Эта статья предоставляет справочную информацию о межсетевом экране Интернета для вашей учетной записи.
Для получения дополнительной информации о настройке межсетевого экрана Интернета см. Управление политикой межсетевого экрана Интернета.
Межсетевой экран Интернета проверяет трафик между WAN и Интернетом и позволяет вам создавать правила для управления этим трафиком. Подобно межсетевому экрану WAN, межсетевой экран Интернета использует упорядоченную базу правил, начиная с первого правила, соединения проверяются в соответствии с каждым правилом. Межсетевой экран Интернета использует подход черного списка. Это означает, что существует неявное правило ANY - ANY для разрешения любого трафика и соединений, которые явно не заблокированы в базе правил. Межсетевой экран Интернета также включает полную функциональность уровня 7 с осведомленностью о пользователях, и вы можете создавать правила для конкретных приложений. Например, вы можете использовать межсетевой экран Интернета для:
- Блокировать специфический веб-сайт, такой как Facebook или LinkedIn
- Блокировать категории неподобающих веб-сайтов, такие как Оружие, Алкоголь и Азартные игры
- Разрешить только отделу ИТ использовать приложения удаленного администрирования (SaaS и IaaS)
Автономные аналитические данные межсетевого экрана - это список лучших практик, которые оценивают вашу политику межсетевого экрана Интернета и показывают, как они соответствуют рекомендациям Cato. Следование этим рекомендациям оптимизирует конфигурацию межсетевого экрана и улучшает состояние безопасности.
Существует два типа инсайтов:
-
Иконка звезды (работает с AI): включенные правила в вашей политике межсетевого экрана Интернета автоматически анализируются Искусственным Интеллектом (AI) для обнаружения проблем, например, правил, которые можно исключить или изменить, таких как:
- Правило с истекшим сроком действия или Правило с будущей датой истечения срока: Правила, созданные для удовлетворения специфической потребности, имеют желаемую дату отключения, которая уже прошла, еще не наступила или не может быть подтверждена/оценена.
- Временное правило: Введено как краткосрочное решение для удовлетворения немедленной потребности. Эти правила создаются преимущественно для временного функционирования, пока реализуется или разрабатывается полноценное или постоянное решение.
- Тестирующее правило: Правила, явно созданные для проверки, диагностики или экспериментов с определенной функцией или сценарием.
- Неиспользованное правило: Идентифицирует правила брандмауэра с действием Разрешить, которые не создавали событий в последние 60 дней.
- Проверка противоречивых правил: Идентифицирует правила брандмауэра с идентичными условиями, но разными действиями, что может создать конфликты, препятствующие применению правил с более низким приоритетом.
- Основы конфигурации: Настройки и конфигурации в политике межсетевого экрана для вашего Интернета призваны обеспечить следование лучшим практикам.
Мастер конфигурации межсетевого экрана Интернета автономно анализирует вашу политику, используя эти проверки и аналитику. Если проверка провалилась, вы можете просмотреть и обновить вашу политику напрямую в мастере, без редактирования отдельных правил. Это помогает вам оставаться защищенным, упрощая управление политикой. Для получения дополнительной информации см. Использование мастера конфигурации.
Одна из базовых функций NGFW — защита от атак через подмену. Системы безопасности в облаке Cato неявно блокируют любые соединения, где исходный IP-адрес выходит за рамки сконфигурированной сущности (например, площадка, диапазон сети, устройство или пользователь). Это блокирует атаки через подмену и предотвращает нарушения сконфигурированной логической топологии.
Межсетевой экран Интернета проверяет соединения последовательно и проверяет, соответствует ли соединение правилу. Последнее правило в базе правил — неявное правило разрешения ANY - ANY, так что если соединение не соответствует правилу, оно разрешено последним неявным правилом.
Правила, которые находятся вверху базы правил, имеют более высокий приоритет, так как они применяются к соединениям перед правилами ниже в базе правил. Если соединение совпадает с правилом №3, действие применяется к соединению, и межсетевой экран перестает его проверять. Межсетевой экран не продолжается применять правила №4 и ниже к соединению.
Когда есть правило с объектами в нескольких столбцах, такими как приложение и служба, между ними существует связь И. Например, если есть правило, блокирующее приложение Netflix для порта 443, трафик блокируется, если он совпадает с приложением и портом.
Для правил, которые используют несколько объектов в одном столбце, таких как более одного приложения, между ними существует связь ИЛИ. Например, если есть правило, блокирующее доступ к приложениям Netflix, iTunes и YouTube, трафик блокируется, когда он совпадает с любым из приложений.
Примечание
Примечание: Каждое правило может иметь максимум 64 условия с отношением И между ними, и исключения правила учитываются в пределе правила. Например, если есть правило с двумя условиями И (например, источник и служба), и правило имеет 25 исключений с 3 условиями И каждое (такими как источник, приложение и служба), то правило имеет 77 условий. Это превышает поддерживаемый предел в 64 условия, и правило может не работать должным образом. Тем не менее, вы можете назначить более 64 объектов в одном столбце правила, так как между ними существует отношение ИЛИ. Например, вы можете назначить более 64 приложений в одно правило.
Счётчик попаданий помогает определить неиспользуемые правила, которые можно удалить из политики, и оптимизировать конфигурацию правил для лучше соответствия требуемому объему трафика. Счётчик попаданий для правила основан на количестве событий, созданных правилом. Если правило не создаёт события, счётчик попаданий равен нулю.
Счётчик попаданий включает два числа:
- Приблизительное количество событий, созданных каждым правилом в политике.
- Как часто срабатывает правило относительно других правил (ранжировано по процентилю)
Эти значения обновляются один раз в 24 часа и основаны на данных трафика за последние 14 дней.
Вы можете быстро определить правила с самым высоким и самым низким счётчиком попаданий, исходя из цвета статусной полосы. Этот цвет отражает, как часто правило срабатывает относительно других правил:
- Синий: 0 - 24-й процентиль
- Зеленый: 25-й - 49-й процентиль
- Оранжевый: 50-й - 74-й процентиль
- Красный: 75-й -100-й процентиль
Значения количества срабатываний обновляются автоматически каждые 24 часа и основаны на данных о трафике за последние 14 дней. Из трех точек в конце каждого правила вы можете сбросить или обновить количество срабатываний для актуальной видимости. Это позволяет точно измерять эффективность правил и немедленно подтверждать активность правил.
- Сброс счетчика срабатываний для специфического правила брандмауэра возвращает количество срабатываний к 0.
- Обновление счетчика срабатываний обновляет количество срабатываний по запросу для всех правил брандмауэра.
Межсетевой экран Интернета позволяет разным администраторам редактировать политику параллельно. Каждый администратор может редактировать правила и сохранять изменения в базе правил в своей собственной частной ревизии, а затем публиковать их в политике учетной записи (опубликованная ревизия). Для получения дополнительной информации о том, как управлять ревизиями Политики, см. Работа с Ревизиями Политики.
Вы можете настроить временные параметры для правила, чтобы оно включалось или отключалось в определенные дату и время. В выпадающем списке Время вы можете настроить Ежедневное расписание и/или Активный период.
Вы можете настроить обе эти опции так, чтобы, например, правило было активно в будние дни в течение мая 2025 года. Или вы можете настроить каждую опцию отдельно, чтобы удовлетворить ваши требования.
Ежедневное расписание определяет график, когда правило активно. Если для правила настроено расписание, в таблице правил в столбце Действие отображается символ часов.
Варианты для Ежедневного расписания такие:
- Без временного ограничения: Для правила нет расписания. Это поведение правил по умолчанию.
- Ограничение рабочими часами: Правило активно только в рабочие часы, настроенные в приложении управления Cato. Для получения более подробной информации о рабочих часах см. Определение стандартных рабочих часов для аккаунта.
-
Пользовательский: выберите время дня и дни недели, когда правило активно. Снимите флажок Повторяющееся и выберите Дата для настройки времени правила.
- Повторяющийся: Настройка времени будет применяться более одного раза, например, каждый вторник с 9:00 до 17:00.
Активный период определяет дату и время, в течение которого правило активно в формате UTC. Если поле Действует с не выбрано, правило активно сразу после его сохранения и публикации.
В таблице правил, если определен Активный период, в столбце Действие отображается символ песочных часов. Цвет символа отражает статус:
- Черный: Правило не активно и станет активным в будущем.
- Зеленый: Правило активно.
- Красный: Правило имеет истекший срок действия.
Мастер-соглашение Cato Networks (MSA) определяет трафик, который потенциально незаконен или вредоносен и автоматически блокируется. В верхней части базы правил межсетевого экрана Интернета есть скрытое неявное правило, которое блокирует эти соединения.
Для получения дополнительной информации о MSA см. Cato Networks MSA.
Этот раздел объясняет поля и настройки правил в базе правил межсетевого экрана Интернета. Тщательное понимание межсетевого экрана Интернета помогает успешно управлять контролем доступа к корпоративной сети.
В следующей таблице описываются действия, которые каждое правило межсетевого экрана может применять к сетевому трафику. Для действий, которые создают события, вы можете показывать журналы событий в Главная > События.
| Элемент | Описание |
|---|---|
| Разрешить | Файервол разрешает соответствующий трафик. |
| Блокировать | Файервол блокирует соответствующий трафик. |
| Запрос |
Файервол перенаправляет соответствующий трафик на веб-страницу с сообщением. Пользователю предлагается решить, продолжить или нет. Вы можете настроить страницу запроса, см. Настройка страницы блокировки/запроса. Страница запроса Cato — это HTML-страница, использующая JavaScript и сессионные куки для управления согласием пользователя. Эти куки домен-специфичны, временные, и обычно удаляются при закрытии браузера. Cato в настоящее время использует три префикса имени куки ( Чтобы просмотреть события, когда пользователь выбирает продолжить после страницы запроса, отфильтруйте страницу События, чтобы показать события с полем Запрос Действие, установленным на значение Продолжить. |
| Удаленный просмотр (RBI) | Соответствующий трафик доставлен RBI. |
| Портал авторизации | Соответствующий трафик перенаправлен на Портал авторизации. |
Для описания различных колонок базы правил и элементов Источник, Приложение и Категория для правил, см. Что такое Cato WAN Firewall? и Справочник по объектам правил. и Справочник по объектам правил. В отличие от межсетевого экрана WAN, Назначение для интернет-межсетевого экрана всегда является Интернетом. Когда для правила настроено несколько столбцов, между ними существует отношение И.
Порядок правил определяется установкой позиции правила относительно других правил. Например, установите правило так, чтобы оно следовало за конкретным правилом или было первым в разделе.
Это параметры для определения порядка правил:
- Перед правилом - Правило расположено сразу перед выбранным правилом.
- После правила - Правило расположено сразу после выбранного правила.
- Первый в разделе - Правило расположено первым в выбранном разделе.
- Последний в разделе - Правило расположено последним в выбранном разделе.
- Первый - Правило расположено наверху базы правил.
- Последний - Правило расположено внизу базы правил.
0 комментариев
Войдите в службу, чтобы оставить комментарий.