Что такое межсетевой экран WAN Cato?

Эта статья предоставляет основную информацию о межсетевом экране WAN для вашей учетной записи.

Для получения дополнительной информации о работе с межсетевым экраном WAN см. Управление политикой межсетевого экрана WAN.

Обзор Cato WAN Firewall

Межсетевой экран WAN в Cato Cloud контролирует доступ к объектам и сущностям в вашей глобальной сети (WAN). Настройте базу правил межсетевого экрана WAN для создания безопасной политики контроля доступа и защиты сети.

Межсетевой экран WAN является частью Следующего Поколения Файервола (NGFW), который интегрирован в Cato Cloud и позволяет вам создавать правила для предотвращения несанкционированного доступа к сети. The WAN firewall uses a whitelist approach, and there is a default ANY-ANY block rule to drop all connections that are not explicitly allowed in the rulebase.

Используйте правила для настройки межсетевого экрана с целью проверки всех соединений и разрешения только тех, которые соответствуют его конфигурированным настройкам. Межсетевой экран использует упорядоченную базу правил. Это означает, что он начинает проверку соединения и проверяет, соответствует ли оно первому правилу. Если нет, то продолжает последовательно применять каждое правило к соединению, пока правило не соответствует соединению.

Межсетевой экран WAN также включает полную функциональность уровня 7 с учетной записью пользователя, позволяя создавать политики нулевого доверия для доступа к конкретным приложениям в WAN.

Защита от подделки в Cato Firewall

Одна из основных функций NGFW – это защита от атак подделки. Безопасные движки в Cato Cloud автоматически обрезают соединение, если исходный IP находится за пределами области настроенной сущности (например, сайт, диапазон сети, устройство или пользователь). Это блокирует атаки подделки и предотвращает нарушения конфигурированной логической топологии.

Понимание автономной аналитики Firewall

WAN_firewall.png

WAN автономная аналитика Firewall — это список лучших практик, которые оценивают вашу политику WAN Firewall и показывают, насколько они соответствуют рекомендациям Cato. Следуя этим рекомендациям, вы оптимизируете конфигурацию файервола и улучшите уровень безопасности.

Существует два типа аналитики:

  • Значок звезды (основан на ИИ): Правила, включенные в вашу политику WAN Firewall, автоматически анализируются Искусственным Интеллектом (ИИ) для обнаружения проблем, например, правил, которые могут быть отклонены или изменены, таких как:

    • Temporary Rule: Introduced as a short-term solution to address an immediate need. Эти правила в основном создаются для временного функционирования, пока разрабатывается или внедряется подходящее или постоянное решение.

    • Правило тестирования: Правила, созданные для проверки, отладки или экспериментов с определенной функцией или сценариями.

    • Истекшее правило или Правило с датой истечения в будущем: Правила, созданные для решения конкретной потребности, имеющие желаемую дату окончания, которая уже прошла, еще не наступила или не может быть подтверждена/оценена.

    • Слишком разрешительные правила: Правила, которые могут быть чрезмерно разрешительными на основе пользователей, хостов, приложений или протоколов, определенных для правила. Это озарение указывает на то, что мы рекомендуем удалить лишние элементы из правила для лучшего соблюдения вашей стратегии нулевого доверия.

      Например: ограничьте доступ пользователя только к sampleAdmin, обусловленный специфическим профилем Device Posture, ограничьте приложение только RDP, и ограничьте протокол только TCP.

    • Неиспользуемое правило: Определяет правила фаервола с действием Разрешить, которые не создавали событий в последние 30 дней

  • На основе конфигурации: Конфигурации и настройки в вашей политике межсетевого экрана для Интернета должны следовать лучшим практикам.

Работа с упорядоченными правилами

Межсетевой экран WAN последовательно инспектирует соединения и проверяет, соответствует ли соединение правилу. Последнее правило в базе правил — блокирующее правило ANY-ANY по умолчанию, так что если соединение не соответствует правилу, оно блокируется последним правилом по умолчанию. Сильная политика контроля доступа содержит правила межсетевого экрана, разрешающие конкретные соединения и трафик в WAN.

Вы можете просмотреть настройки правила по умолчанию в разделе По умолчанию в конце базы правил. Эти настройки правил нельзя редактировать.

