Управление политикой межсетевого экрана следующего поколения для локальной сети Socket

В этой статье объясняется, как настроить правила межсетевого экрана следующего поколения для локальной сети Socket, чтобы маршрутизировать и контролировать трафик площадки локально в Socket. Для получения дополнительной информации о Socket Next Gen LAN Файервол, см. Что такое Socket Next Gen LAN Файервол.

Обзор

Настроить правила ЛВС для определения трафика, который будет маршрутизируемый локально с помощью транспорта ЛВС, а затем создать связанные правила файервола ЛВС для обеспечения политики безопасности для трафика.

Это пример рабочего процесса высокого уровня для настройки политики:

  1. Определите, какие площадки требуют возможностей уровня 7, и настройте их в политике.

    Это включает возможности уровня 7 для правил межсетевого экрана для локальной сети, а также события с данными уровня 7 для площадки.

  2. Мониторинг производительности Socket CPU и событий для сайтов, чтобы оценить воздействие включения слоя 7.

  3. Создать правила ЛВС, чтобы определить, какой трафик сайта маршрутизируемый локально через Socket вместо через WAN.

  4. Для каждого сетевого правила ЛВС создайте правила файервола ЛВС для обеспечения политики безопасности для трафика.

Включение возможности слоя 7 для сайта

Включите возможности инспекции уровня 7 для трафика площадки. После включения Socket выполняет глубокую инспекцию пакетов на трафик, независимо от того, настроено ли правило файервола ЛВС, пока определено использование транспорта ЛВС (см. Что такое LAN Firewall следующего поколения для Socket). Это означает, что данные уровня 7 появляются в событиях трафика площадки, включая поля такие как Приложение, Риск Приложения и Пользовательское Приложение. Это также влияет на использование процессора Socket.

LAN_Firewall_L7_Sites.png

Для включения возможности слоя 7 для сайта:

  1. В меню навигации нажмите Безопасность > Межсетевой экран для локальной сети.

    Страница межсетевого экрана для локальной сети открывается на существующую неопубликованную ревизию или на последнюю опубликованную ревизию.

  2. Выберите вкладку Layer 7 Sites.

  3. Нажмите Новый. Откроется панель Добавить сайт.

  4. В разделе Сайт выберите один или несколько сайтов из выпадающего списка сайтов Socket.

  5. Нажмите Применить. Сайт добавлен в список сайтов Layer 7.

  6. Нажмите Сохранить. Функциональность слоя 7 настроена для сайта.

Создание сетевых правил ЛВС

Создайте новое правило локальной сети и настройте параметры, чтобы определить транспорт для трафика. Для правил, определенных с использованием локального транспорта, можно добавить правила межсетевого экрана для локальной сети для управления контролем доступа к трафику. Для получения дополнительной информации см. ниже Создание правил LAN Файервол.

LAN_Firewall.png

Чтобы создать сетевое правило ЛВС:

  1. В меню навигации нажмите Безопасность > Межсетевой экран для локальной сети.

    Страница межсетевого экрана для локальной сети открывается на существующую неопубликованную ревизию или на последнюю опубликованную ревизию.

  2. Нажмите Новый и в раскрывающемся меню выберите Новое сетевое правило ЛВС. Откроется панель Новое сетевое правило.

  3. Введите Имя для правила.

  4. Включите или отключите правило, используя ползунок (зеленый - включен, серый - отключен).

  5. Настройте Положение и Направление нового правила.

    • По умолчанию правило применяется в одном направлении, от источника К назначению. Нажмите на раскрывающееся меню Направление, чтобы установить правило для работы в Обоих направлениях.

  6. Разверните раздел Сайт и выберите один или несколько сайтов или групп сайтов, к которым применяется правило. Значение по умолчанию - Любой.

  7. Разверните раздел Источник и выберите один или несколько объектов для источника трафика для этого правила.

    1. Выберите тип (например: Хост, Сетевой интерфейс, IP, Пользователь, Группа пользователей, Любой). Значение по умолчанию - Любой.

    2. При необходимости выберите конкретный объект из выпадающего списка для данного типа.

  8. Разверните раздел Назначение и выберите один или несколько объектов назначения для этого правила.

    1. Выберите тип (например: Хост, Сетевой интерфейс, IP, Пользователь, Группа пользователей, Любой). Значение по умолчанию - Любой.

    2. При необходимости выберите конкретный объект из выпадающего списка для данного типа.

  9. Разверните раздел Критерии и добавьте условия устройства в правило. Для получения дополнительной информации смотрите Добавление условий устройства в правила брандмауэра. Значения по умолчанию - Любой.

  10. Разверните секцию Сервис/Порт и выберите протоколы, для которых применяется правило, с одним из следующих параметров:

    • Простой сервис - Выберите соответствующие протоколы уровня 4 из списка.

      Список предопределенных сервисов основан на определении RFC каждого сервиса.

    • IПользовательский сервис - Введите соответствующий порт и протокол в формате "Протокол/Порт" (например, TCP/80-88, UDP/53, ICMP)

    Значение по умолчанию Любой.

  11. (Опционально) Разверните секцию NAT, чтобы включить NAT на исходящем интерфейсе. Это переводит все исходящие IP на один NAT IP.

    image.png

  12. Выберите Транспорт для трафика, соответствующего правилу. Доступные варианты:

    • LAN - Трафик маршрутизируется локально через Socket и не отправляется на PoP

    • WAN - Трафик отправляется через WAN на PoP для проверки

  13. Нажмите Сохранить.

    Изменения сохраняются в вашей неопубликованной версии и доступны для редактирования до тех пор, пока они не будут опубликованы или отменены.

Создание правил межсетевого экрана для локальной сети

Создайте новое правило межсетевого экрана для локальной сети и настройте параметры для управления контролем доступа к трафику. Правило межсетевого экрана для локальной сети можно настроить только с объектами в рамках родительского правила локальной сети.

Правила для площадок с включенными возможностями уровня 7 могут включать условия с объектами уровня приложения, такими как Приложение и Домен. Если правила для площадок без возможностей уровня 7 включают эти объекты, правила не будут правильно функционировать.

Примечание: Трафик в пределах одного сайта, который не соответствует правилу файервола ЛВС, считается трафиком WAN, даже если он перемещается к PoP и обратно на тот же сайт.

Примечание

Примечание: Для использования объектов Пользователь и Группа пользователей в полях Источник и Назначение или для использования критериев устройства в правиле, пожалуйста, свяжитесь с feature-releases@catonetworks.com для получения дополнительной информации о включении и использовании этой функции.

Чтобы создать правило межсетевого экрана для локальной сети:

  1. В меню навигации нажмите Безопасность > Межсетевой экран для локальной сети.

    Страница межсетевого экрана для локальной сети открывается на существующую неопубликованную ревизию или на последнюю опубликованную ревизию.

  2. Нажмите Новый и выберите Новое правило межсетевого экрана для локальной сети из выпадающего меню. Открывается панель Новое правило межсетевого экрана.

  3. Введите Имя для правила.

  4. Включите или отключите правило с помощью ползунка (зеленый - включено, серый - отключено).

  5. Настройте Положение для правила и выберите соответствующее правило ссылки из выпадающего меню Правила следующими способами:

    • Для вариантов Перед правилом и После правила выберите из выпадающего меню Правила правило межсетевого экрана для локальной сети в соответствующем правиле локальной сети.

    • Для вариантов Первый в правиле и Последний в правиле выберите из выпадающего меню Правила родительское правило локальной сети для этого правила.

  6. Настройте Направление для правила.

    • По умолчанию правило применяется в одном направлении, от источника К назначению. Нажмите на выпадающее меню Направление, чтобы установить правило на работу в Оба направления.

  7. Разверните секцию Источник и выберите один или несколько объектов для источника трафика для этого правила.

    1. Выберите тип (например: Хост, Сетевой интерфейс, IP, Пользователь, Группа пользователей, Любой). Значение по умолчанию Любой.

    2. При необходимости выберите определенный объект из выпадающего списка для этого типа.

  8. Разверните секцию Назначение и выберите один или несколько объектов назначения для этого правила.

    1. Выберите тип (например: Хост, Сетевой интерфейс, IP, Пользователь, Группа пользователей, Любой). Значение по умолчанию Любой.

    2. При необходимости выберите определенный объект из выпадающего списка для этого типа.

  9. Разверните секцию Приложение/Категория и выберите одно или несколько приложений для правила.

    Когда в правиле более одного объекта Приложение/Категория, между ними существует логическое ИЛИ. Значение по умолчанию Любой.

    Примечание: Настраивайте объекты Приложение/Категория только для правил площадок с включенными возможностями уровня 7. Иначе правило не будет правильно функционировать.

  10. Разверните секцию Сервис/Порт и выберите протоколы, к которым применимо правило, с одним из следующих параметров:

    • Простой сервис - Выберите соответствующие сервисы уровня 4 из списка

      Список предопределенных сервисов основан на определении RFC каждого сервиса.

    • Сервис - Выберите соответствующие сервисы уровня 7 из списка

    • IПользовательский сервис - Введите соответствующий порт и протокол в формате "Протокол/Порт" (например, TCP/80-88, UDP/53, ICMP)

    Значение по умолчанию Любой.

  11. Выберите Действие для этого правила. Варианты: Разрешить и Блокировать.

  12. (Опционально) Настройте параметры отслеживания для генерации Событий и Отправки уведомлений. Частота начинает отсчитываться после отправки первого уведомления.

    Для получения дополнительной информации о уведомлениях смотрите соответствующую статью о Группы подписок, Списки рассылки и Интеграции оповещений в разделе Оповещения.

  13. Нажмите Сохранить.

    Изменения сохраняются в вашей неопубликованной версии и доступны для редактирования до тех пор, пока они не будут опубликованы или отменены.

Мониторинг и События

Вы можете по желанию включить отслеживание событий для каждого определенного правила в политике Next Gen LAN Firewall.

Примечание

Примечание: трафик LAN Firewall не будет виден в дашбордах аналитики приложений и сетей.

События появляются в разделе Мониторинг Сайтов > События.

  • Тип события - Безопасность

  • Подтип - LAN Firewall

Чтобы отфильтровать события LAN Firewall:

  1. Перейдите в Главная > События.

  2. Нажмите на Фильтр и выберите соответствующее поле, оператор и значение.

    1. Поле - Несколько полей могут быть выбраны в качестве фильтра. Например, мы можем выбрать фильтровать по "Источник сайта" или "Подтип" (LAN Firewall)

    2. Оператор - Выберите включение или исключение определенных значений (Равно, Не равно) или нескольких значений (Входит в, Не входит в), например, "Источник сайта" с оператором "Входит в" позволяет выбрать несколько источников сайтов в качестве значений.

    3. Значение - Значение для поля.

  3. Нажмите Добавить фильтр.

    image.png
image.png

В следующем примере вы можете увидеть детали события LAN Firewall.

  • Действие - Блокировать или Мониторить. (Трафик был заблокирован или разрешен локально LAN Firewall)

  • Настроенное имя хоста - Дополнительная информация о хосте для IP-источника, если доступно.

  • Подтип - LAN Firewall.  Все события, сгенерированные брандмауэром локальной сети, будут иметь этот подтип.

  • Сетевое правило - Родительское сетевое правило LAN для правила брандмауэра LAN, которое сгенерировало событие.

  • Имя правила - Название правила брандмауэра LAN, которое сгенерировало событие.

LAN_FW_L7_Event.png

В отличие от WAN или Межсетевого экрана Интернета, где события создаются PoP Cato, события брандмауэра LAN создаются на самом сокете. Эти события отправляются через туннель сайта, чтобы быть сохраненными в Приложении Управления Cato. 

Весь потоковый трафик через туннель имеет приоритет перед событиями брандмауэра LAN, которые имеют приоритет QoS по умолчанию 255 и могут создавать дополнительную нагрузку. 

Cato рекомендует отслеживать только высокоприоритетные правила брандмауэра LAN, чтобы избежать дополнительной нагрузки на туннель.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев