Что такое межсетевой экран Интернета Cato?

Эта статья предоставляет справочную информацию о межсетевом экране Интернета для вашей учетной записи.

Для получения дополнительной информации о настройке межсетевого экрана Интернета см. Управление политикой межсетевого экрана Интернета.

Обзор

Межсетевой экран Интернета проверяет трафик между WAN и Интернетом и позволяет вам создавать правила для управления этим трафиком. Подобно межсетевому экрану WAN, межсетевой экран Интернета использует упорядоченную базу правил, начиная с первого правила, соединения проверяются в соответствии с каждым правилом. Межсетевой экран Интернета использует подход черного списка. Это означает, что существует неявное правило ANY - ANY для разрешения любого трафика и соединений, которые явно не заблокированы в базе правил. Межсетевой экран Интернета также включает полную функциональность уровня 7 с осведомленностью о пользователях, и вы можете создавать правила для конкретных приложений. Например, вы можете использовать межсетевой экран Интернета для:

  • Блокировать конкретные веб-сайты, такие как Facebook или LinkedIn

  • Блокировать категории неподходящих веб-сайтов, такие как оружие, алкоголь и азартные игры

  • Разрешать только IT отделу пользоваться приложениями удаленного администрирования (SaaS и IaaS)

Понимание автономных аналитических данных межсетевого экрана

Auto_FW.png

Решения автономного сетевого экрана — это список лучших практик, которые оценивают вашу политику интернет сетевого экрана и показывают, насколько они соответствуют рекомендациям Cato. Следование этим рекомендациям оптимизирует конфигурацию межсетевого экрана и улучшает состояние безопасности.

Существует два типа инсайтов:

  • Иконка звезды (работает с AI): включенные правила в вашей политике межсетевого экрана Интернета автоматически анализируются Искусственным Интеллектом (AI) для обнаружения проблем, например, правил, которые можно исключить или изменить, таких как:

    • Истекшее правило или правило с будущей датой истечения срока действия: правила, созданные для решения конкретной задачи и имеющие желаемую дату завершения, которая уже прошла или еще не достигнута, или которые невозможно подтвердить/оценить.

    • Временное правило: введено как краткосрочное решение для удовлетворения немедленной потребности. Эти правила создаются главным образом для временной работы, пока разрабатывается или внедряется надлежащее или постоянное решение.

    • Правило тестирования: правила, явно созданные для проверки, отладки или экспериментов с определенной функцией или сценарием.

    • Неиспользуемое правило: определяет правила межсетевого экрана с действием "Разрешить", которые не создавали никаких событий за последние 30 дней

    • Проверка противоречивых правил:: определяет правила межсетевого экрана с идентичными предикатами, но разными действиями, что может создавать конфликты, препятствующие применению правил более низкого приоритета

  • Основанное на конфигурации: конфигурации и настройки в вашей политике межсетевого экрана Интернета должны соответствовать лучшим практикам.

Работа с мастером настройки интернет-файервола

Мастер конфигурации интернет сетевого экрана автономно проверяет вашу политику с использованием этих проверок и аналитики. Если проверка провалилась, вы можете просмотреть и обновить вашу политику напрямую в мастере, без редактирования отдельных правил. Это помогает вам оставаться защищенным, упрощая управление политикой.

Защита от подмены в файерволе Cato

Одна из базовых функций NGFW — защита от атак через подмену. Системы безопасности в облаке Cato неявно блокируют любые соединения, где исходный IP-адрес выходит за рамки сконфигурированной сущности (например, площадка, диапазон сети, устройство или пользователь). Это блокирует атаки через подмену и предотвращает нарушения сконфигурированной логической топологии.

Работа с упорядоченными правилами

Межсетевой экран Интернета проверяет соединения последовательно и проверяет, соответствует ли соединение правилу. Последнее правило в базе правил — неявное правило разрешения ANY - ANY, так что если соединение не соответствует правилу, оно разрешено последним неявным правилом.

Правила, которые находятся вверху базы правил, имеют более высокий приоритет, так как они применяются к соединениям перед правилами ниже в базе правил. Если соединение совпадает с правилом №3, действие применяется к соединению, и межсетевой экран перестает его проверять. Межсетевой экран не продолжается применять правила №4 и ниже к соединению.

Работа с несколькими объектами в одном правиле

Когда есть правило с объектами в нескольких столбцах, такими как приложение и служба, между ними существует связь И. Например, если есть правило, блокирующее приложение Netflix для порта 443, трафик блокируется, если он совпадает с приложением и портом.

Для правил, которые используют несколько объектов в одном столбце, таких как более одного приложения, между ними существует связь ИЛИ. Например, если есть правило, блокирующее доступ к приложениям Netflix, iTunes и YouTube, трафик блокируется, когда он совпадает с любым из приложений.

Примечание

Примечание: Каждое правило может иметь максимум 64 условия с отношением И между ними, и исключения правила учитываются в пределе правила. Например, если есть правило с двумя условиями И (например, источник и служба), и правило имеет 25 исключений с 3 условиями И каждое (такими как источник, приложение и служба), то правило имеет 77 условий. Это превышает поддерживаемый предел в 64 условия, и правило может не работать должным образом. Тем не менее, вы можете назначить более 64 объектов в одном столбце правила, так как между ними существует отношение ИЛИ. Например, вы можете назначить более 64 приложений в одно правило.

Понимание количества срабатываний

Счётчик попаданий помогает определить неиспользуемые правила, которые можно удалить из политики, и оптимизировать конфигурацию правил для лучше соответствия требуемому объему трафика. Счётчик попаданий для правила основан на количестве событий, созданных правилом. Если правило не создаёт события, счётчик попаданий равен нулю.

Счётчик попаданий включает два числа:

  • Приблизительное количество событий, созданных каждым правилом в политике

  • Как часто правило срабатывает относительно других правил (ранжировано по процентилям)

Эти значения обновляются один раз в 24 часа и основаны на данных трафика за последние 14 дней.

Вы можете быстро определить правила с самым высоким и самым низким счётчиком попаданий, исходя из цвета статусной полосы. Этот цвет отражает, как часто правило срабатывает относительно других правил:

  • Синий: 0 - 24-й процентиль

  • Зеленый: 25-й - 49-й процентиль

  • Оранжевый: 50-й - 74-й процентиль

  • Красный: 75-й - 100-й процентиль

Ревизии политики и одновременное редактирование несколькими администраторами

Межсетевой экран Интернета позволяет разным администраторам редактировать политику параллельно. Каждый администратор может редактировать правила и сохранять изменения в базе правил в своей собственной частной ревизии, а затем публиковать их в политике учетной записи (опубликованная ревизия). Для получения дополнительной информации о том, как управлять ревизиями Политики, см. Работа с Ревизиями Политики.

Настройка временных параметров для правила

Вы можете настроить временные параметры для правила, чтобы оно включалось или отключалось в определенные дату и время. В выпадающем списке Время вы можете настроить Ежедневное расписание и/или Активный период.

Вы можете настроить оба параметра так, чтобы, например, правило было активно в будние дни в течение мая 2025 года. Или вы можете настроить каждый параметр отдельно в соответствии с вашими требованиями.

Time.png

Понимание ежедневного расписания

Ежедневное расписание определяет график, когда правило активно. Если для правила настроено расписание, в таблице правил в столбце Действие отображается символ часов.

Варианты для Ежедневного расписания такие:

  • Без временного ограничения: для правила нет расписания. Это поведение правил по умолчанию.

  • Ограничить рабочим временем: правило активно только в рабочие часы, настроенные в приложении управления Cato. Для получения более подробной информации о рабочих часах см. Определение стандартных рабочих часов для аккаунта.

  • Пользовательский: выберите время дня и дни недели, когда правило активно. Снимите флажок Повторяющееся и выберите Дата для настройки времени правила.

    • Повторяющееся: временная настройка будет применяться более одного раза, например, каждый вторник с 9:00 до 17:00.

Понимание активного периода

Активный период определяет дату и время, в течение которого правило активно в формате UTC. Если поле Действует с не выбрано, правило активно сразу после его сохранения и публикации.

В таблице правил, если определен Активный период, в столбце Действие отображается символ песочных часов. Цвет символа отражает статус:

  • Черный: Правило не активно и станет активным в будущем

  • Зеленый: Правило активно

  • Красный: Истек срок действия правила

Заблокированный трафик, связанный с MSA

Мастер-соглашение Cato Networks (MSA) определяет трафик, который потенциально незаконен или вредоносен и автоматически блокируется. В верхней части базы правил межсетевого экрана Интернета есть скрытое неявное правило, которое блокирует эти соединения.

Для получения дополнительной информации о MSA, см. Cato Networks MSA.

Понимание настроек правил интернет сетевого экрана

Этот раздел объясняет поля и настройки правил в базе правил межсетевого экрана Интернета. Тщательное понимание межсетевого экрана Интернета помогает успешно управлять контролем доступа к корпоративной сети.

Действия по правилам

В следующей таблице описываются действия, которые каждое правило межсетевого экрана может применять к сетевому трафику. Для действий, которые создают события, вы можете показывать журналы событий в Главная > События.

Элемент

Описание

Разрешить

Межсетевой экран разрешает совпадающий трафик.

Блокировать

Межсетевой экран блокирует совпадающий трафик.

Запрос

Межсетевой экран перенаправляет совпадающий трафик на веб-страницу с сообщением. Пользователь получает запрос решить, продолжать или нет. Вы можете настроить веб-страницу запроса, см. Настройка страницы предупреждения/блокировки.

Страница запроса Cato — это HTML-страница, которая использует JavaScript и сеансовые куки для управления пользовательским согласием. Эти куки специфичны для домена, временные и обычно удаляются при закрытии браузера. В настоящее время Cato использует три префикса имени куки (tls_cert_err, fw_wan и fw_inet). Обработка куки и сохранение сеанса зависят от настроек и поведения пользователя, браузера и операционной системы.

Чтобы просмотреть события, когда пользователь решает продолжить после страницы запроса, отфильтруйте страницу События, чтобы показать события с полем Действие запроса, установленным на значение Продолжить.

Удаленное просмотр (RBI)

Совпадающий трафик доставляется RBI.

Каптивный портал

Совпадающий трафик направляется на Captive Portal.

Столбцы правил межсетевого экрана Интернета

Для описания различных столбцов базы правил и элементов Источник, Приложение и Категория для правил, смотрите Что такое сетевой экран Cato WAN? и Справочник по объектам правил. В отличие от межсетевого экрана WAN, Назначение для интернет-межсетевого экрана всегда является Интернетом. Когда для правила настроено несколько столбцов, между ними существует отношение И.

Установка порядка правил

Порядок правил определяется установкой позиции правила относительно других правил. Например, установите правило так, чтобы оно следовало за конкретным правилом или было первым в разделе.

Это параметры для определения порядка правил:

  • Перед правилом - Правило расположено непосредственно перед выбранным правилом

  • После правила - Правило расположено непосредственно после выбранного правила

  • Первое в разделе - Правило расположено первым в выбранном разделе

  • Последнее в разделе - Правило расположено последним в выбранном разделе

  • Первое - Правило расположено вверху набора правил

  • Последнее - Правило расположено внизу набора правил

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 3 из 3

0 комментариев