Правила, которые находятся в начале базы правил, имеют более высокий приоритет, потому что они применяются к соединениям раньше, чем правила ниже в базе правил. Например, если соединение соответствует правилу №3, действие применяется к соединению, и файервол прекращает его проверку. Межсетевой экран не продолжает применять правила №4 и ниже к соединению. Вы можете повысить эффективность межсетевого экрана WAN и придать высокий приоритет правилам, которые соответствуют наибольшему количеству соединений.

Работа с несколькими объектами в одном правиле

Когда есть правило с объектами в нескольких столбцах, таких как приложение и сервис, между ними существует отношение И. Например, если есть правило, позволяющее использование приложения Резервные Сервисы для порта 443, то трафик разрешён, когда он соответствует и приложению, и порту.

Для правил, которые используют несколько объектов в одном столбце, таких как более чем один порт, между ними существует отношение ИЛИ. Например, если есть правило, которое разрешает доступ к почтовому серверу для службы SMTP и портов 25, 265, 587 и 2525, то трафик разрешен, когда он соответствует службе SMTP или любому из портов.

  • Примечание: Каждое правило может содержать максимум 64 условия, между которыми есть отношение И, и исключения из правил включаются в этот лимит. Например, если есть правило с двумя условиями И (такими как источник и сервис), и правило имеет 25 исключений с 3 условиями И каждое (такими как источник, приложение и сервис), то правило имеет 77 условий. Это превышает поддерживаемый предел в 64 условия, и правило может не функционировать должным образом. Однако вы можете назначить более 64 объектов в одном столбце правила, так как между ними существует отношение ИЛИ. Например, вы можете назначить более 64 приложений в одном правиле.

Понимание количества срабатываний

Количество срабатываний помогает определить неиспользуемые правила, которые можно удалить из политики, и оптимизировать конфигурацию правил для более точного соответствия необходимой области трафика. Количество срабатываний для правила основано на числе событий, сгенерированных этим правилом. Если правило не генерирует события, количество попаданий равно нулю.

Количество срабатываний содержит два числа:

  • Приблизительное количество событий, сгенерированных каждым правилом в политике

  • Как часто правило срабатывает по сравнению с другими правилами (ранжировано по процентам)

Эти значения обновляются раз в 24 часа и основаны на данных о трафике за последние 14 дней.

Вы можете быстро определить правила с наибольшим и наименьшим количеством срабатываний по цвету индикатора состояния. Этот цвет отражает, как часто правило срабатывает по сравнению с другими правилами:

  • Синий: 0 - 24-й процентиль

  • Зелёный: 25-й - 49-й процентиль

  • Оранжевый: 50-й - 74-й процентиль

  • Красный: 75-й - 100-й процентиль

Ревизии политики и одновременное редактирование несколькими Admins

Брандмауэр WAN позволяет разным Admins редактировать политику параллельно. Каждый Администратор может редактировать правила и сохранять изменения в своей частной ревизии базы правил, а затем публиковать их в политике аккаунта (опубликованная ревизия). Для получения дополнительной информации о том, как управлять ревизиями политики, см. Работа с ревизиями политики.

Настройка временных настроек для правила

Настройте временные настройки для правила брандмауэра WAN, чтобы определить, когда правило активно. Например, вы можете выбрать применение правила только в рабочие дни. Это означает, что правила с настроенными временными параметрами не активны вне указанных часов.

Опции настроек времени:

  • Без временного ограничения: Правило всегда активно. Это стандартное поведение для правил брандмауэра WAN.

  • Ограничить рабочими часами: Правило активно только в рабочие часы, настроенные в приложении управления Cato. Для получения дополнительной информации о рабочих часах см. Определение стандартных рабочих часов для аккаунта.

  • Пользовательский: Выберите время дня и дни недели, когда правило активно. Снимите отметку с опции Повторяющийся и выберите Дату для настройки времени правила.

    • Повторяющийся: Настройки времени будут применяться больше одного раза, например, каждый Вторник с 9:00 до 17:00.

Понимание настроек правил межсетевого экрана WAN

Этот раздел объясняет поля и настройки для правил в базе правил межсетевого экрана WAN. Тщательное понимание межсетевого экрана WAN помогает успешно управлять контролем доступа корпоративной сети.

Действия правил

Следующая таблица описывает действия, которые каждое правило межсетевого экрана может применить к сетевому трафику. Для действий, которые генерируют события, вы можете показать журналы событий в Домашняя > События.

Элемент

Описание

Разрешить

Брандмауэр разрешает соответствующий трафик.

Блокировать

Брандмауэр блокирует соответствующий трафик.

