Что такое межсетевой экран Cato WAN?

Эта статья предоставляет основную информацию о межсетевом экране WAN для вашей учетной записи.

Для получения дополнительной информации о работе с межсетевым экраном WAN см. Управление политикой межсетевого экрана WAN.

Обзор межсетевого экрана Cato WAN

Межсетевой экран WAN в облаке Cato контролирует доступ к объектам и сущностям в вашей сети высокой доступности (WAN). Настройте базу правил межсетевого экрана WAN для создания надежной политики контроля доступа и защиты сети.

Межсетевой экран WAN является частью брандмауэра следующего поколения (NGFW), интегрированного в облако Cato, и позволяет создавать правила для предотвращения несанкционированного доступа к сети. Межсетевой экран WAN использует подход белого списка, и существует правило блокировки ANY-ANY по умолчанию, запрещающее все подключения, которые явно не разрешены в базе правил.

Используйте правила для настройки межсетевого экрана для проверки всех соединений и разрешайте только те, которые соответствуют его настроенным параметрам. Межсетевой экран использует упорядоченную базу правил. Это означает, что он начинает проверку соединения и смотрит, совпадает ли оно с первым правилом. Если нет, он продолжает последовательно применять каждое правило к соединению до тех пор, пока какое-либо правило не совпадет с соединением.

Межсетевой экран WAN также включает полную функциональность уровня 7 с осведомленностью пользователей, что позволяет реализовать политику нулевого доверия для доступа к конкретным приложениям в WAN.

Сценарий использования - Разрешение только одобренных производителей устройств видеоконференций

Администратор безопасности получает задание на оценку защищенности переговорных комнат в офисе лондонской филиала. Администратор переходит на страницу Инвентаризация устройств, фильтрует по Поле - тип устройства, Оператор - входит, Значение - видеоконференции, и видит все устройства для видеоконференций на лондонском сайте. Администратор понимает, что есть устройства для видеоконференций от нескольких разных производителей, и это не соответствует политике безопасности организации. ИТ команда уже имеет лицензию безопасности IoT и создает новые правила в политиках межсетевого экрана WAN и Интернета с настройками Атрибут устройства, которые разрешают только двух утвержденных производителей устройств для видеоконференций. Некоторые устройства для видеоконференций на лондонском сайте больше не работают, так как они заблокированы политиками межсетевого экрана, пока не будут заменены на новые устройства от утвержденных производителей.

Понимание автономной аналитики межсетевых экранов

Автономные аналитические данные межсетевого экрана WAN - это список Проверок положения, которые оценивают вашу политику межсетевого экрана WAN и показывают, как она соответствует рекомендациям Cato. Следуя этим рекомендациям, вы оптимизируете конфигурации межсетевого экрана и улучшаете защищенность.

Есть два типа аналитических данных:

Звездочка (на базе ИИ): Включенные правила в вашей политике межсетевого экрана WAN автоматически анализируются искусственным интеллектом (ИИ) для обнаружения проблем, например, правил, которые могут быть отменены или изменены, таких как:
- Временное правило: Представлено как краткосрочное решение для удовлетворения немедленной необходимости. Эти правила в основном создаются для временного функционирования, пока правильное или постоянное решение развертывается или развивается.
- Правило тестирования: Правила, явно созданные для проверки, отладки или экспериментов с определенной функцией или сценарием.
- Истекшее правило или Правило с будущей датой истечения: Правила, созданные для удовлетворения конкретной потребности и имеют желаемую дату окончания, которая уже прошла или еще не достигнута, или ее невозможно доказать/оценить.
- Слишком разрешающие правила: Правила, которые могут быть чрезмерно разрешающими на основе пользователей, хостов, приложений или протоколов, определенных для правила. Эти аналитические данные используют топологическую эвристику, указывающую на то, что мы рекомендуем удалить лишние элементы из правила, чтобы лучше придерживаться стратегии нулевого доверия.
  
