Что такое следующий поколенческий LAN Firewall сокета

Обзор

По умолчанию, трафик LAN за площадкой отправляется через WAN в PoP для инспекции трафика. Это означает, что для размещённых за одной площадкой хостов трафик отправляется через последнюю милю в PoP и затем обратно на ту же площадку. Вы также можете использовать сокет как LAN Firewall для сегментации трафика локально, без необходимости использования внешнего устройства Firewall.

Следующий поколенческий LAN Firewall сокета позволяет применять политики управления уровня 2 до уровня 7 (приложения) к трафику восток-запад при маршрутизации и сегментации трафика за площадкой. Локальная маршрутизация трафика также обеспечивает продолжение работы критически важных инфраструктур, таких как OT и IoT, даже при отсутствии интернет-соединения.

Межсетевой экран LAN — это политика уровня учётной записи, позволяющая настраивать правила для применения корпоративных политик во всех компаниях, без ручной настройки каждого подразделения. Для получения дополнительной информации о настройке Правил брандмауэра нового поколения LAN, смотрите Управление Политикой развертывания Socket Next Gen LAN Файервола.

Для получения информации о пропускной способности Файервола нового поколения LAN для различных типов Socket, смотрите Пороговые значения и ограничения Cato Cloud.

Пример использования

Корпорация Example имеет 200 филиалов по всему миру, использующих один и тот же дизайн LAN сети. Это включает идентификатор VLAN 10 для серверов и VLAN 20 для критически важных бизнес устройств OT. Команда сети решает локально маршрутизировать трафик между этими VLAN, что позволяет устройствам OT и серверам продолжать коммуникацию даже в случае проблемы с интернет-провайдером. Кроме того, они хотят разрешать только определённые протоколы между VLAN.

Команда сети создаёт правило LAN сети с площадкой, настроенной как объект группы, содержащий 200 соответствующих площадок, а транспорт настроен как LAN для локальной маршрутизации трафика. Затем они создают правило LAN Firewall под правилом LAN сети, где VLAN 10 и VLAN 20 настроены как Источник и Назначение, а Направление указано как Оба. Под Сервис/Порт они настраивают протоколы, которые хотят разрешить, а Действие установлено как Разрешить.

Это одно правило LAN Firewall применяет политику к каждому из 200 локальных сетей, не требуя отдельной настройки для всех площадок.

Предварительные требования

  • Socket Next Gen LAN Firewall доступен только для учетных записей, у которых не настроена текущая политика межсетевого экрана на уровне сайта. В будущем, Cato преобразует текущие политики межсетевого экрана на уровне сайта в политику Socket Next Gen LAN Firewall.

  • Поддерживается с версии Socket v22 и выше

Пропускная способность для Socket Next Gen LAN Брандмауэр

Максимальная поддерживаемая пропускная способность для Socket Next Gen LAN Брандмауэр основана на приложении TCP и UDP, определенном Cato.

Модель Socket

Пропускная способность L4 Мбит/с

Пропускная способность L7 Мбит/с

X1500

1000

740

X1500B

1000

1000

X1600 и X1600 LTE

8000

2500

X1700

8000

8000

X1700B

13000

10000

Примечание: Производительность и пропускная способность измеряются в идеальных условиях тестирования на основе 1500-пакетного MTU.

Фундаментальные концепции

Этот раздел объясняет основные концепции для понимания роли и возможностей LAN Firewall уровня 7.

Типы трафика

Для понимания роли LAN Firewall и его отношения к другим политиками Cato, важно понимать, что Cato идентифицирует трафик как один из трёх различных типов: LAN, WAN или Интернет. Понимание различий и характеристик этих типов трафика критически важно для оптимального планирования политик и использования различных firewall политик Cato. Для получения дополнительной информации смотрите Начало работы с межсетевыми экранами Cato.

