Управление политикой межсетевого экрана интернета

Эта статья объясняет, как управлять политикой межсетевого экрана интернета для контроля доступа в интернет для вашей организации.

Для получения дополнительной информации о политике межсетевого экрана интернета в Cato смотрите Что такое межсетевой экран интернета Cato?.

Обзор

Межсетевой экран интернета анализирует трафик между WAN и Интернетом, позволяя создавать правила для управления этим трафиком. Как и межсетевой экран WAN, межсетевой экран интернета использует упорядоченную базу правил, начиная с первого правила, соединения анализируются согласно каждому правилу.

Межсетевой экран интернета позволяет разным администраторам редактировать политику одновременно. Каждый администратор может редактировать правила и сохранять изменения в базе правил в своей личной ревизии, а затем публиковать их в политике аккаунта (опубликованной ревизии). Для получения дополнительной информации о том, как управлять ревизиями Политика развертывания, смотрите Работа с ревизиями политики.

Мастер настройки файла Межсетевой экран Интернета автономно проверяет вашу Политика развертывания, используя эти проверки и аналитика. Когда проверка не проходит, вы можете просмотреть и обновить свою политику непосредственно в Мастере, не редактируя отдельные правила. Это помогает оставаться в безопасности, упрощая управление политикой.

Настройка политики Интернет-файервола

Этот раздел объясняет процедуры создания правил межсетевого экрана интернета, обхода блокировок для редактирования правил и публикации или удаления неопубликованной ревизии.

InternetFW.png

Включение упорядоченного Интернет-файервола

Межсетевой экран для Интернета в Cato Cloud позволяет контролировать доступ в интернет для вашей корпоративной сети. Легко создайте политику безопасности в Интернете, которая позволяет пользователям получать доступ к бизнес-контенту в веб и блокирует неподходящие веб-сайты, приложения и так далее.

Для включения или отключения межсетевого экрана Интернета:

  1. В меню навигация нажмите Безопасность > Межсетевой экран Интернета.
  2. На Брандмауэр включен над базой правил нажмите ползунок toggle.png для включения (зеленый) или отключения (серый) межсетевого экрана Интернета для учетная запись.
  3. Нажмите Сохранить.

Создание новых правил Интернет-файервола

Создайте правила межсетевого экрана интернета и сохраните изменения в вашей неопубликованной ревизии.

Для получения более подробной информации о пунктах Источник, Приложение и Категория для правила, см. Справочник по объектам правил.

Опции Время определяют временной диапазон, в котором правило активно. Вы можете настроить пользовательские опции для правила или выбрать стандартные рабочие часы, которые определены для аккаунта.

Чтобы создать новое правило для Межсетевой экран для Интернета:

  1. В навигационном меню выберите Безопасность > Межсетевой экран интернета.

    Страница межсетевого экрана интернета открывается для вашей существующей неопубликованной ревизии или к самой новой опубликованной ревизии.

  2. Нажмите Новый.
  3. Введите Имя для правила.
  4. Включите или отключите правило, используя ползунок (зелёный — включен, серый — отключен).

  5. Настройте Порядок правил для этого правила.

    Для получения дополнительной информации о вариантах порядка правил см. Что такое межсетевой экран Cato для Интернета?.

  6. Раскройте Источник и выберите тип источника.

    • Выберите тип (например: Хост, Сетевой интерфейс, IP, Любой). Значение по умолчанию — Любой.
    • При необходимости выберите конкретный объект из выпадающего списка для этого типа.
  7. Расширьте Критерии раздел и добавьте условия устройства в правило. Для получения дополнительной информации смотрите Добавление условий устройства в правила брандмауэра. Значения по умолчанию — Любой.

  8. Раскройте секцию Приложение/Категория и выберите одно или несколько приложений для правила.

    Когда в правиле более одного объекта Приложение/Категория, между ними существует отношения ИЛИ. Значение по умолчанию Выборка.

  9. Разверните секцию Сервис/Порт и определите тип или типы (Сервис, Порт/Протокол, Пользовательский сервис или Любой), которые применяются к этому правилу.

    Когда в правиле более одного объекта Служба/Порты, между ними существует отношения ИЛИ. Значение по умолчанию Выборка.

  10. Выберите Действие для этого правила. Варианты: Разрешить, Блокировать, Запрос.

  11. (Опционально) Настройте параметры отслеживания для генерации Событий и Отправка уведомления. Частота начинает считать после отправки первого уведомления.

    Для получения более подробной информации об уведомлениях, обратитесь к соответствующей статье для Групп Подписки, Списков Рассылки и Интеграций Оповещений в разделе.

  12. (Необязательно) Настройте Время параметры, которые определяют, когда это правило включено.
  13. Нажмите Применить. Новое правило добавляется в базу правил.

  14. Нажмите Сохранить.

    Изменения сохраняются в вашей неопубликованной ревизии и доступны для редактирования до тех пор, пока не будут опубликованы или удалены.

Использование исключений для разрешения интернет-соединений

Вы можете использовать исключения в базе правил межсетевого экрана интернета, чтобы игнорировать конкретное правило и продолжить с правилами более низкого приоритета. Не забудьте убедиться, что правило более низкого приоритета не совпадает и не блокирует трафик. Последнее неявное правило ANY ANY Allow разрешает весь трафик. Например, если правило №3 блокирует доступ к категории "Наем", вы можете создать исключение, которое не блокирует доступ для отдела кадров.

Исключение для правила является подмножеством правила, и некоторые настройки применяются как к правилу, так и к исключению:

  • Когда вы отключаете правило, исключение также отключено.
  • Когда вы перемещаете правило и изменяете приоритет, исключение также перемещается.

Чтобы добавить исключение в правило брандмауэра:

  1. Из меню навигация выберите Безопасность > Межсетевой экран Интернета.

  2. Справа от правила щелкните More_icon.png и выберите Добавить исключение.

    Открывается панель Добавить исключение.

  3. Раскройте и настройте параметры для исключения правила.

    Действие для родительского правила не применяется к исключению правила.

  4. Нажмите Применить. Исключение добавляется ниже правила.
  5. Нажмите Сохранить. Исключение сохраняется в вашей Неопубликованная ревизия и доступно для редактирования до тех пор, пока не будет опубликовано или отменено.

Чтобы удалить исключение из правила брандмауэра:

  1. Из меню навигация выберите Безопасность > Межсетевой экран Интернета.

  2. В столбце справа от правила щелкните More_icon.png и в появившемся окне выберите Удалить исключение.

    Исключение удаляется из правила.

  3. Нажмите Сохранить. Исключение удалено из вашей Неопубликованной ревизии, и вы можете опубликовать изменение, чтобы удалить исключение из Политика развертывания учетной записи.

Известные ограничения

  • Для приложения Facebook Messenger невозможно использовать Межсетевой экран Интернета для блокировки приложения Messenger и разрешения приложения Facebook, поскольку Messenger использует тот же домен, что и Facebook, для загрузки ресурсов. Вы можете использовать политику Контроль приложений CASB для управления доступом к этим приложениям.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 5 из 5

0 комментариев