Se sua rede requer mapeamento de várias portas externas para uma única porta interna, é possível configurar isso criando várias regras RPF.

O mapeamento de portas externas para internas é um mapeamento específico um-a-um baseado na ordem de Externo e Faixa de Porta Interna. Por exemplo, a Faixa de Porta Externa 5000-5005 é mapeada para a Faixa de Porta Interna 6103-6108. Isso significa que a porta externa 5000 é mapeada para a porta interna 6103, a porta externa 5001 é mapeada para a porta interna 6104, e assim por diante.

RemotePortForwarding.png

Nota

Nota: Para contas com sites IPsec, se os IPs externos de uma regra RPF se sobrepõem aos endereços IP de um site IPsec, certifique-se de que a regra exclui as portas de túnel IPsec UDP/500 e UDP/4500.

Para definir uma regra de Encaminhamento de Porta Remota:

  1. No menu de navegação, clique em Segurança > Encaminhamento de Porta Remota.

    A página de Encaminhamento de Porta Remota abre para sua revisão não publicada existente, ou para a revisão publicada mais recente.

  2. Clique em Novo. O painel Adicionar Regra é aberto.
  3. Digite o Nome para a regra.
  4. (Opcional) Selecione Encaminhar ICMP para habilitar o encaminhamento de mensagens ICMP para esta regra.
  5. Na seção Externa, defina o IP Externo alocado pela Cato e a Faixa de Porta Externa para as portas monitoradas pelo PoP.
  6. Na seção Interna, insira o endereço IP Interno para o qual o tráfego é encaminhado e a Faixa de Porta Interna.
  7. Na seção IPs Remotos, selecione se esta regra é uma Lista de Permissão ou Lista de Bloqueio.
    1. Para definir o único tráfego que é PERMITIDO conectar-se ao host:
      1. Selecionar Lista de Permissão.
      2. Selecione as Fontes de Tráfego com base no IP ou Sub-rede. Estes são os endereços IP e intervalos que são permitidos para realizar RPF com o host.
      3. Clique em add.png (Adicionar) para adicionar mais IPs remotos permitidos.
    2. Para permitir todo o tráfego para este host e definir fontes que estão BLOQUEADAS e não podem conectar-se a ele:
      1. Selecione Lista de Bloqueio.
      2. Selecione as Fontes de Tráfego com base no IP ou Sub-rede. Estes são os endereços IP e intervalos que estão bloqueados e não podem realizar RPF com o host.
      3. Clique em add.png (Adicionar) para adicionar mais IPs remotos bloqueados.
  8. (Opcional) Defina notificações por email para o tráfego que corresponder à regra. Para mais informações, consulte Alertas de Nível de Conta e Notificações do Sistema.
  9. Clique em Aplicar. A regra é adicionada.

  10. Clique em Salvar.

    As alterações são salvas na sua revisão não publicada e estão disponíveis para edição até serem publicadas ou descartadas.

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário