Управление политикой межсетевого экрана интернета

Эта статья объясняет, как управлять политикой межсетевого экрана интернета для контроля доступа в интернет для вашей организации.

Для получения дополнительной информации о политике межсетевого экрана интернета в Cato смотрите Что такое межсетевой экран интернета Cato?.

Обзор

Межсетевой экран интернета анализирует трафик между WAN и Интернетом, позволяя создавать правила для управления этим трафиком. Как и межсетевой экран WAN, межсетевой экран интернета использует упорядоченную базу правил, начиная с первого правила, соединения анализируются согласно каждому правилу.

Межсетевой экран интернета позволяет разным администраторам редактировать политику одновременно. Каждый администратор может редактировать правила и сохранять изменения в базе правил в своей личной ревизии, а затем публиковать их в политике аккаунта (опубликованной ревизии). Для получения дополнительной информации о том, как управлять ревизиями Политики, см. Работа с Ревизиями Политики.

Мастер Конфигурации Межсетевого Экрана Интернета автономно проверяет вашу политику, используя эти проверки и аналитические данные. Когда проверка не проходит, вы можете просмотреть и обновить свою политику непосредственно в Мастере, не редактируя отдельные правила. Это помогает оставаться в безопасности, упрощая управление политикой.

Настройка политики межсетевого экрана для Интернета

Этот раздел объясняет процедуры создания правил межсетевого экрана интернета, обхода блокировок для редактирования правил и публикации или удаления неопубликованной ревизии.

InternetFW.png

Включение упорядоченного межсетевого экрана для Интернета

Межсетевой экран для Интернета в Cato Cloud позволяет контролировать доступ в интернет для вашей корпоративной сети. Легко создайте политику безопасности в Интернете, которая позволяет пользователям получать доступ к бизнес-контенту в веб и блокирует неподходящие веб-сайты, приложения и так далее.

Чтобы включить или отключить межсетевой экран для Интернета:

  1. В меню навигации нажмите Безопасность > Межсетевой экран Интернета.

  2. В Файервол Включен над базой правил, нажмите ползунок toggle.png, чтобы включить (зеленый) или отключить (серый) Интернет-файервол для аккаунта.

  3. Нажмите Сохранить.

Создание новых правил межсетевого экрана интернета

Создайте правила межсетевого экрана интернета и сохраните изменения в вашей неопубликованной ревизии.

Для более подробной информации об элементах Источник, Приложение и Категория для правила, см. Справочник по объектам правил.

Опции Время определяют временной диапазон, в котором правило активно. Вы можете настроить пользовательские опции для правила или выбрать стандартные рабочие часы, которые определены для аккаунта.

Чтобы создать новое правило для межсетевого экрана интернета:

  1. В навигационном меню выберите Безопасность > Межсетевой экран интернета.

    Страница межсетевого экрана интернета открывается для вашей существующей неопубликованной ревизии или к самой новой опубликованной ревизии.

  2. Нажмите Новое.

  3. Введите Название для правила.

  4. Включите или отключите правило с помощью ползунка (зеленый включен, серый выключен).

  5. Настройте Порядок правил для этого правила.

    Для получения дополнительной информации о вариантах порядка правил см. Что такое межсетевой экран Cato для Интернета?.

  6. Раскройте Источник и выберите тип источника.

    • Выберите тип (например: хост, сетевой интерфейс, IP, Выборка). Значение по умолчанию - Любой.

    • При необходимости выберите конкретный объект из выпадающего списка для этого типа.

  7. Разверните раздел Критерии и добавьте условия устройства к правилу. Для получения дополнительной информации смотрите Добавление условий устройства в правила брандмауэра. Значения по умолчанию Выборка.

  8. Раскройте секцию Приложение/Категория и выберите одно или несколько приложений для правила.

    Когда в правиле более одного объекта Приложение/Категория, между ними существует отношения ИЛИ. Значение по умолчанию Выборка.

  9. Раскройте секцию Служба/Порт и определите тип или типы (Служба, Порт/Протокол, Выборка), которые применяются к этому правилу.

    Когда в правиле более одного объекта Служба/Порты, между ними существует отношения ИЛИ. Значение по умолчанию Выборка.

  10. Выберите Действие для этого правила. Опции: Разрешить, Блокировать, Предложить.

  11. (Опционально) Настройте параметры отслеживания для генерации Событий и Отправка уведомления. Частота начинает считать после отправки первого уведомления.

    Для получения более подробной информации об уведомлениях, обратитесь к соответствующей статье для Групп Подписки, Списков Рассылки и Интеграций Оповещений в разделе.

  12. (Опционально) Настройте параметры Время, которые определяют, когда это правило включено.

  13. Нажмите Применить. Новое правило добавлено в базу правил.

  14. Нажмите Сохранить.

    Изменения сохраняются в вашей неопубликованной ревизии и доступны для редактирования до тех пор, пока не будут опубликованы или удалены.

Использование исключений для разрешения подключений к интернету

Вы можете использовать исключения в базе правил межсетевого экрана интернета, чтобы игнорировать конкретное правило и продолжить с правилами более низкого приоритета. Не забудьте убедиться, что правило более низкого приоритета не совпадает и не блокирует трафик. Последнее неявное правило ANY ANY Allow разрешает весь трафик. Например, если правило №3 блокирует доступ к категории "Наем", вы можете создать исключение, которое не блокирует доступ для отдела кадров.

Исключение для правила является подмножеством правила, и некоторые настройки применяются как к правилу, так и к исключению:

  • Когда вы отключаете правило, исключение также отключается

  • Когда вы перемещаете правило и изменяете приоритет, исключение также перемещается

Чтобы добавить исключение к правилу межсетевого экрана:

  1. В навигационном меню выберите Безопасность > Межсетевой экран интернета.

  2. Справа от правила нажмите More_icon.png и выберите Добавить Исключение.

    Открывается панель Добавить исключение.

  3. Раскройте и настройте параметры для исключения правила.

    Действие для родительского правила не применяется к исключению правила.

  4. Нажмите Применить. Исключение добавляется под правило.

  5. Нажмите Сохранить. Исключение сохраняется в вашей неопубликованной ревизии и доступно для редактирования до тех пор, пока не будет опубликовано или удалено.

Чтобы удалить исключение из правила межсетевого экрана:

  1. В навигационном меню выберите Безопасность > Межсетевой экран интернета.

  2. В правом столбце правила нажмите More_icon.png и в открывшемся окне выберите Удалить Исключение.

    Исключение удаляется из правила.

  3. Нажмите Сохранить. Исключение удаляется из вашей неопубликованной ревизии, и вы можете опубликовать ревизию, чтобы удалить исключение из политики аккаунта.

Известные ограничения

  • Для приложения Facebook Messenger невозможно использовать межсетевой экран интернета для блокировки приложения Messenger и разрешения приложения Facebook, потому что Messenger использует тот же домен, что и Facebook, для загрузки ресурсов. Вы можете использовать политику Контроль приложений CASB для управления доступом к этим приложениям.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 2 из 2

0 комментариев