  Например: ограничить доступ пользователя только к sampleAdmin, условно по конкретному профилю состояния устройства Профиль состояния устройства, ограничить приложение только RDP, и ограничить протокол только до TCP.
- Неиспользуемое правило: Определяет правила межсетевого экрана с действием Разрешить, которые не генерировали никаких событий за последние 60 дней
На основе конфигурации: Конфигурации и настройки в вашей политике межсетевого экрана Интернета, чтобы гарантировать следование лучшим практикам.

Работа с Мастером Конфигурации Межсетевого Экрана WAN

Мастер Конфигурации Межсетевого Экрана WAN автономно проверяет вашу политику, используя эти проверки и аналитические данные. Когда проверка не пройдена, вы можете пересмотреть и обновить вашу политику непосредственно в Мастере без редакции отдельных правил. Это помогает вам оставаться в безопасности, упрощая управление политикой. Для получения дополнительной информации см. Использование Мастера Конфигурации.

Защита от спуфинга в межсетевом экране Cato

Одна из основных функций NGFW - защита от атак подмены. Каскады защиты в облаке Cato автоматически блокируют любое соединение, где IP-адрес источника находится вне области настроенной сущности (например, сайт, диапазон сети, устройство или пользователь). Это блокирует атаки подмены и предотвращает нарушения настроенной логической топологии.

Работа с упорядоченными правилами

Межсетевой экран WAN проверяет соединения последовательно и проверяет, соответствует ли соединение правилу. Последнее правило в базе правил - это правило блокировки ANY-ANY по умолчанию - поэтому, если соединение не соответствует правилу, оно будет заблокировано последним правилом по умолчанию. Сильная политика контроля доступа содержит правила межсетевого экрана, разрешающие определенные соединения и трафик в WAN.

Вы можете просмотреть параметры правил по умолчанию в разделе Правила по умолчанию в конце базы правил. Эти параметры правил нельзя изменить.

Правила, которые находятся в верхней части базы правил, имеют более высокий приоритет, потому что они применяются к соединениям раньше, чем правила ниже в базе. Например, если соединение соответствует правилу №3, действие применяется к соединению, и межсетевой экран прекращает его проверку. Межсетевой экран не продолжает применять правила №4 и ниже к соединению. Вы можете повысить эффективность межсетевого экрана WAN и уделить высокий приоритет правилам, которые соответствуют наибольшему количеству соединений.

Работа с несколькими объектами в одном правиле

Если есть правило с объектами в нескольких столбцах, таких как приложение и сервис, то между ними существует AND-связь. Например, если существует правило, позволяющее приложение Backup Services на порту 443, то трафик разрешен, когда он соответствует как приложению, так и порту.

Для правил, использующих несколько объектов в одном столбце, таких как более чем один порт, между ними существует OR-связь. Например, если существует правило, позволяющее доступ к серверу электронной почты для сервиса SMTP и портов 25, 265, 587 и 2525, то трафик разрешен, когда он соответствует сервису SMTP или любому из портов.

Примечание: Каждое правило может иметь максимум 64 условия с отношением «и» между ними, и исключения для правила включаются в лимит правил. Например, если есть правило с двумя условиями «и» (такими как источник и сервис), и у правила 25 исключений с 3 условиями «и» каждое (такими как источник, приложение и сервис), тогда у правила 77 условий. Это превышает допустимый лимит в 64 условия, и правило может работать неправильно. Однако вы можете назначить более 64 объектов в одной колонке правила, так как есть отношение «или» между ними. Например, вы можете назначить более 64 приложений в одно правило.

Понимание количества срабатываний

Количество попаданий помогает определить неиспользуемые правила, которые могут быть удалены из политики, и оптимизировать конфигурацию правил для более точного соответствия требуемому объему трафика. Количество попаданий для правила основано на количестве событий, сгенерированных правилом. Если правило не генерирует событий, количество попаданий равно нулю.

