Управление политикой брандмауэра WAN

Эта статья объясняет, как управлять базой правил для брандмауэра WAN, включая: создание новых правил, редактирование правил, включение и отключение правила, поиск правила и удаление правил.

For more information about the WAN firewall policy in Cato, see What is the Cato WAN Firewall?.

Обзор

Брандмауэр WAN в Cato Cloud контролирует доступ к объектам и сущностям в вашей WAN и позволяет вам создавать правила для предотвращения несанкционированного доступа к сети. Он использует упорядоченную базу правил, проверяя соединение и проверяя каждое правило последовательно до тех пор, пока какое-либо правило не совпадет с соединением.

Брандмауэр WAN позволяет разным администраторам параллельно редактировать политику. Каждый администратор может редактировать правила и сохранять изменения в своей собственной частной редакции, а затем публиковать их в политике учетной записи (опубликованная редакция). For more information on how to manage policy revisions, see Working with Policy Revisions.

Создать новые правила брандмауэра WAN

Создайте новое правило для брандмауэра WAN и настройте его параметры для управления контролем доступа для WAN. Используйте опцию Добавить правило ниже для легкого добавления правила в правильное место в базе правил.

For more about Source, Destination, App, and Category items for a rule, see Reference for Rule Objects.

Опции Время определяют диапазон времени, в который правило включено. Вы можете настроить пользовательские опции для правила или выбрать стандартные рабочие часы, которые определены для учетной записи.

Для создания нового правила для брандмауэра WAN:

В меню навигации нажмите Безопасность > Брандмауэр WAN.

Страница брандмауэра WAN откроется с вашей существующей неопубликованной редакцией или с новейшей опубликованной редакцией.
Нажмите Новый. Откроется панель Новый.
Введите Имя для правила.
Включите или отключите правило с помощью ползунка (зеленый - включено, серый - отключено).
Configure the Position and Direction for the new rule:
- By default, the rule is applied in one direction, from the source To the destination. Click the Direction drop-down menu to set the rule to operate in Both directions.
- Для получения дополнительной информации о параметрах порядка правил см. Что такое брандмауэр WAN от Cato?.
Разверните раздел Источник и выберите один или несколько объектов в качестве источника трафика для этого правила (или вы можете ввести IP-адрес).
1. Выберите тип (например: Хост, Сетевой интерфейс, IP, Любой). Значение по умолчанию Любой.
2. При необходимости выберите конкретный объект в раскрывающемся списке для этого типа.
Разверните раздел Назначение введите строку или выберите один или несколько объектов назначения для этого правила.
1. Выберите тип (например: Хост, Сетевой интерфейс, IP, Любой). Значение по умолчанию Любой.
2. При необходимости выберите конкретный объект в раскрывающемся списке для этого типа.
Expand the Criteria section and add the device conditions to the rule. For more information, see Adding Device Conditions to Firewall Rules. Значения по умолчанию - это Любой.
Разверните раздел Приложение/Категория и выберите одно или несколько приложений для правила.

Когда в правиле больше одного объекта Приложение/Категория, между ними существует связь ИЛИ. Значение по умолчанию - это Любой.
Разверните раздел Сервис/Порт и определите тип или типы (Сервис, Порт/Протокол, Любой), которые применяются к этому правилу.

Когда в правиле больше одного объекта Сервис/Порт, между ними существует связь ИЛИ. Значение по умолчанию - это Любой.
Выберите Действие для этого правила. Опции: Разрешить, Блокировать, Запрос.
(Необязательно) Настройте параметры отслеживания для генерации Событий и Отправить уведомление. Частота начинает считаться после отправки первого уведомления.

Для получения дополнительной информации об уведомлениях смотрите соответствующую статью о Группах подписок, Списках рассылки и Интеграции оповещений в разделе Оповещения.
(Optional) Configure the Time options that define when this rule is enabled.
Нажмите Применить. Новое правило добавляется в базу правил.
Нажмите Сохранить.

Изменения сохраняются в вашей неопубликованной ревизии и доступны для редактирования до тех пор, пока они не будут опубликованы или отклонены.

Adding Exceptions to the WAN Firewall

Вы можете использовать исключения в базе правил межсетевого экрана WAN, чтобы игнорировать конкретное правило и продолжать с правилами с меньшим приоритетом. Например, если правило №3 разрешает доступ VPN к подсети RnD, вы можете создать исключение, которое не позволяет доступ VPN для небольшой группы пользователей SDP. При создании исключения для правила блокировки, трафик должен соответствовать правилу разрешения с более низким приоритетом, иначе конечное неявное правило блокировки Любой Любой заблокирует трафик.

Исключение для правила является подмножеством правила, и некоторые настройки применяются как к правилу, так и к исключению:

Когда вы отключаете правило, исключение также отключается
Когда вы перемещаете правило и изменяете приоритет, исключение также перемещается

Чтобы добавить исключение к правилу брандмауэра:

В меню навигации нажмите Безопасность > Межсетевой экран WAN.
On the right of the rule, click and select Add Exception.

Откроется панель Добавить исключение.
Разверните и настройте параметры для исключения правила.

Действие для родительского правила не применяется к исключению правила.
Нажмите Применить. Исключение добавляется ниже правила.
Нажмите Сохранить. Исключение сохраняется в вашей неопубликованной ревизии и доступно для редактирования до тех пор, пока оно не будет опубликовано или отклонено.

Чтобы удалить исключение из правила брандмауэра:

В меню навигации нажмите Безопасность > Межсетевой экран WAN.
From the right-hand column of the rule, click and in the pop-up window select Delete Exception.

Исключение удалено из правила.
Нажмите Сохранить. Исключение удалено из вашей неопубликованной ревизии, и вы можете опубликовать ревизию для удаления исключения из политики аккаунта.

Working with WAN Firewall Rules

Используйте поиск правил файервола WAN для нахождения правил, с которыми вы хотите работать. Функция поиска находит и показывает правила, которые включают поисковые слова в любом из следующих полей:

Имя
Источник
Устройство
Назначение
Приложение/Категория
Сервис/Порт

Если правило является частью раздела, результаты показывают правило в этом разделе.

Editing WAN Rules and the Rulebase

Вы можете редактировать правила и менять порядок правил в базе правил файервола.

Для редактирования правила:

В меню навигации нажмите Безопасность > Межсетевой экран WAN.
Щелкните на правило. Панель Редактировать открывается.
Разверните любую из секций на панели, чтобы отобразить и редактировать текущие настройки правил.
Нажмите Применить для изменения настроек правил. Панель Редактировать закрывается.
Нажмите Сохранить для сохранения изменений.

Изменения сохраняются в вашей неопубликованной ревизии и доступны для редактирования до публикации или отклонения.

Чтобы изменить порядок правил:

В меню навигации нажмите Безопасность > Межсетевой экран WAN.
Hover at the left end of the rule, and this icon is shown: .
Щелкните значок и перетащите правило вверх или вниз в базе правил.
Нажмите Сохранить.

Enabling and Disabling a WAN Rule

Для включения или отключения правила:

В меню навигации нажмите Безопасность > Межсетевой экран WAN.
On the right of the rule, click the icon and from the pop-up menu select Enable or Disable.
Нажмите Сохранить. Правило включено или отключено.

Deleting WAN Rules

Вы можете удалить одно или несколько правил из базы правил файервола. После удаления правил вы не сможете отменить или восстановить их.

Чтобы удалить правила из базы правил файервола:

В меню навигации нажмите Безопасность > Межсетевой экран WAN.
Click the icon and from the pop-up window select Delete Rule.
В окне подтверждения нажмите Удалить Правило. Правило удалено.
Нажмите Сохранить. Правило удалено.