Управление политикой межсетевого экрана интернета

Эта статья объясняет, как управлять политикой межсетевого экрана интернета для контроля доступа в интернет для вашей организации.

Для получения дополнительной информации о политике межсетевого экрана интернета в Cato смотрите Что такое межсетевой экран интернета Cato?.

Обзор

Межсетевой экран интернета анализирует трафик между WAN и Интернетом, позволяя создавать правила для управления этим трафиком. Как и межсетевой экран WAN, межсетевой экран интернета использует упорядоченную базу правил, начиная с первого правила, соединения анализируются согласно каждому правилу.

Межсетевой экран интернета позволяет разным администраторам редактировать политику одновременно. Каждый администратор может редактировать правила и сохранять изменения в базе правил в своей личной ревизии, а затем публиковать их в политике аккаунта (опубликованной ревизии). Для получения дополнительной информации о том, как управлять ревизиями политики, см. Работа с ревизиями политики.

Мастер Конфигурации Межсетевого Экрана Интернета автономно проверяет вашу политику, используя эти проверки и аналитические данные. Когда проверка не проходит, вы можете просмотреть и обновить свою политику непосредственно в Мастере, не редактируя отдельные правила. Это помогает оставаться в безопасности, упрощая управление политикой.

Настройка политики межсетевого экрана для Интернета

Этот раздел объясняет процедуры создания правил межсетевого экрана интернета, обхода блокировок для редактирования правил и публикации или удаления неопубликованной ревизии.

InternetFW.png

Включение упорядоченного межсетевого экрана для Интернета

Межсетевой экран для Интернета в Cato Cloud позволяет контролировать доступ в интернет для вашей корпоративной сети. Легко создайте политику безопасности в Интернете, которая позволяет пользователям получать доступ к бизнес-контенту в веб и блокирует неподходящие веб-сайты, приложения и так далее.

Чтобы включить или отключить межсетевой экран для Интернета:

  1. В меню навигации нажмите Безопасность > Межсетевой экран Интернета.

  2. В Брандмауэр включен выше правило, нажмите ползунок toggle.png, чтобы включить (зеленый) или отключить (серый) межсетевой экран для Интернета для учетной записи.

  3. Нажмите Сохранить.

Создание новых правил межсетевого экрана интернета

Создайте правила межсетевого экрана интернета и сохраните изменения в вашей неопубликованной ревизии.

Для получения более подробной информации о пунктах Источник, Приложение и Категория для правила, см. Справочник по объектам правил.

Опции Время определяют временной диапазон, в котором правило активно. Вы можете настроить пользовательские опции для правила или выбрать стандартные рабочие часы, которые определены для аккаунта.

Чтобы создать новое правило для межсетевого экрана интернета:

  1. В навигационном меню выберите Безопасность > Межсетевой экран интернета.

    Страница межсетевого экрана интернета открывается для вашей существующей неопубликованной ревизии или к самой новой опубликованной ревизии.

  2. Нажмите Новое.

  3. Введите Название для правила.

  4. Включите или отключите правило с помощью ползунка (зеленый включен, серый выключен).

  5. Настройте Порядок правил для этого правила.

    Для получения дополнительной информации о вариантах порядка правил см. Что такое межсетевой экран Cato для Интернета?.

  6. Раскройте Источник и выберите тип источника.

    • Выберите тип (например: хост, сетевой интерфейс, IP, Выборка). Значение по умолчанию - Любой.

    • При необходимости выберите конкретный объект из выпадающего списка для этого типа.

  7. Разверните раздел Критерии и добавьте условия устройства к правилу. Для получения дополнительной информации смотрите Добавление условий устройства в правила брандмауэра. Значения по умолчанию Выборка.

  8. Раскройте секцию Приложение/Категория и выберите одно или несколько приложений для правила.

    Когда в правиле более одного объекта Приложение/Категория, между ними существует отношения ИЛИ. Значение по умолчанию Выборка.

  9. Раскройте секцию Служба/Порт и определите тип или типы (Служба, Порт/Протокол, Выборка), которые применяются к этому правилу.

    Когда в правиле более одного объекта Служба/Порты, между ними существует отношения ИЛИ. Значение по умолчанию Выборка.

  10. Выберите Действие для этого правила. Опции: Разрешить, Блокировать, Предложить.

  11. (Опционально) Настройте параметры отслеживания для генерации Событий и Отправка уведомления. Частота начинает считать после отправки первого уведомления.

    Для получения дополнительной информации о уведомлениях, смотрите соответствующую статью о группах подписок, списках рассылки и интеграциях оповещений в разделе Оповещения.

  12. (Опционально) Настройте параметры Время, которые определяют, когда это правило активно.

  13. Нажмите Применить. Новое правило добавлено в базу правил.

  14. Нажмите Сохранить.

    Изменения сохраняются в вашей неопубликованной ревизии и доступны для редактирования до тех пор, пока не будут опубликованы или удалены.

Использование исключений для разрешения подключений к интернету

Вы можете использовать исключения в базе правил межсетевого экрана интернета, чтобы игнорировать конкретное правило и продолжить с правилами более низкого приоритета. Не забудьте убедиться, что правило более низкого приоритета не совпадает и не блокирует трафик. Последнее неявное правило ANY ANY Allow разрешает весь трафик. Например, если правило №3 блокирует доступ к категории "Наем", вы можете создать исключение, которое не блокирует доступ для отдела кадров.

Исключение для правила является подмножеством правила, и некоторые настройки применяются как к правилу, так и к исключению:

  • Когда вы отключаете правило, исключение также отключается

  • Когда вы перемещаете правило и изменяете приоритет, исключение также перемещается

Чтобы добавить исключение к правилу межсетевого экрана:

  1. В навигационном меню выберите Безопасность > Межсетевой экран интернета.

  2. Справа от правила нажмите More_icon.png и выберите Добавить исключение.

    Открывается панель Добавить исключение.

  3. Раскройте и настройте параметры для исключения правила.

    Действие для родительского правила не применяется к исключению правила.

  4. Нажмите Применить. Исключение добавляется под правило.

  5. Нажмите Сохранить. Исключение сохраняется в вашей неопубликованной ревизии и доступно для редактирования до тех пор, пока не будет опубликовано или удалено.

Чтобы удалить исключение из правила межсетевого экрана:

  1. В навигационном меню выберите Безопасность > Межсетевой экран интернета.

  2. Из правой колонки правила нажмите More_icon.png и в появившемся окне выберите Удалить исключение.

    Исключение удаляется из правила.

  3. Нажмите Сохранить. Исключение удаляется из вашей неопубликованной ревизии, и вы можете опубликовать ревизию, чтобы удалить исключение из политики аккаунта.

Известные ограничения

  • Для приложения Facebook Messenger невозможно использовать межсетевой экран интернета для блокировки приложения Messenger и разрешения приложения Facebook, потому что Messenger использует тот же домен, что и Facebook, для загрузки ресурсов. Вы можете использовать политику Контроль приложений CASB для управления доступом к этим приложениям.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 2 из 2

0 комментариев