Количество попаданий содержит два числа:

Примерное количество событий, создаваемых каждым правилом в политике
Как часто правило срабатывает относительно других правил (ранжировано по процентилю)

Вы можете быстро определить правила с самым высоким и самым низким количеством попаданий, основываясь на цвете строки состояния. Этот цвет отражает, как часто правило срабатывает по отношению к другим правилам:

Синий: 0 - 24-й процентиль
Зеленый: 25-й - 49-й процентиль
Оранжевый: 50-й - 74-й процентиль
Красный: 75-й - 100-й процентиль

Сброс и обновление счетчика срабатываний

Значения количества срабатываний обновляются автоматически каждые 24 часа и основаны на данных за последние 14 дней трафика. Из трех точек в конце каждого правила можно сбросить или обновить количество срабатываний для актуализации видимости. Это позволяет точно измерить эффективность правила и немедленно подтвердить его активность.

Сброс счетчика срабатываний для определенного правила межсетевого экрана возвращает количество срабатываний к 0
Обновление счетчика срабатываний обновляет количество срабатываний по запросу для всех правил межсетевого экрана

Изменения политики и одновременное редактирование несколькими администраторами

Межсетевой экран WAN позволяет различным администраторам параллельно редактировать политику. Каждый администратор может редактировать правила и сохранять изменения в базе правил в своей личной ревизии, а затем публиковать их в политике учетной записи (опубликованная ревизия). Для получения дополнительной информации о том, как управлять ревизиями политики, смотрите Работа с ревизиями политики.

Настройка параметров времени для правила

Вы можете настроить временные параметры для правила, чтобы оно было активировано или отключено в определенные дату и время. В выпадающем меню Время вы можете настроить Ежедневное расписание и/или Активный период.

Вы можете настроить оба этих параметра так, чтобы, например, правило было активно в будние дни в течение мая 2025 года. Кроме того, вы можете настроить каждый параметр независимо в соответствии с вашими требованиями.

Понимание ежедневного расписания

Ежедневное расписание определяет расписание, когда правило активно. Если для правила настроено расписание, в таблице правил в колонке Действие отображается символ часов.

Опции для Ежедневного расписания включают:

Без временного ограничения: Для правила нет расписания. Это поведение правил по умолчанию.
Ограничение рабочих часов: Правило активно только в рабочее время, настроенное в приложении управления Cato. Для получения более подробной информации о рабочих часах см. Определение стандартных рабочих часов для аккаунта.
Настраиваемые: Выберите время дня и дни недели, когда правило активно. Снимите галочку с параметра Повторяющийся и выберите параметр Дата для настройки времени правила.
- Повторяющееся: Настройка времени будет применяться более одного раза, например, каждый вторник с 9:00 до 17:00.

Понимание активного периода

Активный период определяет дату и время, когда правило активно в UTC. Если поле Действует с не выбрано, правило активно сразу после его сохранения и публикации.

В таблице правил, если определен Активный период, в колонке Действие отображается символ песочных часов. Цвет символа отражает статус:

Черный: Правило неактивно и станет активным в будущем
Зеленый: Правило активно
Красный: Срок действия правила истек

Понимание настроек правил межсетевого экрана WAN

Этот раздел объясняет поля и настройки правил в базе правил межсетевого экрана WAN. Тщательное понимание межсетевого экрана WAN помогает успешно управлять контролем доступа к корпоративной сети.

Действия правил

Следующая таблица описывает действия, которые каждое правило межсетевого экрана может применить к сетевому трафику. Для действий, которые генерируют события, вы можете показывать журналы событий в Домашняя > События.

Элемент Описание

Разрешить Межсетевой экран разрешает соответствующий трафик.

Блокировать Межсетевой экран блокирует соответствующий трафик.

Запрос

Элемент	Описание
Разрешить	Межсетевой экран разрешает соответствующий трафик.
Блокировать	Межсетевой экран блокирует соответствующий трафик.
Запрос	Межсетевой экран перенаправляет соответствующий трафик на веб-страницу с сообщением. Пользователю предлагается решить, продолжать ли. Вы можете настроить страницу запроса, см. Настройка страницы блокировки/запроса. Страница запроса Cato - это HTML-страница, использующая JavaScript и сессионные куки для управления согласием пользователя. Эти куки специфичны для домена, временные и обычно удаляются при закрытии браузера. Cato в настоящее время использует три префикса названий куки (`tls_cert_err`, `fw_wan` и `fw_inet`). Обработка куки и сохранение сессий зависят от настроек и поведения пользователя, браузера и операционной системы. Чтобы просмотреть события, когда пользователь выбирает продолжить после страницы запроса, отфильтруйте страницу События, чтобы показать события с полем Запрос Действие, установленным на значение Продолжить.

Межсетевой экран перенаправляет соответствующий трафик на веб-страницу с сообщением. Пользователю предлагается решить, продолжать ли. Вы можете настроить страницу запроса, см. Настройка страницы блокировки/запроса.

Страница запроса Cato - это HTML-страница, использующая JavaScript и сессионные куки для управления согласием пользователя. Эти куки специфичны для домена, временные и обычно удаляются при закрытии браузера. Cato в настоящее время использует три префикса названий куки (tls_cert_err, fw_wan и fw_inet). Обработка куки и сохранение сессий зависят от настроек и поведения пользователя, браузера и операционной системы.

Чтобы просмотреть события, когда пользователь выбирает продолжить после страницы запроса, отфильтруйте страницу События, чтобы показать события с полем Запрос Действие, установленным на значение Продолжить.

Колонки базы правил

Следующая таблица описывает каждый столбец в базе правил межсетевого экрана WAN. Когда для правила настроено несколько столбцов, между ними существует AND-связь.

Для более подробной информации о Источнике, Назначении, Приложении и Категории для правила, см. Справочник по объектам правил.

Элемент	Описание
#	Показывает приоритет правила в базе правил межсетевого экрана WAN. Используйте поле Порядок правил для изменения приоритета правила. Используйте переключатель Включено для включения или отключения правила. Переключатель зеленый при включении.
Имя	Введите Имя для правила
Источник	Источник трафика для этого правила
Критерии	Определите условный доступ на основе атрибутов фактического устройства конечного пользователя или других устройств, общающихся в вашей сети, таких как IoT/OT. Включает опции: Атрибуты устройства - Атрибуты устройств, идентифицированных движком инвентаризации устройств Платформы - Операционная система (ОС) устройства Страны - Страна источника для подключения на основе физического местоположения устройства (согласно геолокации IP-адреса) Профили состояния устройства - Профили устройств (настроены в Доступ > Состояние устройства) Источник подключения - Геолокация устройства (удаленно или за сайтом)
Направление	Указывает направление правила. Включает опции: К - Это правило разрешает трафик в одном направлении, Источник к Назначение. Например, сайт Аlpha разрешено подключаться к сайту Bravo, но сайт Bravo не может связываться с сайтом Alpha. Оба - Это правило управляет трафиком в обоих направлениях, в и из Источник и Назначение.
Назначение	Назначение трафика для этого правила
Приложение/Категория	Применяется только к соответствующим объектам для конкретных приложений, категорий и других объектов
Сервис/Порт	Применяется только к трафику, который соответствует указанным сервисам и портам
Действие	Примените указанное действие к трафику, который соответствует правилу Например, когда трафик блокируется, соединение отбрасывается, и правила с низким приоритетом не применяются к этому подключению.
Отслеживание	Когда правило соответствует, создается событие или отправляется уведомление по электронной почте списоку.
Количество срабатываний	Количество срабатываний для этого правила
	Открывается выпадающее меню с этими опциями: Добавить правило выше: Добавить новое правило выше выбранного правила Добавить правило ниже: Добавить новое правило ниже выбранного правила Дублировать правило: Создать новое идентичное правило прямо под оригинальным выбранным правилом в том же разделе Переместить правило: Измените приоритет правила, определяя для него другое положение в порядке правил Добавить исключение: Создайте новое исключение для выбранного правила Включить/Отключить - Когда правило отключено, кург не инспектирует соединения на предмет настроек в правиле Просмотр Событий Правила - Показать страницу События, предварительно отфильтрованную для событий, связанных с правилом Удалить Правило - Удалить выбранное правило

Связанные Ресурсы для Файервола WAN

Для получения дополнительной информации о приложениях и категориях смотрите Работа с категориями
Для получения дополнительной информации о настройках в межсетевом экране WAN смотрите Управление Политикой Межсетевого Экрана WAN