Трафик WAN против LAN в пределах одного сайта

Трафик между хостами на той же площадке может обрабатываться как LAN трафик (маршрутизируется сокетом и не отправляется в PoP), или как WAN трафик (отправляется в PoP и затем обратно на площадку), в зависимости от вашей конфигурации. По умолчанию сокет направляет весь трафик в PoP для проверки, и PoP блокирует или разрешает трафик. Однако, трафик, который соответствует политике LAN Firewall, направляется локально и не отправляется в PoP.

Когда трафик от хоста в LAN достигает сокета, сокет проверяет, соответствует ли трафик правилу в политике LAN Firewall.

  • Если он соответствует правилам, сокет направляет трафик к локальному назначению, не отправляя его в PoP.

  • Если трафик не соответствует правилу LAN Firewall, он отправляется в PoP для обработки firewall WAN или Интернет.

Для получения дополнительной информации об определении трафика ЛВС, см. ниже, Политика межсетевого экрана ЛВС.

Ниже приведена диаграмма переходов состояния, показывающая как LAN Firewall сокета обрабатывает трафик от хоста в локальной сети.

LAN_FW_State_Machine.png

Правила межсетевого экрана уровня 7 против уровня 2-4

LAN Firewall поддерживает инспекцию на уровнях 2-4 и уровне 7 (уровень приложений), позволяя вам контролировать трафик на основе приложений, служб и конкретного содержимого в пределах приложений. По умолчанию, площадки поддерживают функцию уровня 2-4, и вы определяете в политике, какие площадки также имеют возможность уровня 7. Этот раздел описывает различия между Firewall на уровне 2-4 и уровне 7.

Firewall уровня 2-4 фильтруют трафик на основе основных критериев, таких как IP-адреса, порты и транспортные протоколы, такие как TCP или UDP. Для этих критериев, сокетный firewall может принять решение о разрешении или блокировке трафика на основе первого пакета. Хотя это эффективно для базового управления трафиком, данный подход не анализирует фактические данные, передаваемые в пакетах.

Firewall уровня 7 (уровень приложений) проверяют полезную нагрузку пакетов для идентификации конкретных приложений, доменов или протоколов. Например, Firewall уровня 7 может различать трафик SMBv1 и SMBv3 или идентифицировать конкретное приложение, генерирующее трафик (например, Office 365). Эта более глубокая проверка позволяет более детально осуществлять политику и улучшать контроль над местным сетевым трафиком. Однако, поскольку уровень 7 требует анализа дополнительных пакетов для определения данных приложения (например, извлечение доменного имени в HTTP-трафике), и больше ресурсов сокета, чем уровень 4, это должно учитываться при планировании политики LAN Firewall для вашей организации и при выборе площадок, которые следует включить с уровнем 7. Когда вы включаете площадку с функционалом уровня 7, сокет проводит глубокую инспекцию пакетов для трафика, независимо от того, настроено ли правило LAN Firewall, при условии, что трафик определён для использования LAN транспорта (см. ниже, Политика LAN Firewall).

Когда вы включаете сайт с возможностями уровня 7, Socket выполняет глубокий анализ пакетов на трафике, независимо от того, настроено правило Межсетевой экрана ЛВС или нет, пока есть определенный трафик для использования транспорта ЛВС (см. ниже, Политика межсетевого экрана ЛВС). Политика LAN Firewall

Политика межсетевого экрана LAN

Затем применяются правила LAN Firewall для определения, будет ли трафик заблокирован или разрешён. Для реализации этого в политике LAN Firewall включены правила LAN сети и правила LAN Firewall.

Правила LAN сети определяют, как сокет маршрутизирует трафик, локально через LAN или как трафик WAN, отправляемый в PoP. Как только правило LAN сети совпадает и определяет Транспорт как LAN, связанные правила LAN Firewall определяют, разрешён ли трафик или блокирован, и сокет осуществляет правило. Если трафик не соответствует ни одному правилу LAN сети, он обрабатывается как трафик WAN и отправляется в PoP. Правила LAN Firewall связаны с одним правилом LAN сети, что гарантирует, что действия Firewall специфичны для трафика, определённого этим правилом LAN сети.