Запрос

Брандмауэр перенаправляет соответствующий трафик на веб-страницу с сообщением. Пользователь получает запрос решить, продолжать или нет. Вы можете настроить страницу запроса, см. Настройка страницы блокировки/запроса.

Для проверки событий, когда пользователь выбирает продолжить после странички запроса, отфильтруйте страницу События, чтобы показать события с полем Действие после запроса со значением Продолжить. мм

Столбцы баз правил

Следующая таблица описывает каждый столбец в базе правил межсетевого экрана WAN. Когда для правила настроено несколько столбцов, между ними существует связь И.

For more about Source, Destination, App, and Category items for a rule, see Reference for Rule Objects.

Элемент

Описание

Показывает приоритет правила в базе правил межсетевого экрана WAN.

  • Используйте поле Порядок правил для изменения приоритета правила.

  • Используйте переключатель Включен для включения или отключения правила. The toggle is green toggle.png when enabled.

Имя

Введите Имя для правила

Источник

Источник трафика для этого правила

Критерии

Определите условный доступ на основе атрибутов фактического устройства конечного пользователя или других устройств, работающих в вашей сети, таких как IoT/OT. Варианты включают:

  • Атрибуты устройства - Атрибуты устройств, определяемые системой обнаружения Инвентаризация устройств

  • Платформы - Операционная система устройства (OS)

  • Страны - Страна-источник для подключения на основе физического местоположения устройства (в соответствии с геолокацией IP-адреса)

  • Профили положения устройства - Профили устройств (настроенные в Доступ > Положение устройства)

  • Происхождение соединения - Геолокация устройства (удаленное или за сайтом)

Направление

Указывает направление правила. Варианты включают:

  • К - Это правило позволяет трафик только в одном направлении, от Источника к Назначению. Например, сайт Альфа может подключиться к сайту Браво, но сайт Браво не может подключиться к сайту Альфа.

  • Оба - Это правило управляет трафиком в обоих направлениях, к и от Источника и Назначения.

Назначение

Назначение трафика для этого правила

Приложение/Категория

Применяются только к объектам, совпадающим с определёнными приложениями, категориями и другими объектами

Сервис/Порт

Применяется только к трафику, который соответствует указанным сервисам и портам

Действие

Применить указанное действие к трафику, соответствующему правилу

Например, когда трафик блокируется, соединение прерывается, и правила с более низким приоритетом к данному соединению не применяются

Отслеживание

Когда правило совпадает, создаётся событие или отправляется уведомление по электронной почте на указанный список

Количество срабатываний

Количество срабатываний для данного правила

Больше_icon.png

Открывает выпадающее меню с такими опциями:

  • Добавить Правило Выше - Добавить новое правило выше выбранного правила

  • Добавить Правило Ниже - Добавить новое правило ниже выбранного правила

  • Дублировать Правило: Создать новое идентичное правило сразу под оригинальным выбранным правилом в том же разделе

  • Переместить правило - Изменить приоритет правила, определив для него другую позицию в порядке правил

  • Добавить исключение - Создать новое исключение для выбранного правила

  • Включить/Отключить - Когда правило отключено, файервол не инспектирует соединения на предмет настроек в правиле

  • Просмотр событий правила - Показывать страницу События с предварительным фильтром для событий, связанных с правилом

  • Удалить Правило - Удалить выбранное правило

Установка Порядка Правил

Порядок правил определяется путём установки позиции правила относительно других правил. Например, установите правило следовать за определённым правилом или быть первым в разделе.

Это опции для определения порядка правил:

  • Перед правилом - Правило располагается сразу перед выбранным правилом

  • После правила - Правило располагается сразу после выбранного правила

  • Первый в разделе - Правило является первым в выбранном разделе

  • Последний в разделе - Правило является последним в выбранном разделе

  • Первый - Правило располагается наверху базы правил

  • Последний - Правило располагается внизу базы правил

Включение и Отключение Межсетевого Экрана WAN

Когда межсетевой экран WAN отключен, нет контроля доступа, и все ресурсы WAN доступны для любого.

WAN-FW-включен.png

Чтобы включить или отключить межсетевой экран WAN:

  1. В меню навигации нажмите Безопасность > Межсетевой экран WAN.

  2. At Firewall Enabled above the rulebase, click the slider toggle.png to enable (green) or disable (gray) the WAN firewall for the account.

  3. Нажмите Сохранить.

Связанные ресурсы для межсетевого экрана WAN

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев