Межсетевые экраны играют ключевую роль в защите корпоративных сетей и внутренних ресурсов. Эта статья содержит рекомендации и лучшие практики, которые помогут вам создать самую прочную политику безопасности для вашей организации. Мы также объясним, как поддерживать ваши политики межсетевого экрана в чистоте и управляемости.
Межсетевой экран для Интернета помогает управлять доступом пользователей и устройств в вашей сети к разнообразным веб-сервисам, приложениям и контенту. Межсетевой экран WAN позволяет управлять WAN-трафиком для внутренних ресурсов и между пользователями и сайтами. Это руководство поможет вам настроить и точно отрегулировать правила в каждом межсетевом экране для максимизации эффективности политики безопасности.
Для получения дополнительной информации о конкретных настройках правил см. Справочник по объектам правил.
Существует два подхода к правилам базы межсетевого экрана: список разрешений и список блокировок. Включение базы правил межсетевого экрана в список разрешений означает, что правила определяют, какой трафик сеть разрешает. Весь остальной трафик блокируется межсетевым экраном. Включение базы правил межсетевого экрана в список блокировок делает противоположное - правила определяют трафик, который блокируется. Весь остальной трафик разрешен межсетевым экраном. Организации выбирают подход, который наилучшим образом соответствует их специфическим нуждам и ситуациям.
-
Политика безопасности списка разрешений имеет правило "Любой Любой Блокировать" как последнее правило для блокировки всего трафика, который не соответствует правилу разрешения
-
Политика безопасности списка блокировок имеет правило "Любой Любой Разрешить" как последнее правило для разрешения всего трафика, который не соответствует правилу блокировки
Рекомендации для каждого подхода обсуждаются ниже в соответствующих разделах про межсетевые экраны для Интернета и WAN.
Межсетевые экраны для Интернета и WAN от Cato используют два разных типа правил межсетевого экрана:
-
Традиционные правила межсетевого экрана (также известны как простые правила)
-
Правила следующего поколения (NG) межсетевого экрана (также известны как сложные правила)
Этот раздел описывает различия между этими типами правил и логику, которую межсетевой экран использует для их применения к сетевому трафику.
Cato позволяет вам определить политику безопасности сети и настроить традиционные правила межсетевого экрана для контроля входящего и исходящего трафика в вашей сети. Традиционные правила межсетевого экрана Cato имеют только одно или несколько следующих настроек:
Традиционный движок межсетевого экрана оценивает трафик по первому пакету. Например, сетевые администраторы могут настроить правила межсетевого экрана, основанные на протоколах и портах. Для такого рода правила межсетевой экран решает разрешить или заблокировать трафик на основе первого пакета.
Следующий скриншот показывает пример традиционного правила межсетевого экрана WAN, которое блокирует TCP-трафик на порту 80:
Следующая иллюстрация показывает пример TCP-соединения от Хоста A к Хосту B и момент, в который традиционный движок межсетевого экрана оценивает правило блокировки:
Примечание
Примечание: Традиционный движок межсетевого экрана не отбросит пакеты. PoP завершает TCP-переключение без отправки каких-либо пакетов на назначение (Хост B). Причина этого - отображение страницы блокировки или запроса интернет-переключения. Для получения дополнительной информации о странице редиректа см. Настройка страницы блокировки/запроса.
Движок межсетевого экрана NG от Cato является состоянием и использует инспекцию данных уровня приложений для полного сознания и контроля за приложениями и услугами. Он применяет глубокую инспекцию пакетов (DPI) и несколько двигателей безопасности для проверки трафика. Ключевым элементом движка NG-брандмауэра является осведомленность о приложении, которая позволяет вам определять правила для разрешения или блокировки трафика на основе приложений и сервисов. Движок NG-брандмауэра инспектирует содержимое пакетов на основе приложений, пользовательских приложений, категорий, пользовательских категорий, сервисов, полного доменного имени, домена и других параметров. Например, вы можете определить правило, чтобы заблокировать трафик приложения uTorrent в вашей сети. Чтобы инспектировать содержимое данных потока связи, файервол оценивает несколько пакетов в потоке, включая пакеты, которые могут помочь идентифицировать приложение и другие атрибуты полезной нагрузки контента.
Следующая иллюстрация показывает пример TCP-соединения от Хоста A к Хосту B и точку, где NG-фаейрвол может оценить правило блокировки:
В этом разделе содержатся лучшие практики для обеспечения сильной политики безопасности, релевантной для файерволов Интернета и WAN.
Межсетевые экраны WAN и Интернета в Cato Networks являются упорядоченными файерволами. Фаейрвол инспектирует соединения последовательно и проверяет, соответствует ли соединение правилу. Например, если соединение соответствует правилу № 3, действие применяется к соединению, и файервол прекращает его инспектировать. Фаейрвол не продолжает применять правила №4 и ниже к соединению.
Если правила файервола расположены в неправильном порядке, то вы можете случайно заблокировать или разрешить трафик. Это может привести к плохому пользовательскому опыту или создать риски безопасности. Для дополнительной информации об упорядочивании правил файервола, смотрите статьи в Базе Знаний о брандмауэре.
Это рекомендуемый порядок базы правил для большинства случаев:
-
Специфические правила блокировки
-
Общие правила разрешений
-
Специфические правила разрешений
-
Правило Любое Любое
-
Белый список (файервол WAN по умолчанию) использует финальное правило блокировки
-
Черный список (файервол Интернета по умолчанию) использует финальное правило разрешения
-
Поскольку файервол Cato следует упорядоченной базе правил, если вы настраиваете правила NG-файервола перед традиционными правилами файервола, движок DPI осуществляет инспекцию трафика для определения приложения или услуги до выполнения действия. Это означает, что первый пакет может пройти и достичь пункта назначения. Поэтому, для того чтобы традиционные правила правильно защищали вашу сеть и применяли действие к первому пакету, они должны иметь высокий приоритет и быть расположенными в верхней части базы правил (до любых правил NG-файервола). Мы рекомендуем разместить все традиционные правила файервола в верхней части базы правил перед правилами NG-файервола.
Для получения дополнительной информации смотрите выше, Традиционные правила vs. NG-файды.
Политики файервола WAN и Интернета поддерживают до 64 предикатов на правило.
Опция Отслеживание для правил файервола позволяет вам мониторить и анализировать события и уведомления о трафике файервола. Мы рекомендуем настроить правила для генерации событий для действия Блокировка, чтобы легко мониторить источники, пытающиеся получить доступ к ограниченному контенту. Вы также можете настроить события и уведомления для правил, обрабатывающих трафик с существенными рисками безопасности.
Как лучшую практику, мы рекомендуем использовать мониторинг для регистрации всего интернет-трафика. Чтобы внедрить это, добавьте явное правило Разрешить Любое-Любое как финальное правило файервола Интернета и настройте его для генерации событий. Это предоставляет видимость всего интернет-трафика в вашей сети, чтобы вы могли лучше понять, как защитить сеть и пользователей, сохраняя удобство использования.
Для получения дополнительной информации о уведомлениях по электронной почте и событиях, смотрите Оповещения и уведомления системы на уровне аккаунта.
Настройка Время позволяет вам задать конкретный временной диапазон для правила файервола. Вне временного диапазона файервол игнорирует это правило. Эта функция позволяет вам ограничивать доступ к Интернету и улучшать контроль доступа в вашей сети. Например, вы можете определить правило в межсетевом экране для Интернета, которое блокирует доступ к категории Социальное только в рабочее время. Или вы можете создать правило в межсетевом экране WAN, которое позволяет доступ к Облачному Центру Обработки Данных только в рабочее время. Раздел Действия для правила предоставляет предустановленную опцию Ограничить рабочими часами.
Вы также можете запланировать Пользовательские временные ограничения и ограничить правило указанными часами. Убедитесь, что время С установлено раньше, чем время До, иначе правило не будет работать правильно. Если вы хотите создать ограничение, охватывающее конец одного дня и начало следующего, создайте два правила и определите ограничение для соответствующих часов каждого дня. Например, одно правило с ограничением, определённым с 23:00 до 23:59 в Понедельник, и второе правило с ограничением, определённым с 00:00 до 01:00 во Вторник.
Примечание
Примечание: Временные ограниченные правила межсетевого экрана имеют разные классификации в зависимости от типа пользователя:
-
Для площадок будет использоваться настроенный часовой пояс для обеспечения выполнения временно ограниченных правил межсетевого экрана
-
Для пользователей SDP временно ограниченные правила межсетевого экрана будут основываться на геолокации их публичного IP-адреса
Простая и чистая база правил межсетевого экрана помогает реализовать сильную политику безопасности, так как ей легче управлять и уменьшается вероятность путаницы. Рекомендации в этом разделе помогут вам создать четкую и согласованную политику безопасности и избежать ошибок.
Когда вы создаете правило, дайте ему конкретное и уникальное имя. Самообъясняющиеся названия правил позволяют другим администраторам в команде легко понять цель правила. Неправильно названные правила могут вызвать ошибки и создать путаницу.
Например, назвав правило межсетевого экрана для Интернета, которое блокирует сайты азартных игр, Блокировать азартные игры вместо неясного Заблокированные сайты.
Каждое отдельное правило межсетевого экрана может быть отключено или включено. Однако мы рекомендуем отключать правила только на короткий период времени. Для правил, которые устарели и больше не используются, удалите их из базы правил вместо отключения. Отключенные правила делают базу правил более сложной и трудной для управления.
Когда вы создаете правило межсетевого экрана, используйте Группу пользователей или сайтов и ограничивайте сетевой доступ для членов этой группы. Например, вы можете создать группу пользователей (Ресурсы > Группы) и блокировать интернет-доступ только для этой группы.
Исключения являются мощными инструментами для правил межсетевого экрана, но они могут сделать базу правил трудной для чтения. В случаях, когда вы используете исключения в правилах, называйте правила так, чтобы было очевидно, что они содержат исключения. Например, Блокировать Социальное (с исключениями).
Хотя нет ограничений на количество правил, которые можно добавить в политику межсетевого экрана, чрезмерно большое количество может привести к проблемам с производительностью и сделать политику трудной для управления. Мы рекомендуем проектировать базу правил, чтобы избежать необходимости в крайне большом количестве правил.
Межсетевой экран Интернета Cato инспектирует интернет-трафик и позволяет вам создавать правила для контроля доступа в Интернет. Межсетевой экран для Интернета основан на наборе правил безопасности, которые позволяют вам разрешать или блокировать доступ с сайтов и пользователей к веб-сайтам, категориям, приложениям и так далее. Стандартный подход межсетевого экрана для Интернета — это список блокировки (Любой Любое Разрешить).
Следующий скриншот показывает пример политики межсетевого экрана Интернета в Приложении Управления Cato (Безопасность > Межсетевой экран для Интернета):
Этот раздел содержит лучшие практики, которые помогут вам обеспечить безопасность доступа в Интернет для вашего аккаунта.
QUIC — это новый многоканальный транспорт, построенный на базе UDP. HTTP/3 разработан, чтобы использовать преимущества функций QUIC, включая отсутствие блокировки потоком первого пакета. Проект QUIC начался как альтернатива TCP+TLS+HTTP/2 с целью улучшения пользовательского опыта, особенно времени загрузки страниц. Cato может идентифицировать и блокировать трафик QUIC, а также трафик GQUIC (Google QUIC).
Для управления трафиком QUIC в правилах фаервола или сетевых, воспользуйтесь сервисом QUIC и приложением GQUIC в соответствующих правилах. Вот примеры правил Интернет брандмауэра, блокирующих трафик QUIC для учетной записи:
Поскольку протокол QUIC работает через UDP 443, инкапсулированный HTTP-трафик не анализируется. Это означает, что экран Аналитики Приложений показывает только записи о трафике QUIC, а не о самом приложении.
Поэтому мы рекомендуем создавать специфические правила для блокировки трафика QUIC и GQUIC, чтобы браузер использовал версию HTTP по умолчанию, вместо HTTP 3.0 и QUIC. Это предоставляет детализированную аналитику для используемых приложений, а не только отчёт об использовании сервиса QUIC или приложения GQUIC.
Для правил, позволяющих доступ в Интернет, мы рекомендуем выбирать конкретный сайт, хост или пользователя в колонке Источник вместо использования опции Любой. Правила, позволяющие любой трафик в Интернет, представляют потенциальный риск безопасности, так как вы позволяете трафик из неожиданных источников.
Следующий снимок экрана показывает правило, где колонка Источник настроена на группы Все сайты и Все Пользователи SDP вместо Любой:
Правила интернет-брандмауэра, использующие Любой в некоторых настройках, могут генерировать события, которые не содержат важной и полезной информации. Например, правило, настроенное с Любым приложением, может генерировать события, которые не идентифицируют приложение в потоке трафика. Это происходит потому, что брандмауэр активирует правило до завершения процесса идентификации приложения, поскольку любое приложение соответствует правилу. Затем, когда стек безопасности Cato завершает процесс идентификации приложения, данные об использовании этого приложения включаются в экран Аналитика Приложений. Однако события не включают всю ту же информацию, и тогда может быть трудно продолжить более глубокое исследование использования приложения.
Для улучшения анализа использования приложений мы рекомендуем минимизировать использование Любой в условиях правила и вместо этого использовать детализированные правила с конкретными приложениями, сервисами, портами и т. д.
Когда необходимо настроить правила брандмауэра, позволяющие любой исходящий интернет трафик для конкретного сервиса или порта, мы рекомендуем блокировать категории или приложения, представляющие потенциальные риски безопасности.
Например, если у вас есть правило, позволяющее весь HTTP трафик, добавьте исключение для таких категорий, как: Мошенничество, Азартные игры, Насилие и ненависть, Припаркованные домены, Нагота, Оружие, Сексуальное образование, Культы и Анонимайзеры. Это примеры категорий, которые могут содержать вредоносный контент, и исключение блокирует доступ в Интернет для этих категорий.
В общем, мы рекомендуем для правил, позволяющих интернет трафик, использовать защищенные зашифрованные протоколы вместо обычных текстовых протоколов. Например, используйте FTPS вместо FTP или SSH вместо Telnet или SNMP. Интернет трафик, который разрешен с защищенными протоколами, зашифрован и крайне сложно для хакеров перехватить и расшифровать.
Если у вас есть правило, позволяющее доступ к веб-сайтам с незначительным риском безопасности, мы рекомендуем использовать действие Запрос вместо Разрешить. Когда пользователи пытаются получить доступ к одному из этих сайтов, действие Запрос перенаправляет их на веб-страницу, где они решают, продолжать ли. Поскольку эти веб-сайты увеличивают риск безопасности для вашей сети, мы рекомендуем отслеживать события для трафика, который соответствует этому правилу.
Для корректной работы действия Запрос мы рекомендуем установить сертификат Cato на все поддерживаемые устройства.
Когда в правиле включено много категорий, это усложняет управление базой правил. Вместо этого вы можете определить Пользовательскую категорию, содержащую все соответствующие категории, и затем добавить эту единственную Пользовательскую категорию в правило. Определение простых правил, использующих одну Пользовательскую категорию, упрощает чтение и поиск базы правил.
Например, вы можете создать Пользовательскую категорию с именем Профиль сайта, содержащую все категории, приложения и сервисы, к которым вы хотите разрешить доступ, и затем добавить Пользовательскую категорию в соответствующее правило Интернет-брандмауэра. Чтобы правило оставалось актуальным, вы можете просто редактировать Пользовательскую категорию, удаляя или добавляя необходимые обновления.
Это дополнительные рекомендации для правил, реализующих лучшие практики с использованием Пользовательских категорий:
-
Создайте правило для всего трафика, который вы хотите определить как действие Запрос. Затем создайте Пользовательскую категорию с именем Запрос сайтов, содержащую все соответствующие URL и категории, и добавьте её в правило. Рекомендованные категории для действия Запрос включают: Обман, Азартные игры, Насилие и Ненависть, Безвкусица, Припаркованные домены, Оружие, Секс-образование, Культы и Анонимайзеры. Настройте отслеживание для правила, чтобы генерировать события для соответствующего трафика.
-
Создайте правило для всего трафика, который вы хотите определить как действие Блокировать. Затем создайте Пользовательскую категорию с именем Блокировать сайты, содержащую все соответствующие URL и категории, и добавьте её в правило. Рекомендованные категории для действия Блокировать включают: Бот-сети, Скомпрометированные, Порнография, Кейлоггеры, Вредоносные программы, Фишинг, Шпионское ПО, Незаконные наркотики, Взлом, СПАМ, Сомнительные. Настройте отслеживание для правила, чтобы генерировать события для соответствующего трафика.
Последним правилом в интернет-брандмауэре является неявное правило Любое - Любое - Разрешить, тем не менее, мы рекомендуем добавить явное правило Любое - Любое - Разрешить в качестве последнего правила. Таким образом, вы можете легко записывать ВЕСЬ интернет-трафик, просто выберите отслеживание Событий для всех правил.
Реализация интернет-брандмауэра с поведением в стиле разрешающего списка означает, что по умолчанию брандмауэр блокирует весь интернет-трафик. Добавьте правила в брандмауэр, которые специально разрешают интернет-трафик в соответствии с потребностями корпоративной политики безопасности.
Чтобы реализовать интернет-брандмауэр с разрешающим списком в приложении управления Cato, финальное правило внизу базы правил должно быть явным правилом, блокирующим любой трафик от любого источника к любому назначению. Смотрите следующий пример:
Мы также рекомендуем включить отслеживание для финального правила, чтобы генерировать события, помогающие вам мониторить и анализировать интернет-трафик в вашей сети.
Этот раздел обсуждает правила, которые мы рекомендуем включить в базы правил для интернет-брандмауэра, использующие подход с разрешающим списком.
Когда вы разрешаете HTTP и HTTPS трафик, мы рекомендуем блокировать веб-сайты, содержащие рискованный и неподобающий контент. Эти веб-сайты обычно блокируются бизнесами и могут также быть потенциальными источниками вредоносных программ. Каждая категория (Ресурсы > Категории) содержит разнообразные веб-сайты и приложения, которые вы можете легко добавить в правила. Категории включают, например, Бот-сети, Скомпрометированные, Порнография, Кейлоггеры, Вредоносные программы, Фишинг, Шпионское ПО, Незаконные наркотики, Взлом, СПАМ, Сомнительные.
На вершине базы правил убедитесь, что существует правило для разрешения всех DNS сервисов как часть интернет-трафика.
Следующий скриншот показывает пример правила, разрешающего DNS трафик:
Создайте правило для разрешения сервисов, используемых вашей учетной записью и требующих доступа к интернету. Кроме того, если есть сервисы, которые используются только для определенных сайтов, то вы можете создать отдельное правило, позволяющее доступ только для этих сайтов.
Добавьте приложения, используемые вашей организацией, в правила интернет-брандмауэра из списка предопределенных приложений. Cato постоянно обновляет этот список новыми приложениями. Если вам нужно приложение, которого нет в списке, вы можете определить пользовательское приложение. Для получения дополнительной информации о настройке пользовательских приложений, см. Работа с пользовательскими приложениями.
Реализация межсетевого экрана для Интернета с поведением списка блокировки означает, что по умолчанию межсетевой экран разрешает весь интернет-трафик. Добавьте правила в межсетевой экран, которые специально блокируют интернет-трафик в соответствии с потребностями вашей корпоративной политики безопасности. Списки блокировки - это структура по умолчанию для межсетевого экрана Интернета, которая разрешает любой трафик, не заблокированный правилом.
Кроме того, мы рекомендуем использовать период обучения для выявления нежелательного интернет-трафика. В течение этого периода обучения временно добавьте правило в конец базы правил, которое разрешает любой трафик из любого источника к любому назначению с включенным отслеживанием. Это правило генерирует событие для каждого соединения, которому разрешен доступ в Интернет. Когда вы просматриваете интернет-трафик для вашей учетной записи, если вы идентифицируете нежелательный трафик - вы можете затем добавить правило для его блокировки.
Для получения дополнительной информации о событиях межсетевого экрана, см. Анализ событий в вашей сети.
В этом разделе описаны правила, которые мы рекомендуем включать в базы правил для межсетевого экрана Интернета, использующего подход с использованием списка блокировки.
Сервисы, такие как Telnet и SNMP v1 & v2 являются потенциальными рисками безопасности, и их можно блокировать в правилах Интернета. Если вашей организации требуется доступ к этим сервисам, мы рекомендуем добавить исключение к правилу блокировки для этих конкретных пользователей или групп.
Следующий скриншот показывает пример правила блокировки трафика Telnet и SNMP, с исключением, позволяющим доступ для отдела IT:
Категория Без категории содержит веб-сайты, которые не отнесены к существующей категории из списка категорий. Эти веб-сайты могут представлять потенциальную угрозу безопасности для вашей сети. Создайте правило, которое блокирует категорию Без категории для всего интернет-трафика.
Вы также можете использовать сервис RBI от Cato для безопасного доступа к сайтам Без категории. Для получения дополнительной информации о RBI, см. Защита сеансов просмотра через изоляцию удаленного браузера (RBI).
Существует несколько стран, которые известны тем, что генерируют вредоносный трафик. Если ваша организация не ведет бизнес с этими странами, мы рекомендуем заблокировать доступ в Интернет для них и уменьшить потенциальный вредоносный трафик. Вы можете создать правило, используя настройку Страна в разделе Приложение/Категория, чтобы заблокировать интернет-трафик для указанных стран.
Межсетевой экран WAN отвечает за контроль трафика между различными сетевыми элементами, подключенными к облаку Cato. С помощью межсетевого экрана WAN вы можете контролировать трафик WAN в вашей сети и достигать оптимальной сетевой безопасности.
По умолчанию межсетевой экран WAN использует подход ANY ANY Block (разрешающий список). Это означает, что любое соединение между площадками и пользователями блокируется, если вы не определите конкретные правила межсетевого экрана WAN, которые разрешают соединения.
Следующий скриншот показывает пример политики межсетевого экрана WAN в приложении управления Cato (Безопасность > Межсетевой экран WAN)
В этом разделе содержатся лучшие практики, чтобы помочь вам обезопасить возможность подключения к WAN для вашей учетной записи.
Золотое правило для межсетевого экрана WAN - разрешать только желаемый трафик. Для этих разрешающих правил добавьте конкретные сервисы и порты, которые используются, и обеспечьте улучшенную защищенность возможности подключения для межсетевого экрана WAN.
На следующем скриншоте показано примерное правило брандмауэра WAN, которое позволяет всем Пользователи SDP доступ к площадке центра обработки данных. Это правило улучшает безопасность, так как оно позволяет трафик РДП только для Пользователи SDP.
Правила брандмауэра WAN, которые предоставляют доступ Любой Источник или Назначение, менее безопасны, чем правила для конкретных сайтов и пользователей. Более конкретные настройки дают вам больше контроля над соединением WAN для аккаунта.
На следующем скриншоте показан пример правила брандмауэра WAN, использующего конкретные сайты в Источник и Назначение:
Когда вы настраиваете правила межсетевого экрана WAN, используя Любое в некоторых настройках, события, связанные с правилом, не обязательно включают все релевантные данные, что может усложнить анализ использования приложений. Для получения более подробной информации о событиях для правил с использованием настроек Любое, смотрите выше Улучшение данных событий с помощью детализированных правил . To help improve analysis of app usage, we recommend that you minimize the use of Any for rule conditions, and instead use granular rules with specific apps, services, ports, and so on.
Implementing a WAN firewall with allowlist behavior means that by default the firewall blocks all WAN connectivity between sites, servers, users, and so on. Добавьте правила в межсетевой экран, которые конкретно разрешают подключение трафика WAN в вашей сети. Списки разрешенных по умолчанию для брандмауэра WAN Cato, явное финальное правило базы правил WAN — это любой Любое Блокировать.
Мы настоятельно рекомендуем не добавлять правило, позволяющее соединение от любого источника к любому пункту назначения в WAN. Этот тип правила Любое Любое Разрешить подвергает вашу сеть значительным рискам безопасности.
Сильная политика безопасности для брандмауэра WAN с списком разрешенных включает правила, позволяющие только те сервисы и приложения, которые используются вашей организацией. Вместо использования правил, позволяющих Любое сервис для трафика между площадками, добавьте сервисы или приложения в это правило. Поскольку сервисы более специфичны, чем порты, мы рекомендуем определять правила, используя Сервисы вместо портов, где это возможно.
Examples of services often used by organizations include: DNS, DHCP, SMB, Databases, Citrix, RDP, DCE/RPC, SMTP, FTP, ICMP, NetBIOS, NTP, SNMP, and so on.
Examples of applications often used by organizations include: SharePoint, Slack, Citrix ShareFile, and so on.
Вы также можете создать пользовательскую категорию, которая содержит все приложения и сервисы для брандмауэра WAN, а затем добавить эту пользовательскую категорию в соответствующие правила. Используйте Пользовательские приложения для приложений или сервисов, которые не предопределены в межсетевом экране. Это также позволяет Событиям содержать название приложения для более качественного анализа.
Implementing a WAN firewall with blocklist behavior means that by default the firewall allows all WAN connectivity between sites, servers, users, and so on. Добавьте правила в межсетевой экран, которые конкретно блокируют трафик WAN в соответствии с требованиями политики безопасности компании. Мы не рекомендуем использовать этот подход для политики безопасности WAN. Однако, если ваша организация использует его, удостоверитесь, что вы блокируете нежелательный трафик WAN.
Чтобы внедрить межсетевой экран WAN с поведением списка блокируемых в Приложение Управления Cato, база правил содержит правило любой Любое Разрешить внизу.
Для брандмауэров WAN с списком блокируемых, мы рекомендуем добавить следующие правила выше финального правила любой Любое Разрешить, чтобы помочь создать сильную политику безопасности:
-
Правила для блокировки сервисов, представляющих угрозы безопасности и имеющих известные уязвимости, такие как SMBv1
-
Правила, блокирующие соединение между площадками, которым не нужно коммуницировать
0 комментариев
Войдите в службу, чтобы оставить комментарий.