Последующие разделы описывают характеристики для правил LAN сети и правил LAN Firewall.

LAN_Firewall.png

Правила LAN сети контролируют, какой транспорт (LAN или WAN) используется для маршрутизации трафика между различными хостами или сегментами сети.

Правила сети LAN

Это означает, что каждое правило может быть настроено для применения к нескольким площадкам в аккаунте. Например, если вы настраиваете несколько площадок с использованием одной и той же конфигурации VLAN, вы можете создать одно правило, применяемое к VLAN на каждой площадке, определённой в этом правиле. Правила LAN сети принимают решения маршрутизации уровня 4 и не используют функционал уровня 7. Например, вы можете определить правила сети с условиями для площадок, VLAN или определённых протоколов, но не можете создать условие на основе приложения.

Правило LAN сети может быть родителем для нескольких правил LAN Firewall под ним. Есть правило блока ANY-ANY по умолчанию, настроенное как последнее правило под правилом LAN сети.

Таким образом, если трафик соответствует правилу LAN сети, но не соответствует правилу LAN Firewall, он блокируется. Правила LAN Firewall Таким образом, если трафик соответствует правилу LAN Network, но не соответствует правилу LAN Firewall, он блокируется.

Правила межсетевого экрана LAN

Правила LAN Firewall поддерживают сегментацию до уровня 4 по умолчанию, включая сегментацию на основе MAC адресов. Кроме того, для площадок, настроенных для функционала уровня 7, правила LAN Firewall могут включать интеллектуальную фильтрацию трафика на основе приложений, доменов и других условий уровня 7. Существует правило блока LAN Firewall ANY-ANY по умолчанию, настроенное как последнее правило под каждым правилом LAN сети. Таким образом, если трафик соответствует правилу LAN сети, но не соответствует правилу LAN Firewall, он блокируется.

Такое неявное поведение обеспечивает истинный подход с нулевой доверенностью к сегментации локально, гарантируя, что по локальной сети может передаваться только явно разрешённый трафик. Следовательно, если трафик соответствует правилу сети ЛВС, но не соответствует правилу Межсетевой экрана ЛВС, он блокируется. Это скрытое поведение обеспечивает истинный подход zero-trust для сегментации на месте, гарантируя, что только явно разрешенный трафик может проходить через локальную сеть.

Понимание количества попаданий

Количество срабатываний помогает определить неиспользуемые правила, которые можно удалить из политики, и оптимизировать конфигурацию правил для более точного соответствия требуемому объему трафика. Количество срабатываний для правила основано на количестве событий, сгенерированных правилом. Если правило не генерирует события, количество срабатываний равно нулю.

Количество срабатываний содержит два числа:

  • Примерное количество событий, сгенерированных каждым правилом в политике.

  • Как часто правило срабатывает по сравнению с другими правилами (ранжировано по процентилю).

Эти значения обновляются один раз каждые 24 часа и основаны на прошедших 14 днях трафика.

Вы можете быстро определить правила с самым высоким и самым низким количеством попаданий, основываясь на цвете статусной полосы. Этот цвет отражает частоту срабатывания правила по сравнению с другими правилами:

  • Синий: 0 - 24-го перцентиля

  • Зеленый: 25-й - 49-й перцентиль

  • Оранжевый: 50-й - 74-й перцентиль

  • Красный: 75-й - 100-й перцентиль

Сброс и обновление счетчика срабатываний

Reset.png

Значения количества срабатываний обновляются автоматически каждые 24 часа и основаны на прошедших 14 днях трафика. Из трех точек в конце каждого правила вы можете сбросить или обновить количество срабатываний для актуальной видимости. Это позволяет вам точно измерить эффективность правил и немедленно подтвердить активность правил.

  • Сброс счетчика срабатываний для конкретного правила возвращает количество срабатываний на 0.

  • Обновление счетчика срабатываний обновляет количество срабатываний по запросу для всех правил политики.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 6 из 8

0 комментариев