Добавление условий устройства к правилам брандмауэра

В этой статье обсуждается, как добавить условия для критериев устройства в базы правил WAN и Интернет брандмауэра для повышения безопасности и защиты.

Обзор

Настройка Устройство для правил WAN и Интернет позволяет расширить область политики безопасности вашего брандмауэра, чтобы включить условный доступ на основе атрибутов фактического устройства конечного пользователя или других устройств, работающих в вашей сети, таких как IoT/OT. Вы можете указать требования доступа для устройств в сети. Например:

Межсетевой экран WAN -
- Укажите источник правила, чтобы оно применялось только к устройствам, которые соответствуют заранее определенной постуре или на основе геолокации.
- Разрешить доступ к бизнес-критическому OT-устройству только для определенных пользователей.
Межсетевой экран Интернет -
- Определите правила для SaaS-приложения, которые ограничивают доступ на основе настроек устройства и местоположения.
- Заблокировать доступ в Интернет для IP-камер в сети.

По умолчанию настройки устройства не влияют на трафик, поскольку они установлены на Любой Любой и автоматически соответствуют всему трафику.

Для получения дополнительной информации о WAN и Интернет файерволе Cato см. статьи Базы Знаний в разделе Cato Firewalls.

Предварительные условия

Прежде чем добавить Профиль устройства в настройки Устройства для правила, вам необходимо создать и настроить Профиль устройства.
Чтобы узнать, какие проверки устройства поддерживаются для ОС клиента и версии, см. Создание профилей состояния устройства и проверок устройства.
Правила, которые используют профили устройств, применяются только если Cato Client установлен на устройстве и используется в качестве агента идентификации, как удаленно, так и находясь за Socket.

Для получения дополнительной информации смотрите Использование Агентов идентификации Cato для Осведомленности Пользователя (Аутентификация EA без лицензии ZTNA).

Примечание: Лицензированные клиенты автоматически используются в качестве агентов идентификации.

Настройка Настройки устройства

Это настройка Устройство, которую вы можете добавить к правилу брандмауэра:

Атрибуты устройства - Атрибуты устройств, идентифицированных движком инвентаризации устройств.
Платформы - Операционная система (ОС) устройства.
Страны - Страна источника для подключения на основе физического местоположения устройства (по геолокации IP-адреса).
Профили состояния устройства - Профили устройства (настроенные в Доступ > Постура устройства).
Источник соединения - Геолокация устройства. Вы можете настроить правило в зависимости от того, подключается ли устройство за прокси или удаленно через клиента, расширение браузера или корпоративный браузер (каждая опция удаленного подключения может быть выбрана отдельно).
Атрибуты пользователя: Уровень риска и Уровень доверия пользователя, вошедшего в устройство.

Когда вы настраиваете несколько условий для правила, они имеют взаимосвязь И, правило срабатывает, только если трафик соответствует критериям, определенным во всех пунктах.

Внутри условия (одна ячейка) объекты имеют связь ИЛИ. Например, правило, содержащее условие Платформы для Windows и macOS, соответствует всем устройствам Windows или macOS.

Это пример правила, где трафик должен соответствовать всем этим условиям Устройство: устройства Windows, расположенные в Индии, которые соответствуют требованиям Профиль устройства 1.

Добавление Требований к Атрибутам устройства

Используйте условие Атрибуты устройства для определения правил для устройств, обнаруженных в сети движком инвентаризации устройств. Вы можете использовать следующие атрибуты в правиле брандмауэра: Категория, Тип, Модель, ОС, Производитель, Версия ОС.

Выберите Тип атрибутов устройства и затем выберите значения из выпадающего списка. Список автоматически заполняется значениями устройств, обнаруженных в сети. Вы можете выбрать несколько Типов атрибутов устройства в правиле, и между ними действует И-отношение. Например, если вы выберете ОС как Windows и Производитель как Dell, условие будет применяться только к устройствам Dell с операционной системой Windows.

Однако, когда вы выбираете несколько значений в рамках одного Типа атрибутов устройства, между ними действует ОР-отношение. Например, если вы выберете Производитель со значениями Dell и HP, условие будет совпадать для устройств либо Dell либо HP.

Для страниц и функций инвентаризации устройств требуется отдельная лицензия на инвентаризацию устройств. Для получения дополнительной информации о покупке лицензии обратитесь к вашему представителю Cato.

Добавление Требований к Платформе

Условие Платформы для правила брандмауэра позволяет вам определять операционные системы устройств, которые соответствуют правилу. Например, для определенного сегмента сети разрешайте доступ только к устройствам на Windows, macOS или Linux.

Добавление Требований к Стране

Условие Страны позволяет вам определять источник трафика, который соответствует правилу, на основе IP-геолокации устройства. Например, ограничьте доступ к сайту для филиала, чтобы только устройства, находящиеся в той же стране, что и офис, могли подключаться.

Добавление Требований к Профилю устройства

Условие Профили позволяет вам ограничивать правило только теми устройствами, которые соответствуют требованиям Профиля устройства. Это условие основано на функции состояния устройства, которая проверяет, соответствует ли устройство требованиям состояния. Например, только устройства с самой новой версией Антивирусной защиты соответствуют требованиям состояния.

Профили состояния устройства в настоящее время не поддерживаются на всех версиях клиентов, для получения дополнительной информации см. Создание профилей состояния устройства и проверок устройства.

Работа с Неподдерживаемыми клиентами Cato

Файервол может определить, соответствует ли Клиент проверке устройства, только для поддерживаемых клиентов. Для каждой проверки устройства вы можете определить поведение для неподдерживаемых клиентов, которые соответствуют другим требованиям правила файервола (Источник, Приложение/Категория и так далее):

Пропустить проверку устройства и применить действие файервола для неподдерживаемых клиентов
Применить проверку устройства, и клиент не соответствует правилу файервола, и действие не применяется

Следующая таблица объясняет поведение для неподдерживаемых клиентов, когда соединение соответствует всем остальным настройкам правила файервола. Поведение зависит от того, включена или отключена (отмечена) опция Пропустить эту проверку для неподдерживаемой версии клиента SDP в проверке устройства.

Неподдерживаемые клиенты	Действие правила файервола	Поведение клиента
Пропустить проверку (включена)	Блокировать	Неподдерживаемые клиенты автоматически пропускают проверку устройства и блокируются (они не могут подключиться)
Пропустить проверку (включена)	Разрешить	Неподдерживаемые клиенты автоматически пропускают проверку устройства и разрешены (они могут подключиться)
Применить проверку (отключено)	Блокировать	Неподдерживаемые клиенты не проходят проверку устройства, файервол пропускает это правило (не применяет действие блокировки к соединению)
Применить проверку (отключено)	Разрешить	Неподдерживаемые клиенты не проходят проверку устройства, файервол пропускает это правило (не применяет действие разрешения к соединению)

Добавление Требований к Источнику устройства

Условие Источник подключения позволяет вам определять геолокацию устройства, которое соответствует правилу. Например, разрешите доступ к конфиденциальной информации за сайтом, но не при удаленной работе.

Добавление Требований к Атрибутам Пользователя

Условие Атрибут пользователя позволяет определить критерии на основе уровня риска или уровня уверенности пользователя. Например, разрешить доступ к Salesforce только тогда, когда уровень доверия пользователя высок.

Использование атрибута уровня уверенности позволяет вам применять требование о более высоком уровне аутентификации (подъем аутентификации) при доступе к конфиденциальным ресурсам. При блокировке доступа можно организовать кастомный шаблон, информирующий пользователя, почему он был заблокирован и что нужно сделать, чтобы добиться доступа.

Настройка Условий устройства в Правиле

Вы можете настроить настройки критериев устройства в новом или существующем правиле брандмауэра.

Чтобы настроить условия устройства для правила брандмауэра:

В разделе Безопасность панели навигации выберите Межсетевой экран Интернета или Межсетевой экран WAN.
Нажмите Новый, чтобы создать новое правило, или нажмите на значок Редактировать в столбце Критерии для существующего правила.
In the Criteria section, configure the Device Attributes, Platforms, Countries, and Profiles that are required to match this rule.
Нажмите Применить.

Условия критериев настроены для правила.

Пример Правил брандмауэра с Условиями устройства

Это пример правила брандмауэра WAN, который позволяет трафик в обоих направлениях для всех пользователей SDP, которые соответствуют всем следующим условиям Устройства: использование устройства с ОС Windows, физически расположенного в Южной Корее, и соответствующего требованиям устройства Профиль Политика тестирования.

Это пример правила межсетевого экрана Интернета, которое является исключением из правила, блокирующего категорию Социальные сети. Исключение разрешает трафик, который соответствует следующим условиям устройства: использование устройства Windows или macOS и физически находящегося в США.

Пример Правил брандмауэра с Атрибутами Пользователя

Это пример правила межсетевого экрана для Интернета, которое блокирует трафик к Salesforce для всех пользователей с Низким уровнем доверия.

Когда пользователь заблокирован, ему предоставляется отдельная страница блокировки, информирующая его о том, что нужно сделать для получения доступа к SalesForce.

Лучшие практики для внедрения Условий устройства в брандмауэре

Добавить Состояние устройства Профили в правила с разрешением действий
Определите Профиль устройства с минимальными требованиями для разрешения подключения устройств (устройства, не соответствующие этим требованиям, блокируются)