Эта статья объясняет, как управлять политикой межсетевого экрана интернета для контроля доступа в интернет для вашей организации.
Для получения дополнительной информации о политике межсетевого экрана интернета в Cato смотрите Что такое межсетевой экран интернета Cato?.
Межсетевой экран интернета анализирует трафик между WAN и Интернетом, позволяя создавать правила для управления этим трафиком. Как и межсетевой экран WAN, межсетевой экран интернета использует упорядоченную базу правил, начиная с первого правила, соединения анализируются согласно каждому правилу.
Межсетевой экран интернета позволяет разным администраторам редактировать политику одновременно. Каждый администратор может редактировать правила и сохранять изменения в базе правил в своей личной ревизии, а затем публиковать их в политике аккаунта (опубликованной ревизии). Для получения дополнительной информации о том, как управлять ревизиями политики, см. Работа с ревизиями политики.
Мастер Конфигурации Межсетевого Экрана Интернета автономно проверяет вашу политику, используя эти проверки и аналитические данные. Когда проверка не проходит, вы можете просмотреть и обновить свою политику непосредственно в Мастере, не редактируя отдельные правила. Это помогает оставаться в безопасности, упрощая управление политикой.
Этот раздел объясняет процедуры создания правил межсетевого экрана интернета, обхода блокировок для редактирования правил и публикации или удаления неопубликованной ревизии.
Межсетевой экран для Интернета в Cato Cloud позволяет контролировать доступ в интернет для вашей корпоративной сети. Легко создайте политику безопасности в Интернете, которая позволяет пользователям получать доступ к бизнес-контенту в веб и блокирует неподходящие веб-сайты, приложения и так далее.
Создайте правила межсетевого экрана интернета и сохраните изменения в вашей неопубликованной ревизии.
Для получения более подробной информации о пунктах Источник, Приложение и Категория для правила, см. Справочник по объектам правил.
Опции Время определяют временной диапазон, в котором правило активно. Вы можете настроить пользовательские опции для правила или выбрать стандартные рабочие часы, которые определены для аккаунта.
Чтобы создать новое правило для межсетевого экрана интернета:
-
В навигационном меню выберите Безопасность > Межсетевой экран интернета.
Страница межсетевого экрана интернета открывается для вашей существующей неопубликованной ревизии или к самой новой опубликованной ревизии.
-
Нажмите Новое.
-
Введите Название для правила.
-
Включите или отключите правило с помощью ползунка (зеленый включен, серый выключен).
-
Настройте Порядок правил для этого правила.
Для получения дополнительной информации о вариантах порядка правил см. Что такое межсетевой экран Cato для Интернета?.
-
Раскройте Источник и выберите тип источника.
-
Выберите тип (например: хост, сетевой интерфейс, IP, Выборка). Значение по умолчанию - Любой.
-
При необходимости выберите конкретный объект из выпадающего списка для этого типа.
-
-
Разверните раздел Критерии и добавьте условия устройства к правилу. Для получения дополнительной информации смотрите Добавление условий устройства в правила брандмауэра. Значения по умолчанию Выборка.
-
Раскройте секцию Приложение/Категория и выберите одно или несколько приложений для правила.
Когда в правиле более одного объекта Приложение/Категория, между ними существует отношения ИЛИ. Значение по умолчанию Выборка.
-
Раскройте секцию Служба/Порт и определите тип или типы (Служба, Порт/Протокол, Выборка), которые применяются к этому правилу.
Когда в правиле более одного объекта Служба/Порты, между ними существует отношения ИЛИ. Значение по умолчанию Выборка.
-
Выберите Действие для этого правила. Опции: Разрешить, Блокировать, Предложить.
-
(Опционально) Настройте параметры отслеживания для генерации Событий и Отправка уведомления. Частота начинает считать после отправки первого уведомления.
Для получения дополнительной информации о уведомлениях, смотрите соответствующую статью о группах подписок, списках рассылки и интеграциях оповещений в разделе Оповещения.
-
(Опционально) Настройте параметры Время, которые определяют, когда это правило активно.
-
Нажмите Применить. Новое правило добавлено в базу правил.
-
Нажмите Сохранить.
Изменения сохраняются в вашей неопубликованной ревизии и доступны для редактирования до тех пор, пока не будут опубликованы или удалены.
Вы можете использовать исключения в базе правил межсетевого экрана интернета, чтобы игнорировать конкретное правило и продолжить с правилами более низкого приоритета. Не забудьте убедиться, что правило более низкого приоритета не совпадает и не блокирует трафик. Последнее неявное правило ANY ANY Allow разрешает весь трафик. Например, если правило №3 блокирует доступ к категории "Наем", вы можете создать исключение, которое не блокирует доступ для отдела кадров.
Исключение для правила является подмножеством правила, и некоторые настройки применяются как к правилу, так и к исключению:
-
Когда вы отключаете правило, исключение также отключается
-
Когда вы перемещаете правило и изменяете приоритет, исключение также перемещается
Чтобы добавить исключение к правилу межсетевого экрана:
-
В навигационном меню выберите Безопасность > Межсетевой экран интернета.
-
Справа от правила нажмите
и выберите Добавить исключение.
Открывается панель Добавить исключение.
-
Раскройте и настройте параметры для исключения правила.
Действие для родительского правила не применяется к исключению правила.
-
Нажмите Применить. Исключение добавляется под правило.
-
Нажмите Сохранить. Исключение сохраняется в вашей неопубликованной ревизии и доступно для редактирования до тех пор, пока не будет опубликовано или удалено.
Чтобы удалить исключение из правила межсетевого экрана:
-
В навигационном меню выберите Безопасность > Межсетевой экран интернета.
-
Из правой колонки правила нажмите
и в появившемся окне выберите Удалить исключение.
Исключение удаляется из правила.
-
Нажмите Сохранить. Исключение удаляется из вашей неопубликованной ревизии, и вы можете опубликовать ревизию, чтобы удалить исключение из политики аккаунта.
-
Для приложения Facebook Messenger невозможно использовать межсетевой экран интернета для блокировки приложения Messenger и разрешения приложения Facebook, потому что Messenger использует тот же домен, что и Facebook, для загрузки ресурсов. Вы можете использовать политику Контроль приложений CASB для управления доступом к этим приложениям.
0 комментариев
Войдите в службу, чтобы оставить комментарий.