Эта статья предоставляет фоновую информацию о межсетевом экране для вашей учетной записи.
Для получения дополнительной информации о настройке межсетевого экрана Интернета, см. Управление политикой межсетевого экрана Интернета.
Межсетевой экран Интернета инспектирует трафик между WAN и Интернетом и позволяет создавать правила для управления этим трафиком. Подобно межсетевому экрану WAN, межсетевой экран Интернета использует упорядоченную базу правил, начиная с первого правила, соединения инспектируются в соответствии с каждым правилом. Межсетевой экран Интернета использует подход черного списка. Это означает, что имеется неявное правило ЛЮБОЙ - ЛЮБОЙ для разрешения трафика и соединений, которые не были явно заблокированы в базе правил. Межсетевой экран Интернета также включает полную функциональность уровня 7 с Осведомленностью Пользователя, и вы можете создавать правила для конкретных приложений. Например, вы можете использовать межсетевой экран Интернета для:
-
Блокировать конкретные веб-сайты, такие как Facebook или LinkedIn
-
Блокировать категории неподобающих веб-сайтов, такие как Оружие, Алкоголь и Азартные Игры
-
Разрешить использовать приложения удаленного администрирования (SaaS и IaaS) только отделу ИТ
The Autonomous Firewall Insights are a list of best practices that evaluate your Internet Firewall policy and show how they comply with Cato’s recommendations. Следование этим рекомендациям оптимизирует ваши конфигурации межсетевого экрана и улучшает уровень безопасности.
Существует два типа аналитических данных:
-
Иконка звезда (на базе ИИ): Активированные правила в политике вашего интернет-межсетевого экрана автоматически анализируются ИИ для обнаружения проблем, например, таких, которые могут быть удалены или изменены, как:
-
Истекшее правило или Правило с будущей датой истечения: Правила, созданные для удовлетворения специфических нужд и имеющие предпочтительную дату окончания, которая уже прошла или еще не наступила или не может быть доказана/оценена.
-
Временное правило: Введено как краткосрочное решение для удовлетворения насущных нужд. Эти правила в основном создаются для временного функционирования, пока разрабатывается или внедряется подходящее или постоянное решение.
-
Правило тестирования: Правила, явно созданные для проверки, отладки или экспериментов с конкретной функцией или сценарием.
-
Неиспользуемое правило: Определяет правила фаервола с действием "Разрешить", которые не генерировали события за последние 30 дней
-
Проверка противоречащих правил: Определяет правила фаервола с идентичными предикатами, но с разными действиями, что может вызвать конфликты и помешать применению правил с более низким приоритетом
-
-
Основано на конфигурации: Конфигурации и настройки в политике вашего интернет-межсетевого экрана должны следовать передовым практикам.
Одна из основных функций NGFW - защита от атак спуфинга. Механизмы безопасности в Cato Cloud неявно отбрасывают любое соединение, где IP-адрес источника находится за пределами области конфигурируемой сущности (например, сайта, диапазона сети, устройства или пользователя). Это блокирует атаки спуфинга и предотвращает нарушения настроенной логической топологии.
Межсетевой экран Интернета инспектирует соединения последовательно и проверяет, соответствует ли соединение правилу. Последнее правило в базе правил - это неявное правило разрешения ЛЮБОЙ - ЛЮБОЙ — так что, если соединение не соответствует правилу, оно разрешено последним неявным правилом.
Правила, находящиеся в верхней части базы правил, имеют более высокий приоритет, потому что они применяются к соединениям до правил, расположенных ниже в базе правил. Если соединение соответствует правилу #3, действие применяется к соединению, и межсетевой экран прекращает его инспекцию. Межсетевой экран не продолжает применение правил #4 и ниже к этому соединению.
Работа с мастером конфигурирования межсетевого экрана Интернета
Мастер конфигурирования межсетевого экрана Интернета автоматически проверяет вашу политику с использованием этих проверок и аналитики. Если проверка не пройдена, вы можете просмотреть и обновить свою политику непосредственно в мастере без редактирования отдельных правил. Это помогает вам оставаться в безопасности, упрощая управление политикой.
Главное соглашение о предоставлении услуг (MSA) от Cato Networks определяет трафик, потенциально незаконный или вредоносный, который автоматически блокируется. На вершине базы правил межсетевого экрана Интернета существует скрытое неявное правило, которое блокирует эти соединения.
Для получения дополнительной информации о MSA см. Cato Networks MSA.
Когда существует правило с объектами в нескольких столбцах, например, приложение и сервис, то между ними существует связь И. Например, если существует правило, которое блокирует Приложение Netflix для порта 443, трафик будет заблокирован, когда он соответствует и приложению, и порту.
Для правил, которые используют несколько Объектов в одном столбце, таких как более одного Приложения, между ними существует ИЛИ отношение. Например, если существует правило, которое блокирует доступ к Приложениям Netflix, iTunes и YouTube, трафик будет заблокирован, когда он соответствует любому из Приложений.
Note
Примечание: Каждое правило может иметь максимум 64 условия с И отношением между ними, и исключения правила включены в предел правила. Например, если существует правило с двумя И условиями (такими как Источник и Сервис), и у правила 25 исключений с 3 И условиями каждое (такими как Источник, Приложение, и Сервис), тогда у правила 77 условий. Это превышает поддерживаемый предел в 64 условия, и правило может не работать правильно. Однако вы можете назначить более 64 Объектов в одном столбце правила, так как между ними существует ИЛИ отношение. Например, вы можете назначить более 64 Приложений в одном правиле.
Количество срабатываний помогает определить неиспользуемые правила, которые могут быть удалены из Политики, и оптимизировать Конфигурацию правил для лучшего соответствия требуемой области трафика. Количество срабатываний для правила основано на количестве Событий, генерируемых правилом. Если правило не генерирует События, количество срабатываний равно нулю.
Количество срабатываний содержит два числа:
-
Приблизительное количество Событий, генерируемых каждым правилом в Политике
-
Как часто правило срабатывает относительно других правил (ранжировано по процентилям)
Эти значения обновляются один раз в 24 часа и основаны на данных трафика за последние 14 дней.
Вы можете быстро определить правила с наибольшим и наименьшим количеством срабатываний по цвету строки статуса. Этот цвет отражает, как часто правило срабатывает относительно других правил:
-
Синий: 0 - 24 процентиль
-
Зеленый: 25 - 49 процентиль
-
Оранжевый: 50 - 74 процентиль
-
Красный: 75 - 100 процентиль
Межсетевой экран Интернета позволяет разным Администраторам редактировать Политику параллельно. Каждый Администратор может редактировать правила и сохранять изменения в базе правил в собственной частной ревизии, а затем публиковать их в Политике учетной записи (опубликованная ревизия). For more information on how to manage policy revisions, see Working with Policy Revisions.
Этот раздел объясняет поля и Настройки для Правил в базе правил межсетевого экрана Интернета. Глубокое понимание межсетевого экрана Интернета помогает успешно управлять контролем доступа для корпоративной сети.
Следующая таблица описывает действия, которые каждое правило межсетевого экрана может применить к сетевому трафику. Для действий, которые генерируют события, можно показать журналы событий в Главная > События.
|
Элемент |
Описание |
|---|---|
|
Разрешить |
Межсетевой экран разрешает соответствующий Трафик. |
|
Блокировать |
Межсетевой экран блокирует соответствующий Трафик. |
|
Запрос |
Межсетевой экран перенаправляет соответствующий Трафик на веб-страницу с сообщением. Пользователю предлагается решить, продолжать ли. Вы можете настроить страницу веб-подсказки, см. Настройка страницы предупреждения / блокировки. To review events for when a user chooses to proceed after a prompt page, filter the Events page to show events with the Prompt Action field set with the value Proceed. mm |
|
Удаленное интернет-браузирование (RBI) |
Matching traffic is delivered by RBI. |
|
Каптивный портал |
Matching traffic is directed to the captive portal. |
For a description of the different rulebase columns and Source, App, and Category items for rules, see What is the Cato WAN Firewall? and Reference for Rule Objects. В отличие от межсетевого экрана WAN, Назначение для интернет-брандмауэра всегда Интернет. Когда для правила настроено несколько колонок, между ними существует связь И.
Порядок правил определяется установкой позиции правила относительно других правил. Например, установите правило следовать за конкретным правилом или быть первым в разделе.
Это варианты для определения порядка правил:
-
Перед правилом - Правило расположено непосредственно перед выбранным правилом
-
После правила - Правило расположено непосредственно после выбранного правила
-
Первый в разделе - Правило расположено первым в выбранном разделе
-
Последний в разделе - Правило расположено последним в выбранном разделе
-
Первый - Правило расположено на вершине базы правил
-
Последний - Правило расположено внизу базы правил
Интернет-брандмауэр в Cato Cloud позволяет вам контролировать доступ в Интернет для вашей корпоративной сети. Легко создайте политику интернет-безопасности, которая позволяет пользователям получать доступ к веб-контенту, связанному с бизнесом, и блокирует неподобающие веб-сайты, приложения и т.д.
0 комментариев
Войдите в службу, чтобы оставить комментарий.