Конфигурация политики межсетевого экрана сокета LAN

Примечание

Примечание: Предстоящая автоматическая миграция правил файервола ЛВС на уровне сайта в политику на уровне аккаунта

Мы недавно выпустили Socket Next Gen LAN Firewall, который обеспечивает конфигурации на уровне аккаунта и применение на уровне 7. Начиная с 1 июля 2025 года, мы будем мигрировать существующие правила файервола ЛВС на уровне сайта в политику на уровне аккаунта.

  • Каждое правило на уровне сайта будет автоматически настроено в новой политике как сетевое правило для указания маршрутизации и правило межсетевого экрана для разрешения или блокировки трафика
  • Правила для каждого сайта будут добавлены как отдельный раздел в базе правил
  • Миграция — это бесшовный, автоматический процесс, и ожидается, что прерывания в обслуживании не будет
  • Если вам интересно мигрировать вашу политику до 1 июля, пожалуйста, свяжитесь с cato-releases@catonetworks.com 

Обзор

Поведение по умолчанию для сокета — пересылка всего трафика WAN и Интернета на PoP для инспекции безопасности. Это включает трафик LAN между соседними сегментами сети в пределах одного сайта (например, VLANs).  В некоторых сценариях вы можете захотеть переопределить поведение по умолчанию и настроить сокет на сайте для разрешения или блокировки связи между двумя сегментами сети или хостами непосредственно на сокете, без отправки трафика на PoP Cato.  С политикой брандмауэра локальной сети вы можете настраивать правила для разрешения или блокировки трафика LAN непосредственно на сокете. При необходимости для каждого правила можно включить отслеживание (события).

Примечание

Примечание: Брандмауэр LAN является усовершенствованием локальной маршрутизации. Для получения дополнительной информации см. ниже Предварительные требования для использования брандмауэра LAN и Обновление локальной маршрутизации до брандмауэра LAN.

Понимание межсетевого экрана LAN

Брандмауэр сети LAN позволяет блокировать или разрешать определенные Типы трафика на уровне сокета, создавая политики в соответствии с вашими потребностями.

На диаграмме ниже показано правило брандмауэра LAN, которое разрешает трафик из LAN1 в LAN2.

image.png

На этой диаграмме показано правило брандмауэра LAN, которое блокирует трафик из LAN1 в LAN2.

image.png

Использование брандмауэра LAN - пример базы правил

Ниже представлено примерное правило конфигурации брандмауэра LAN. Каждое правило объясняется ниже:

image.png

Правило 1 - 'Блокировать гостей' - Это правило предотвращает доступ хостов, использующих сеть 'Guest-Wifi', к любой другой хост или внутренним ресурсам на сайте с отслеживанием этих событий. Хосты все еще могут получить доступ к Интернету.

Правило 2 - 'Разрешить общий доступ к файлам' - Это правило позволяет только хостам, подключенным к сети 'Corp-Users', подключаться к серверам в локальной сети 'File-Servers' через HTTPS или SMB (TCP/445). Каждый поток отслеживается в событиях. С этой политикой разрешения локально, накладные расходы tunneling для SMB и HTTPS между сетями уменьшаются, так как трафик управляется локально на сайте и не проходит через туннель.

Правило 3 - 'Разрешить сервер CCTV' - Это правило позволяет хостам из сети 'IOT-Cameras' подключаться к сети 'IOT-File-Servers' только через HTTPS. Каждый поток отслеживается в событиях. 

Неявное поведение - Любой другой трафик от хостов, который не определён в базе правил, будет отправлен на PoP Cato для инспекции перед тем, как вернуться к 'File-Servers'. Например, любой трафик от 'Corp-Users' к 'File-Servers' по TCP/21 (FTP) не соответствует образцу базы правил и вызовет поведение по умолчанию (отправка трафика на PoP Cato).

Работа с базой правил брандмауэра LAN

Политика межсетевого экрана LAN обрабатывается в порядке от первого до последнего настроенного правила. Как только правило совпадает с соединением, применяются соответствующие действия. В противном случае, трафик по умолчанию отправляется на PoP Cato.

Правила в верхней части базы правил имеют более высокий приоритет, так как они применяются к соединениям до правил ниже в базе. Например, если соединение совпадает с правилом №3, действие применяется к соединению, и межсетевой экран прекращает его проверку. Межсетевой экран не продолжает применять правила №4 и ниже к соединению. Вы можете повысить эффективность LAN брандмауэра и дать высокий приоритет правилам, которые соответствуют большему числу соединений.

Пропускная способность для межсетевого экрана LAN

В следующей таблице представлена поддерживаемая пропускная способность брандмауэра LAN для каждой модели сокета.

Примечание: Значения, представленные ниже, основаны на результатах одномерных тестов Socket v19.0 в лабораторных условиях.

Модель Socket

TCP Полоса пропускания

UDP Полоса пропускания

X1500

up to 1Gb/sec

up to 2Gb/sec

X1600

up to 8Gb/sec

до 8.5 Гб/сек

X1700

up to 10Gb/sec

up to 12Gb/sec

Предварительные требования для использования межсетевого экрана LAN

Брандмауэр ЛВС является улучшением существующей политики локальной маршрутизации. Эта функция включена для каждого сайта.

Make sure that all Sockets in the site are running Socket version 18.0 or higher.

Обновление правил локальной маршрутизации до межсетевого экрана LAN

  • If there are no Local Routing rules configured for the site, you can immediately upgrade it to the LAN Firewall policy

  • Если для сайта настроены правила локальной маршрутизации, перенесите их в межсетевой экран LAN, см. Улучшение политики локальной маршрутизации до межсетевого экрана LAN

  • После обновления до брандмауэра ЛВС активируйте функцию (переключатель Брандмауэр LAN включен в правом верхнем углу экрана).

    Когда эта функция отключена, весь трафик отправляется в PoP.

Настройка межсетевого экрана LAN

В этом разделе объясняется, как определить правила для брандмауэра ЛВС и объекты, порты и сервисы, которые вы можете настроить.

Определение правила брандмауэра LAN

Создайте новое правило брандмауэра ЛВС и настройте его параметры для управления маршрутизацией трафика ЛВС. Используйте опцию Добавить Правило Ниже, чтобы легко добавить правило в правильное место в базе правил.

Примечание

Примечание: Применение новой конфигурации к Socket может занять до минуты.

Чтобы определить правило брандмауэра ЛВС:

  1. В навигационном меню нажмите Сеть > Сайты и выберите сайт.

  2. В навигационном меню нажмите Настройки Сайта > Брандмауэр ЛВС.

  3. Нажмите Новый. Открывается панель Добавить Правило.

  4. В разделе Общие:

    1. Введите Имя для нового правила.

    2. По умолчанию правило Включено. Вы можете отключить правило, используя переключатель Включено.

    3. В разделе Направление выберите К, чтобы разрешить трафик в одном направлении, или Оба, чтобы разрешить двусторонний трафик.

    4. Выберите Порядок правил. Мы рекомендуем вам задать высокий порядок правил для более специфических правил и низкий порядок для менее специфических правил. 

      Примечание: Пожалуйста, смотрите раздел "Работа с базой правил для брандмауэра ЛВС" для получения дополнительной информации о конфигурации порядка правил.

      image.png

  5. Разверните разделы Источник и Назначение, чтобы определить источники и пункты назначения трафика для этого правила.

  6. Разверните раздел Сервис/Порт, чтобы выбрать протоколы, к которым применяется правило.

    1. If selected Port/Protocol, define the relevant port and protocol as you wish in the "Protocol/Port" format (i.e. TCP/80-88, UDP/53, ICMP и т. д.)

    2. Если выбран Простой сервис, выберите соответствующие услуги уровня 4, как указано.

      Предопределенный список услуг основан на RFC-определении каждой услуги.

  7. Раздел NAT:

    1. Включить NAT - При необходимости включите NAT на исходящем интерфейсе. Это преобразует все исходные IP-адреса в один NAT IP-адрес.

    изображение.png

  8. В разделе Действия:

    1. Разрешить локально - Это действие позволяет соответствовать локальному трафику между сетями LAN Socket.

    2. Блокировать локально - Это действие блокирует соответствующий трафик локально между сетями LAN Socket.

    Примечание:  Если трафик не соответствует ни одному из правил, действие по умолчанию - это Отправить на PoP.

  9. В разделе Действия под Отслеживание:

    1. При необходимости установите флажок Событие. При совпадении для данного правила создается событие.

  10. Нажмите Применить, а затем нажмите Сохранить.

Правила NAT и межсетевого экрана LAN

Существуют сценарии, которые требуют использования NAT между сетями LAN на сайте, это может быть между двумя (или более) непосредственно подключенными сетями, или между маршрутизируемыми сетями (статические маршруты или маршруты BGP).

  1. NAT настраивается только в направлении К.

  2. После того, как вы сохраните конфигурацию для правила, Приложение Управления Cato автоматически рассчитывает Исходящую сеть и Исходящий IP-адрес для правила.

Источник и назначение объектов брандмауэра LAN

Могут быть определены следующие источники и объекты назначения:

  • Глобальный диапазон - Собственный диапазон для LAN интерфейса сайта.

  • Хост - Хосты и серверы, определенные на сайте.

  • Подсеть интерфейса - VLAN, маршрутизируемые или прямые диапазоны, или вторичный собственный диапазон AWS vSocket.

  • Сетевой интерфейс - Подсети и диапазоны сети, определенные для LAN интерфейсов сайта.

  • Любой - Любой источник или назначение на сайте.

Услуги и порты межсетевого экрана LAN

Ниже приведен предопределенный список доступных услуг:

Сервис

Порт

Протокол

РДП

3389

TCP

MYSQL

3306

TCP

HTTP

80

TCP

HTTPS

443

TCP

SSH

22

TCP

SMTP

25

TCP

DNS TCP

53

TCP

DNS UDP

53

UDP

Мониторинг и события

Вы можете выбрать включение отслеживания событий для каждого определенного правила в брандмауэре LAN.

Примечание

Примечание: трафик брандмауэра LAN не будет виден на панелях мониторинга приложений и сетевой аналитики.

События появляются в разделе Мониторинг Сайта > События.

  • Тип события - Безопасность

  • Подтип - Брандмауэр ЛВС

Чтобы отфильтровать события LAN Брандмауэра:

  1. Перейдите в Домашняя > События.

  2. Нажмите на Фильтр и выберите соответствующее поле, оператор и значение.

    1. Поле - Можно выбрать несколько полей в качестве фильтра. Например, мы можем выбрать фильтр по "Исходный сайт" или "Подтип" (LAN Брандмауэр)

    2. Оператор - Выберите включение или исключение определенных значений (Равно, Не является) или нескольких значений (Входит в, Не входит в), например, "Исходный сайт" с оператором "Входит в" позволяет выбрать несколько исходных сайтов в качестве значений.

    3. Значение - Значение для поля.

  3. Нажмите Добавить фильтр.

image.png

В следующем примере вы можете увидеть сведения о событии LAN Брандмауэра.

  • Действие - Блокировать или Мониторинг. (Трафик был заблокирован или разрешен локально LAN Брандмауэром)

  • Настроен Имя Хоста - Дополнительная информация о хосте на IP-адрес источника, если доступно.

  • Подтип - LAN Брандмауэр.  Все события, генерируемые LAN Брандмауэром, будут иметь этот подтип.

  • Правило - Имя правила, которое сгенерировало это событие.

image.png

В отличие от WAN или Интернет Брандмауэров, где события генерируются Cato PoP, события LAN Брандмауэра генерируются на самом Socket. Эти события отправляются через туннель сайта для хранения в Приложении Управления Cato. 

Весь поток трафика через туннель имеет приоритет перед событиями LAN Брандмауэра, которые имеют стандартный приоритет QoS 255 и могут генерировать дополнительную нагрузку. 

Cato рекомендует отслеживать только правила высокого приоритета LAN Брандмауэра, чтобы избежать дополнительной нагрузки на туннель.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев