Межсетевые экраны играют ключевую роль в защите корпоративных сетей и внутренних ресурсов. Эта статья содержит рекомендации и лучшие практики, которые помогут вам создать самую прочную политику безопасности для вашей организации. Мы также объясним, как поддерживать ваши политики межсетевого экрана в чистоте и управляемости.
Межсетевой экран для Интернета помогает управлять доступом пользователей и устройств в вашей сети к разнообразным веб-сервисам, приложениям и контенту. WAN межсетевой экран позволяет управлять WAN трафиком для внутренних ресурсов и между пользователями и площадками. Это руководство поможет вам настроить и доработать правила в каждом межсетевом экране, чтобы максимально повысить эффективность политики безопасности.
Для получения дополнительной информации о специфических настройках правил, см. Справочник по объектам правил.
Страница "Рекомендации" в Приложении Управления Cato (CMA) показывает несколько проверок файервола и соответствует ли ваш аккаунт им, для получения дополнительной информации см. Просмотр рекомендаций для вашего аккаунта в CMA.
Существует два подхода к базе правил межсетевого экрана: разрешающий список и блокирующий список. Включение базы правил межсетевого экрана в список разрешений означает, что правила определяют, какой трафик сеть разрешает. Весь остальной трафик блокируется межсетевым экраном. Включение базы правил межсетевого экрана в список блокировок делает противоположное - правила определяют трафик, который блокируется. Весь остальной трафик разрешен межсетевым экраном. Организации выбирают подход, который наилучшим образом соответствует их специфическим нуждам и ситуациям.
- Политика безопасности в списке разрешений содержит правило блокировки ANY ANY как конечное правило для блокировки всего трафика, не соответствующего разрешенным правилам
- Политика безопасности в списке блокировок содержит правило разрешения ANY ANY как конечное правило для разрешения всего трафика, не соответствующего блокированным правилам
Рекомендации для каждого подхода обсуждаются ниже в соответствующих разделах про межсетевые экраны для Интернета и WAN.
Межсетевые экраны для Интернета и WAN от Cato используют два разных типа правил межсетевого экрана:
- Традиционные правила файервола (также известные как простые правила)
- Правила файервола следующего поколения (NG) (также известные как сложные правила)
Этот раздел описывает различия между этими типами правил и логику, которую межсетевой экран использует для их применения к сетевому трафику.
Cato позволяет вам определить политику безопасности сети и настроить традиционные правила межсетевого экрана для контроля входящего и исходящего трафика в вашей сети. Традиционные правила межсетевого экрана Cato имеют только одно или несколько следующих настроек:
- Диапазон IP-адресов
- ASN
- Страны
- Сайт
- Хост
-
Протокол/Порт
- Доступные протоколы: TCP, UDP, TCP/UDP и ICMP
Традиционный движок межсетевого экрана оценивает трафик по первому пакету. Например, сетевые администраторы могут настроить правила межсетевого экрана, основанные на протоколах и портах. Для такого рода правила межсетевой экран решает разрешить или заблокировать трафик на основе первого пакета.
Следующий скриншот показывает пример традиционного правила межсетевого экрана WAN, которое блокирует TCP-трафик на порту 80:
Следующая иллюстрация показывает пример TCP-соединения от Хоста A к Хосту B и момент, в который традиционный движок межсетевого экрана оценивает правило блокировки:
Примечание
Примечание: Традиционный движок межсетевого экрана не отбросит пакеты. PoP завершает TCP-переключение без отправки каких-либо пакетов на назначение (Хост B). Причина этого - отображение страницы блокировки или запроса интернет-переключения. Для получения дополнительной информации о странице редиректа см. Настройка страницы блокировки/запроса.
NG межсетевой экран Cato на основе состояния использует инспекцию данных уровня приложений для полного контроля и осведомленности о приложениях и услугах. Он применяет глубокую инспекцию пакетов (DPI) и несколько двигателей безопасности для проверки трафика. Ключевым элементом движка NG-брандмауэра является осведомленность о приложении, которая позволяет вам определять правила для разрешения или блокировки трафика на основе приложений и сервисов. Движок NG файрвола анализирует содержимое пакетов на основе приложений, пользовательских приложений, категорий, пользовательских категорий, сервисов, FQDN, домена и многого другого. Например, вы можете определить правило, чтобы заблокировать трафик приложения uTorrent в вашей сети. Чтобы инспектировать содержимое данных потока связи, файервол оценивает несколько пакетов в потоке, включая пакеты, которые могут помочь идентифицировать приложение и другие атрибуты полезной нагрузки контента.
Следующая иллюстрация показывает пример TCP-соединения от Хоста A к Хосту B и точку, где NG-фаейрвол может оценить правило блокировки:
В этом разделе содержатся лучшие практики для обеспечения сильной политики безопасности, релевантной для файерволов Интернета и WAN.
Межсетевые экраны WAN и Интернета в Cato Networks являются упорядоченными файерволами. Фаейрвол инспектирует соединения последовательно и проверяет, соответствует ли соединение правилу. Например, если соединение соответствует правилу №3, действие применяется к соединению, и файрвол перестает его проверять. Фаейрвол не продолжает применять правила №4 и ниже к соединению.
Если правила файрвола расположены в неправильном порядке, это может случайно заблокировать или разрешить трафик. Это может привести к плохому пользовательскому опыту или создать риски безопасности. Для дополнительной информации об упорядочивании правил файервола, смотрите статьи в Базе Знаний о брандмауэре.
Это рекомендуемый порядок базы правил для большинства случаев:
- Специфические правила блокировки
- Общие правила разрешения
- Специфические правила разрешения
-
Правило Любое Любое
- Список разрешений (по умолчанию файервол WAN) использует конечное правило блокировки
- Список блокировки (по умолчанию интернет файервол) пользователи с конечным правилом разрешения
Поскольку файервол Cato следует упорядоченной базе правил, если вы настраиваете правила NG-файервола перед традиционными правилами файервола, движок DPI осуществляет инспекцию трафика для определения приложения или услуги до выполнения действия. Это означает, что первый пакет может пройти и достичь пункта назначения. Поэтому, для того чтобы традиционные правила правильно защищали вашу сеть и применяли действие к первому пакету, они должны иметь высокий приоритет и быть расположенными в верхней части базы правил (до любых правил NG-файервола). Мы рекомендуем разместить все традиционные правила файервола в верхней части базы правил перед правилами NG-файервола.
Для получения дополнительной информации, см. выше Традиционные правила vs. NG правила файервола.
Cato также рекомендует эти настройки для WAN и интернет файервола для дальнейшего снижения рисков, связанных с DNS трафиком:
- Блокировка ускользающего использования DNS путем ограничения сервиса DNS over HTTPS - DoH в политиках файервола
-
В Интернет межсетевом экране заблокируйте категорию Парковочные домены для DNS трафика
- Правильно определите сегментации WAN для блокировки атак DNS rebinding
Политики межсетевого экрана для WAN и Интернета поддерживают до 128 предикатов на каждое правило.
Предикаты — это типы настроек, определяемых для правила, а элементы — это общее количество объектов. Например, правило со 100 пользователями и 10 площадками имеет 110 элементов и 2 предиката (пользователь и площадка).
Группы и расширенные группы считаются как единый предикат.
Опция Отслеживание для правил файервола позволяет вам мониторить и анализировать события и уведомления о трафике файервола. Мы рекомендуем настроить правила для генерации событий для действия Блокировка, чтобы легко мониторить источники, пытающиеся получить доступ к ограниченному контенту. Вы также можете настроить события и уведомления для правил, обрабатывающих трафик с существенными рисками безопасности.
Как лучшую практику, мы рекомендуем использовать мониторинг для регистрации всего интернет-трафика. Чтобы внедрить это, добавьте явное правило Разрешить Любое-Любое как финальное правило файервола Интернета и настройте его для генерации событий. Это предоставляет видимость всего интернет-трафика в вашей сети, чтобы вы могли лучше понять, как защитить сеть и пользователей, сохраняя удобство использования.
Для получения дополнительной информации о уведомлениях по электронной почте и событиях, смотрите Оповещения и уведомления системы на уровне аккаунта.
Настройка Время позволяет вам задать конкретный временной диапазон для правила файервола. Вне временного диапазона файервол игнорирует это правило. Эта функция позволяет вам ограничивать доступ к Интернету и улучшать контроль доступа в вашей сети. Например, вы можете определить правило в межсетевом экране для Интернета, которое блокирует доступ к категории Социальное только в рабочее время. Или вы можете создать правило в WAN межсетевом экране, которое разрешает доступ в облачный центр данных только в рабочие часы. Раздел Действия для правила предоставляет предустановленную опцию Ограничить рабочими часами.
Вы также можете запланировать Пользовательские временные ограничения и ограничить правило указанными часами. Убедитесь, что время От установлено раньше, чем время До, иначе правило не будет работать должным образом. Если вы хотите создать ограничение, охватывающее конец одного дня и начало следующего, создайте два правила и определите ограничение для соответствующих часов каждого дня. Например, одно правило с ограничением, определённым с 23:00 до 23:59 в Понедельник, и второе правило с ограничением, определённым с 00:00 до 01:00 во Вторник.
Примечание
Примечание: Временные ограниченные правила межсетевого экрана имеют разные классификации в зависимости от типа пользователя:
- Для сайтов будет использоваться настроенный часовой пояс для обеспечения выполнения ограниченных по времени правил файервола
- Для пользователей ZTNA, ограниченные по времени правила файервола будут основаны на геолокации их публичного IP-адреса. Если это недоступно, используется геолокация часового пояса аккаунта.
Простая и чистая база правил межсетевого экрана помогает реализовать сильную политику безопасности, так как ей легче управлять и уменьшается вероятность путаницы. Рекомендации в этом разделе помогут вам создать четкую и согласованную политику безопасности и избежать ошибок.
Когда вы создаете правило, дайте ему конкретное и уникальное имя. Самообъясняющиеся названия правил позволяют другим администраторам в команде легко понять цель правила. Неправильно названные правила могут вызвать ошибки и создать путаницу.
Например, назвав правило межсетевого экрана для Интернета, которое блокирует сайты азартных игр, Блокировать азартные игры вместо неясного Заблокированные сайты.
Каждое отдельное правило межсетевого экрана может быть отключено или включено. Однако, мы рекомендуем отключать правила только на короткий период времени. Для правил, которые устарели и больше не используются, удалите их из базы правил вместо отключения. Отключенные правила делают базу правил более сложной и трудной для управления.
Когда вы создаете правило межсетевого экрана, используйте Группу пользователей или сайтов и ограничивайте сетевой доступ для членов этой группы. Например, вы можете создать группу пользователей (Ресурсы > Группы) и блокировать интернет-доступ только для этой группы.
Исключения являются мощными инструментами для правил межсетевого экрана, но они могут сделать базу правил трудной для чтения. В случаях, когда вы используете исключения в правилах, называйте правила так, чтобы было очевидно, что они содержат исключения. Например, Блокировать Социальное (с исключениями).
Хотя нет ограничений на количество правил, которые можно добавить в политику межсетевого экрана, чрезмерно большое количество может привести к проблемам с производительностью и сделать политику трудной для управления. Мы рекомендуем проектировать базу правил так, чтобы избежать необходимости в большом количестве правил.
Интернет межсетевой экран Cato проверяет интернет-трафик и позволяет создавать правила для управления доступом в Интернет. Межсетевой экран для Интернета основан на наборе правил безопасности, которые позволяют вам разрешать или блокировать доступ с сайтов и пользователей к веб-сайтам, категориям, приложениям и так далее. Стандартный подход межсетевого экрана для Интернета — это список блокировки (Любой Любое Разрешить).
Следующий скриншот показывает пример политики интернет межсетевого экрана в CMA (Безопасность > Интернет межсетевой экран):
Примечание: Системное правило на вершине базы правил интернет файервола. Это правило автоматически блокирует потенциально незаконный или вредоносный трафик, как определено Cato Networks в главном соглашении о предоставлении услуг (MSA).
Лучшие практики для политики интернет-брандмауэра Cato
Этот раздел содержит лучшие практики, которые помогут вам обеспечить безопасность доступа в Интернет для вашего аккаунта.
QUIC — это новый многоканальный транспорт, построенный на базе UDP. HTTP/3 разработан с учетом особенностей QUIC, включая отсутствие блокировки Head-Of-Line между потоками. Проект QUIC начался как альтернатива TCP+TLS+HTTP/2 с целью улучшения пользовательского опыта, особенно времени загрузки страниц. Cato может идентифицировать и блокировать трафик QUIC, а также трафик GQUIC (Google QUIC).
Для управления трафиком QUIC в правилах фаервола или сетевых, воспользуйтесь сервисом QUIC и приложением GQUIC в соответствующих правилах. Вот примеры правил Интернет брандмауэра, блокирующих трафик QUIC для учетной записи:
Поскольку протокол QUIC работает через UDP 443, инкапсулированный HTTP-трафик не анализируется. Это означает, что экран Аналитики Приложений показывает только записи о трафике QUIC, а не о самом приложении.
Поэтому мы рекомендуем создавать конкретные правила для блокировки трафика QUIC и GQUIC, чтобы браузер использовал стандартную версию HTTP вместо HTTP 3.0 и QUIC. Это предоставляет детализированную аналитику используемых приложений, вместо простого отчета о использовании службы QUIC или приложения GQUIC.
Для правил, позволяющих доступ в Интернет, мы рекомендуем выбирать конкретный сайт, хост или пользователя в колонке Источник вместо использования опции Любой. Правила, позволяющие любой трафик в Интернет, представляют потенциальный риск безопасности, так как вы позволяете трафик из неожиданных источников.
Следующий снимок экрана показывает правило, где колонка Источник настроена на группы Все сайты и Все Пользователи SDP вместо Любой:
Правила интернет-файрвола, которые используют Любой в некоторых настройках, могут генерировать события, не содержащие важную и полезную информацию. Например, правило, настроенное с Любым приложением, может генерировать события, которые не идентифицируют приложение в потоке трафика. Это происходит потому, что межсетевой экран запускает правило до завершения идентификации приложения, так как любое приложение соответствует правилу. Затем, когда стек безопасности Cato завершает процесс идентификации приложения, данные об использовании этого приложения включаются в экран Аналитика Приложений. Однако события не включают всю ту же информацию, и тогда может быть трудно продолжить более глубокое исследование использования приложения.
Чтобы улучшить анализ использования приложений, мы рекомендуем минимизировать использование Любой в условиях правил и вместо этого использовать детализированные правила с конкретными приложениями, сервисами, портами и так далее.
Когда необходимо настроить правила брандмауэра, позволяющие любой исходящий интернет трафик для конкретного сервиса или порта, мы рекомендуем блокировать категории или приложения, представляющие потенциальные риски безопасности.
Например, если у вас есть правило, позволяющее весь HTTP трафик, добавьте исключение для таких категорий, как: Мошенничество, Азартные игры, Насилие и ненависть, Припаркованные домены, Нагота, Оружие, Сексуальное образование, Культы и Анонимайзеры. Это примеры категорий, которые могут содержать вредоносный контент, и исключение блокирует доступ в Интернет для этих категорий.
В общем случае, мы рекомендуем для правил, которые разрешают интернет-трафик, использовать безопасные зашифрованные протоколы вместо обычных протоколов в открытом виде. Например, используйте FTPS вместо FTP или SSH вместо Telnet или SNMP. Интернет-трафик, разрешенный с использованием безопасных протоколов, зашифрован и очень трудно для хакеров перехватить и расшифровать его.
Если у вас есть правило, позволяющее доступ к веб-сайтам с незначительным риском безопасности, мы рекомендуем использовать действие Запрос вместо Разрешить. Когда пользователи пытаются получить доступ к одному из этих сайтов, действие Запрос перенаправляет их на веб-страницу, где они решают, продолжать ли. Поскольку эти веб-сайты увеличивают риск безопасности для вашей сети, мы рекомендуем отслеживать события для трафика, который соответствует этому правилу.
Для корректной работы действия Запрос мы рекомендуем установить сертификат Cato на все поддерживаемые устройства.
Когда в правиле включено много категорий, это усложняет управление базой правил. Вместо этого вы можете определить пользовательскую категорию, содержащую все соответствующие категории, а затем добавить эту единственную пользовательскую категорию в правило. Определение простых правил, использующих одну Пользовательскую категорию, упрощает чтение и поиск базы правил.
Например, вы можете создать Пользовательскую категорию с именем Профиль сайта, содержащую все категории, приложения и сервисы, к которым вы хотите разрешить доступ, и затем добавить Пользовательскую категорию в соответствующее правило Интернет-брандмауэра. Чтобы правило оставалось актуальным, вы можете просто редактировать Пользовательскую категорию, удаляя или добавляя необходимые обновления.
Это дополнительные рекомендации для правил, реализующих лучшие практики с использованием Пользовательских категорий:
- Создайте правило для всего трафика, который вы хотите определить как действие Запрос. Затем создайте пользовательскую категорию под названием Prompt Sites, содержащую все соответствующие URL-адреса и категории, и добавьте ее в правило. Рекомендованные категории для действия Запрос включают: Обман, Азартные игры, Насилие и Ненависть, Безвкусица, Припаркованные домены, Оружие, Секс-образование, Культы и Анонимайзеры. Настройте отслеживание для правила, чтобы генерировать события для соответствующего трафика.
- Создайте правило для всего трафика, который вы хотите определить как действие Блокировать. Затем создайте пользовательскую категорию под названием Block Sites, содержащую все соответствующие URL-адреса и категории, и добавьте ее в правило. Рекомендованные категории для действия Блокировать включают: Бот-сети, Скомпрометированные, Порнография, Кейлоггеры, Вредоносные программы, Фишинг, Шпионское ПО, Незаконные наркотики, Взлом, СПАМ, Сомнительные. Настройте отслеживание для правила, чтобы генерировать события для соответствующего трафика.
Последним правилом в интернет-брандмауэре является неявное правило Любое - Любое - Разрешить, тем не менее, мы рекомендуем добавить явное правило Любое - Любое - Разрешить в качестве последнего правила. Таким образом, вы можете легко отслеживать весь интернет-трафик, просто выберите Отслеживать события для всех правил.
Интернет межсетевой экран в Cato делает простым и эффективным блокирование целых доменов верхнего уровня (например, .shop, .info или TLDs кодов стран, например, .cg (Конго)). Эта возможность повышает безопасность, позволяя организациям проактивно предотвращать доступ к высоко рискованным или нежелательным TLDs во всех их сетях.
Чтобы заблокировать TLD, определите Домен для Приложение/Категория в правиле Интернет межсетевого экрана. Нет необходимости использовать подстановочный знак (например, *.info); поддомены включены автоматически. Это означает, что добавление info заблокирует example.info, subdomain.example.info и любой другой домен под TLD .info.
Интернет межсетевой экран блокирует исходящий трафик к доменам под указанным TLD. Он не блокирует входящий трафик. Блокирование страны по домену основано на самом доменном имени, а не на фильтрации по IP.
Пример выше показывает домены, которые могут быть добавлены в блокирующее правило с таким поведением:
- info блокирует все домены .info
- shop блокирует все домены .shop
- cg блокирует все домены .cg (Конго)
Реализуя интернет межсетевой экран с разрешающим поведением свойств, это значит, что по умолчанию межсетевой экран блокирует весь интернет-трафик. Добавьте правила в брандмауэр, которые специально разрешают интернет-трафик в соответствии с потребностями корпоративной политики безопасности.
Чтобы реализовать разрешающий интернет межсетевой экран в CMA, последнее правило внизу базы правил должно быть явным правилом, блокирующим любой трафик из любого источника в любое место назначения. Смотрите следующий пример:
Мы также рекомендуем включить отслеживание для финального правила, чтобы генерировать события, помогающие вам мониторить и анализировать интернет-трафик в вашей сети.
Этот раздел обсуждает правила, которые мы рекомендуем включить в базы правил для интернет-брандмауэра, использующие подход с разрешающим списком.
Когда вы разрешаете HTTP и HTTPS трафик, мы рекомендуем блокировать веб-сайты, содержащие рискованный и неподобающий контент. Эти веб-сайты обычно блокируются бизнесами и могут также быть потенциальными источниками вредоносных программ. Каждая категория (Ресурсы > Категории) содержит разнообразные веб-сайты и приложения, которые вы можете легко добавить в правила. Категории включают, например, ботнеты, компрометированные, порно, кейлоггеры, вредоносные программы, фишинг, шпионское ПО, незаконные наркотики, хакерство, СПАМ и сомнительные.
На вершине базы правил убедитесь, что существует правило для разрешения всех DNS сервисов как часть интернет-трафика.
Следующий скриншот показывает пример правила, разрешающего DNS трафик:
Создайте правило для разрешения сервисов, используемых вашей учетной записью и требующих доступа к интернету. Кроме того, если есть сервисы, которые используются только для определенных сайтов, то вы можете создать отдельное правило, позволяющее доступ только для этих сайтов.
Добавьте приложения, используемые вашей организацией, в правила интернет-брандмауэра из списка предопределенных приложений. Cato постоянно обновляет этот список новыми приложениями. Если вам нужно приложение, которого нет в списке, вы можете определить пользовательское приложение. Для получения дополнительной информации о настройке пользовательских приложений, см. Работа с пользовательскими приложениями.
Реализация интернет файрвола с поведением блокировки означает, что по умолчанию файрвол разрешает весь интернет-трафик. Добавьте правила в межсетевой экран, которые специально блокируют интернет-трафик в соответствии с потребностями вашей корпоративной политики безопасности. Списки блокировки - это структура по умолчанию для межсетевого экрана Интернета, которая разрешает любой трафик, не заблокированный правилом.
Кроме того, мы рекомендуем использовать период обучения для выявления нежелательного интернет-трафика. В течение этого периода обучения временно добавьте правило в конец базы правил, которое разрешает любой трафик из любого источника к любому назначению с включенным отслеживанием. Это правило генерирует событие для каждого соединения, которому разрешен доступ в Интернет. Когда вы просматриваете интернет-трафик для вашего аккаунта, если вы обнаружите нежелательный трафик, вы можете добавить правило чтобы его заблокировать.
Для получения дополнительной информации о событиях межсетевого экрана, см. Анализ событий в вашей сети.
В этом разделе описаны правила, которые мы рекомендуем включать в базы правил для межсетевого экрана Интернета, использующего подход с использованием списка блокировки.
Сервисы, такие как Telnet и SNMP v1 & v2 являются потенциальными рисками безопасности, и их можно блокировать в правилах Интернета. Если вашей организации требуется доступ к этим сервисам, мы рекомендуем добавить исключение к правилу блокировки для этих конкретных пользователей или групп.
Следующий скриншот показывает пример правила блокировки трафика Telnet и SNMP, с исключением, позволяющим доступ для отдела IT:
Категория Без категории содержит веб-сайты, которые не отнесены к существующей категории из списка категорий. Эти веб-сайты могут представлять потенциальную угрозу безопасности для вашей сети. Создайте правило, которое блокирует категорию Без категории для всего интернет-трафика.
Вы также можете использовать сервис RBI от Cato для безопасного доступа к сайтам Без категории. Для получения дополнительной информации о RBI, см. Защита сеансов просмотра через изоляцию удаленного браузера (RBI).
Существует несколько стран, которые известны созданием вредоносного трафика. Если ваша организация не ведет бизнес с этими странами, рекомендуем заблокировать им доступ к Интернету и снизить потенциально вредоносный трафик. Вы можете создать правило, которое использует настройку Страна в разделе Приложение / Категория для блокировки интернет-трафика загружено к указанным странам.
Если вы хотите заблокировать трафик загружено из специфической страны, но разрешить доступ к специфическому полному доменному имени (FQDN), создайте правило с требуемым полным доменным именем (FQDN) с действием "Разрешить". Затем создайте правило с низким приоритетом, которое блокирует страну.
Межсетевой экран WAN отвечает за контроль трафика между различными сетевыми элементами, подключенными к облаку Cato. С помощью межсетевого экрана WAN вы можете контролировать трафик WAN в вашей сети и достигать оптимальной сетевой безопасности.
По умолчанию межсетевой экран WAN использует подход ANY ANY Block (разрешающий список). Это означает, что любое соединение между площадками и пользователями блокируется, если вы не определите конкретные правила межсетевого экрана WAN, которые разрешают соединения.
Следующий скриншот показывает пример политики WAN межсетевого экрана в CMA (Безопасность > WAN межсетевой экран)
В этом разделе содержатся лучшие практики, чтобы помочь вам обезопасить возможность подключения к WAN для вашей учетной записи.
Золотое правило для межсетевого экрана WAN - разрешать только желаемый трафик. Для этих разрешающих правил добавьте конкретные сервисы и порты, которые используются, и обеспечьте улучшенную защищенность возможности подключения для межсетевого экрана WAN.
На следующем скриншоте показано пример правила межсетевого экрана WAN, которое позволяет всем пользователям ZTNA получить доступ к площадке в центре обработки данных. Это правило улучшает безопасность, так как позволяет пропускать только RDP-трафик для пользователей ZTNA.
Правила брандмауэра WAN, которые предоставляют доступ Любой Источник или Назначение, менее безопасны, чем правила для конкретных сайтов и пользователей. Более конкретные настройки дают вам больше контроля над соединением WAN для аккаунта.
На следующем скриншоте показан пример правила брандмауэра WAN, использующего конкретные сайты в Источник и Назначение:
Когда вы настраиваете правила WAN межсетевого экрана, используя Any в некоторых настройках, события, связанные с правилом, не обязательно включают все соответствующие данные и могут затруднить анализ использования приложений. Для получения дополнительной информации о событиях для правил с использованием настроек Любой, см. выше Улучшение данных событий с помощью детализированных правил. Чтобы улучшить анализ использования приложений, мы рекомендуем минимизировать использование Любой в условиях правил и вместо этого использовать детализированные правила с конкретными приложениями, сервисами, портами и так далее.
Реализуя WAN межсетевой экран с разрешающим поведением свойств, это значит, что по умолчанию межсетевой экран блокирует все WAN соединения между площадками, серверами, пользователями и так далее. Добавьте правила в межсетевой экран, которые конкретно разрешают подключение трафика WAN в вашей сети. Разрешающий список является основной структурой для WAN межсетевого экрана Cato, неявное конечное правило базы правил WAN – это ANY ANY Блок.
Мы настоятельно рекомендуем не добавлять правило, позволяющее соединение от любого источника к любому пункту назначения в WAN. Этот тип правила Любое Любое Разрешить подвергает вашу сеть значительным рискам безопасности.
Сильная политика безопасности для брандмауэра WAN с списком разрешенных включает правила, позволяющие только те сервисы и приложения, которые используются вашей организацией. Вместо использования правил, позволяющих Любое сервис для трафика между площадками, добавьте сервисы или приложения в это правило. Поскольку сервисы более специфичны, чем порты, мы рекомендуем определять правила, используя Сервисы вместо портов, где это возможно.
Examples of services often used by organizations include: DNS, DHCP, SMB, Databases, Citrix, RDP, DCE/RPC, SMTP, FTP, ICMP, NetBIOS, NTP, SNMP, and so on.
Examples of applications often used by organizations include: SharePoint, Slack, Citrix ShareFile, and so on.
Вы также можете создать пользовательскую категорию, содержащую все приложения и услуги для WAN межсетевого экрана, а затем добавить эту пользовательскую категорию в соответствующие правила. Используйте Пользовательские приложения для приложений или сервисов, которые не предопределены в межсетевом экране. Это также позволяет Событиям содержать название приложения для более качественного анализа.
Реализация файрвола WAN с поведением блокировки означает, что по умолчанию файрвол разрешает все подключения WAN между площадками, серверами, пользователями и так далее. Добавьте правила в межсетевой экран, которые конкретно блокируют трафик WAN в соответствии с требованиями политики безопасности компании. Мы не рекомендуем использовать этот подход для политики безопасности WAN. Однако, если ваша организация использует его, удостоверитесь, что вы блокируете нежелательный трафик WAN.
Чтобы реализовать блокирующий WAN межсетевой экран в CMA, база правил содержит правило ANY ANY Разрешить внизу.
Для брандмауэров WAN с списком блокируемых, мы рекомендуем добавить следующие правила выше финального правила любой Любое Разрешить, чтобы помочь создать сильную политику безопасности:
- Правила для блокировки сервисов, представляющих угрозы безопасности и имеющих известные уязвимости, такие как SMBv1
- Правила, блокирующие соединение между площадками, которым не нужно коммуницировать
0 комментариев
Войдите в службу, чтобы оставить комментарий.