Управление политикой межсетевого экрана WAN

В этой статье объясняется, как управлять базой правил межсетевого экрана WAN, включая: создание новых правил, редактирование правил, включение и отключение правила, поиск правила и удаление правил.

Для получения дополнительной информации о политике межсетевого экрана WAN в Cato, см. Что такое межсетевой экран WAN Cato?.

Обзор

Межсетевой экран WAN в облаке Cato контролирует доступ к объектам и сущностям в вашей WAN и позволяет создавать правила для предотвращения несанкционированного доступа к сети. Он использует упорядоченную базу правил, проверяя соединение и последовательно проверяя каждое правило до тех пор, пока оно не совпадет с соединением.

Межсетевой экран WAN позволяет разным администраторам параллельно редактировать политику. Каждый администратор может редактировать правила и сохранять изменения в собственной частной редакции, а затем публиковать их в политике учетной записи (опубликованной редакции). Для получения дополнительной информации о том, как управлять изменениями политики, см. Работа с Ревизиями Политики.

Включение и отключение межсетевого экрана WAN

Когда WAN Брандмауэр отключен, отсутствует контроль доступа, и все ресурсы WAN доступны для любого пользователя.

WAN-FW-enabled.png

К включению или отключению межсетевого экрана WAN:

  1. От навигационного меню, нажмите Безопасность > Брандмауэр WAN.
  2. На Брандмауэр включен над базой правил, нажмите на ползунок toggle.png чтобы включить (зеленый) или отключить (серый) межсетевой экран WAN для учетной записи.
  3. Нажмите Сохранить.

Создание новых правил межсетевого экрана WAN

Создайте новое правило межсетевого экрана WAN и настройте параметры для управления контролем доступа для WAN. Используйте опцию Добавить правило ниже, чтобы легко добавить правило на нужное место в базе правил.

Для более подробной информации о Источник, Назначение, Приложение и Категория для правила, см. Справочник по объектам правил.

Опции Время определяют временной диапазон, в котором правило активно. Вы можете настроить пользовательские параметры для правила или выбрать стандартные рабочие часы, определенные для учетной записи.

Для создания нового правила для межсетевого экрана WAN:

  1. В меню навигации нажмите Безопасность > Межсетевой экран WAN.

    Страница межсетевого экрана WAN открывается для вашей существующей неопубликованной редакции или для самой новой опубликованной редакции.

  2. Нажмите Новый. Панель Новый открывается.
  3. Введите Имя для правила.
  4. Включите или отключите правило с помощью ползунка (зеленый — включено, серый — отключено).

  5. Настройте Позицию и Направление для нового правила:

    • По умолчанию, правило применяется в одном направлении, от источника К назначению. Нажмите на выпадающее меню Направление, чтобы установить правило для работы в Обоих направлениях.
    • Для дополнительной информации о параметрах порядка правил см. Что такое брандмауэр WAN от Cato?.
  6. Расширьте раздел Источник и выберите один или несколько объектов для источника трафика для этого правила (или вы можете ввести IP-адрес).
    1. Выберите тип (например: Хост, Сетевой интерфейс, IP, Любой). Значение по умолчанию — Любой.
    2. При необходимости выберите конкретный объект из выпадающего списка для этого типа.
  7. Расширьте раздел Назначение введите строку или выберите один или несколько объектов назначения для этого правила.
    1. Выберите тип (например: Хост, Сетевой интерфейс, IP, Любой). Значение по умолчанию — Любой.
    2. При необходимости выберите конкретный объект из выпадающего списка для этого типа.
  8. Разверните раздел Критерии и добавьте условия устройства к правилу. Для получения дополнительной информации смотрите Добавление условий устройства в правила брандмауэра. Значения по умолчанию - Любой.

  9. Разверните раздел Приложение/Категория и выберите одно или несколько приложений для правила.

    Когда в правиле больше одного объекта Приложение/Категория, между ними существует отношение ИЛИ. Значение по умолчанию - Любой.

  10. Разверните раздел Сервис/Порт и определите тип или типы (Сервис, Порт/Протокол, Любой), которые применяются к этому правилу.

    Когда в правиле больше одного объекта Сервис/Порты, между ними существует отношение ИЛИ. Значение по умолчанию - Любой.

  11. Выберите Действие для этого правила. Варианты - Разрешить, Блокировать, Запрос.

  12. (По желанию) Настройте параметры отслеживания, чтобы генерировать События и Отправлять уведомления. Частота начинает считаться после отправки первого уведомления.

    Для получения дополнительной информации об уведомлениях, см. соответствующую статью о Группах подписок, Списках рассылки и Интеграциях оповещений в разделе Оповещения.

  13. (Опционально) Настройте параметры Времени, которые определяют, когда это правило включено.
  14. Нажмите Применить. Новое правило добавлено в базу правил.

  15. Нажмите Сохранить.

    Изменения сохраняются в вашей неопубликованной редакции и будут доступны для редактирования до тех пор, пока они не будут опубликованы или отклонены.

Добавление исключений в межсетевой экран WAN

Вы можете использовать исключения в базе правил межсетевого экрана WAN, чтобы игнорировать конкретное правило и продолжать применять правила с более низким приоритетом. Например, если правило №3 позволяет доступ VPN к подсети RnD, вы можете создать исключение, которое не позволяет доступ VPN для небольшой подмножества пользователей SDP. При создании исключения для правила блокировки трафик должен соответствовать правилу разрешения с более низким приоритетом, иначе окончательное неявное правило блока ANY ANY блокирует трафик.

Исключение для правила является подмножеством правила, и некоторые параметры применяются как к правилу, так и к исключению:

  • Когда вы отключаете правило, исключение также отключается
  • Когда вы перемещаете правило и изменяете приоритет, исключение также перемещается

Чтобы добавить исключение к правилу брандмауэра:

  1. Из навигационного меню нажмите Безопасность > Брандмауэр WAN.

  2. Справа от правила, нажмите More_icon.png и выберите Добавить исключение.

    Откроется панель Добавить исключение.

  3. Разверните и настройте параметры для исключения правил.

    Действие для родительского правила не применяется к исключению правила.

  4. Нажмите Применить. Исключение добавлено ниже правила.
  5. Нажмите Сохранить. Исключение сохранено в вашей неопубликованной ревизии и доступно для редактирования, пока не будет опубликовано или отменено.

Чтобы удалить исключение из правила брандмауэра:

  1. Из навигационного меню нажмите Безопасность > Брандмауэр WAN.

  2. В правом столбце правила нажмите More_icon.png и в появившемся окне выберите Удалить Исключение.

    Исключение удаляется из правила.

  3. Нажмите Сохранить. Исключение удалено из вашей неопубликованной ревизии, и вы можете опубликовать ревизию, чтобы удалить исключение из политики учетной записи.

Работа с правилами межсетевого экрана WAN

Используйте поиск правил межсетевого экрана WAN, чтобы найти правила, с которыми вы хотите работать. Функция поиска находит и показывает правила, которые содержат поисковые термины в любом из следующих полей:

  • Имя
  • Источник
  • Устройство
  • Назначение
  • Приложение/Категория
  • Сервис/Порт

Если правило является частью секции, результаты показывают правило внутри секции.

Редактирование правил WAN и базы правил

Вы можете редактировать правила и изменять порядок правил в базе правил файервола.

Чтобы редактировать правило:

  1. Из навигационного меню нажмите Безопасность > Брандмауэр WAN.
  2. Нажмите на правило. Панель Редактировать открывается.
  3. Разверните любой из разделов в панели, чтобы отобразить и редактировать текущие настройки правила.
  4. Нажмите Применить, чтобы изменить настройки правила. Панель Редактировать закрывается.

  5. Нажмите Сохранить, чтобы сохранить изменения.

    Изменения сохраняются в вашу неопубликованную ревизию и доступны для редактирования, пока они не будут опубликованы или удалены.

Изменение порядка правила

Порядок правил определяется путем установки позиции правила относительно других правил. Например, установите правило на следование за конкретным правилом или в начало раздела.

Вот варианты определения порядка правила:

  • Перед правилом - Правило расположено непосредственно перед выбранным правилом
  • После правила - Правило расположено непосредственно после выбранного правила
  • Первый в разделе - Правило расположено первым в выбранном разделе
  • Последний в разделе - Правило расположено последним в выбранном разделе
  • Первый - Правило расположено вверху базы правил
  • Последний - Правило расположено внизу базы правил

Чтобы изменить порядок правил:

  1. Из навигационного меню нажмите Безопасность > Брандмауэр WAN.
  2. Наведите курсор в левый конец правила, и будет показан этот значок: move.png.
  3. Нажмите на значок и перетащите правило вверх или вниз в базе правил.
  4. Нажмите Сохранить.

Включение и отключение правила WAN

Чтобы включить или отключить правило:

  1. Из навигационного меню нажмите Безопасность > Брандмауэр WAN.
  2. Справа от правила, нажмите на значок More_icon.png и в появившемся меню выберите Включить пользователей LDAP или Отключить.
  3. Нажмите Сохранить. Правило включено или отключено.

Удаление правил WAN

Вы можете удалить одно или несколько правил из базы правил файервола. После удаления правил вы не сможете отменить это действие или восстановить их.

Чтобы удалить правила из базы правил брандмауэра:

  1. Из навигационного меню нажмите Безопасность > Брандмауэр WAN.
  2. Нажмите на значок More_icon.png и в окне выбора выберите Удалить Правило.
  3. В окне подтверждения нажмите Удалить Правило. Правило удалено.
  4. Нажмите Сохранить. Правило удалено.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев