Управление политикой межсетевого экрана для Интернета

В этой статье объясняется, как управлять политикой межсетевого экрана для Интернета, чтобы контролировать доступ к Интернету для вашей организации.

Для получения дополнительной информации о политике межсетевого экрана для Интернета в Cato обратитесь к Что такое межсетевой экран Cato для Интернета?.

Обзор

Межсетевой экран для Интернета инспектирует трафик между WAN и Интернетом и позволяет создавать правила для контроля этого трафика. По аналогии с межсетевым экраном WAN, межсетевой экран для Интернета использует упорядоченную базу правил, начиная с первого правила, соединения проверяются на соответствие каждому правилу.

Межсетевой экран для Интернета позволяет разным администраторам редактировать политику параллельно. Каждый администратор может редактировать правила и сохранять изменения в своей личной версии, а затем публиковать их в политике аккаунта (опубликованная версия). Для получения дополнительной информации о том, как управлять ревизиями политики, смотрите Работа с ревизиями политики.

Конфигурация Интернет-брандмауэра Мастер автономно проверяет вашу политику с использованием этих проверок и аналитики. Когда проверка не проходит, вы можете просмотреть и обновить свою политику непосредственно в Мастере, не редактируя отдельные правила. Это помогает вам оставаться в безопасности, упрощая управление политикой.

Настройка политики межсетевого экрана для Интернета

В этом разделе объясняются процедуры создания правил межсетевого экрана для Интернета, снятия блокировок для редактирования правил и публикации или отклонения неопубликованной ревизии.

internet_fw.png

Создание новых правил межсетевого экрана для Интернета

Создайте правила межсетевого экрана для Интернета и сохраните изменения в своей неопубликованной версии.

Для получения более подробной информации о пунктах Источник, Приложение и Категория для правила, см. Справочник по объектам правил.

Опции Время определяют временной диапазон, в который правило включено. Вы можете настроить пользовательские параметры для правила или выбрать стандартные рабочие часы, которые определены для аккаунта.

Чтобы создать новое правило для межсетевого экрана для Интернета:

  1. В меню навигации выберите Безопасность > Межсетевой экран для Интернета.

    Страница межсетевого экрана для Интернета откроется на вашей существующей неопубликованной версии или на самой последней опубликованной версии.

  2. Нажмите Новый.

  3. Введите Имя для правила.

  4. Включите или отключите правило с помощью ползунка (зеленый — включено, серый — отключено).

  5. Настройте Порядок правил для этого правила.

    Для получения дополнительной информации о вариантах порядка правил см. Что такое межсетевой экран Cato для Интернета?.

  6. Разверните Источник и выберите тип источника.

    • Выберите тип (например: Хост, Сетевой Интерфейс, IP, Любой). Значение по умолчанию — Любой.

    • При необходимости выберите конкретный объект из выпадающего списка для этого типа.

  7. Разверните раздел Устройство и добавьте условия устройства в правило. Для получения дополнительной информации смотрите Добавление условий устройства в правила брандмауэра. Значение по умолчанию — Любой.

  8. Разверните раздел Приложение/Категория и выберите одно или несколько приложений для правила.

    Когда в правиле больше одного объекта Приложение/Категория, между ними существует логическое ИЛИ. Значение по умолчанию — Любой.

  9. Разверните раздел Сервис/Порт и определите тип или типы (Сервис, Порт/Протокол, Любой), которые применяются к этому правилу.

    Когда в правиле больше одного объекта Сервис/Порты, между ними существует логическое ИЛИ. Значение по умолчанию — Любой.

  10. Выберите Действие для этого правила. Варианты: Разрешить, Блокировать, Запрос.

  11. (Необязательно) Настроить параметры отслеживания для создания События и Отправить уведомление. Частота начинается после отправки первого уведомления.

    Для получения дополнительной информации о уведомлениях смотрите соответствующую статью о Группы подписок, Списки рассылки и Интеграции оповещений в разделе Оповещения.

  12. (Опционально) Настройте параметры Время, которые определяют, когда это правило активно.

  13. Нажмите Применить. Новое правило добавлено в базу правил.

  14. Нажмите Сохранить.

    Изменения сохранены в вашей неопубликованной ревизии и доступны для редактирования до их публикации или отмены.

Использование исключений для Разрешить Интернет соединения

Вы можете использовать исключения в базе правил Межсетевой экран для Интернета, чтобы игнорировать конкретное правило и продолжать с правилами более низкого приоритета. Помните, убедитесь, что правило с более низким приоритетом не соответствует и не блокирует трафик. Последнее скрытое правило Любое Любое Разрешить разрешает весь трафик. Например, если правило №3 блокирует доступ к категории Нанимания, вы можете создать исключение, которое не блокирует доступ для отдела человеческих ресурсов (HR).

Исключение для правила - это подмножество правила, и некоторые настройки применяются как к правилу, так и к исключению:

  • Когда вы отключаете правило, исключение также отключено

  • Когда вы перемещаете правило и изменяете приоритет, исключение также перемещено

Чтобы добавить исключение к правилу брандмауэра:

  1. Из меню навигации выберите Безопасность > Межсетевой экран.

  2. Справа от правила нажмите More_icon.png и выберите Добавить исключение.

    Откроется панель Добавить исключение.

  3. Изучите и настройте параметры для исключения правила.

    Действие для родительского правила не применяется к исключению.

  4. Нажмите Применить. Исключение добавляется под правилом.

  5. Нажмите Сохранить. Исключение сохранено в вашей неопубликованной ревизии и доступно для редактирования до его публикации или отмены.

Чтобы удалить исключение из правила брандмауэра:

  1. Из меню навигации выберите Безопасность > Межсетевой экран.

  2. Из правого столбца правила нажмите More_icon.png и в появившемся окне выберите Удалить исключение.

    Исключение удалено из правила.

  3. Нажмите Сохранить. Исключение удаляется из вашей неопубликованной ревизии, и вы можете опубликовать ревизию, чтобы удалить исключение из политики аккаунта.

Известные ограничения

  • Для приложения Facebook Messenger невозможно использовать Межсетевой экран для блокировки приложения Messenger и разрешения приложения Facebook, потому что Messenger использует тот же домен, что и Facebook, для загрузки ресурсов. Вы можете использовать политику Контроль приложений CASB для управления доступом к этим приложениям.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 5 из 5

0 комментариев