В этой статье обсуждается, как добавить условия для критериев устройства в базы правил WAN и Интернет брандмауэра для повышения безопасности и защиты.
Настройка Устройство для правил WAN и Интернет позволяет расширить область политики безопасности вашего брандмауэра, чтобы включить условный доступ на основе атрибутов фактического устройства конечного пользователя или других устройств, работающих в вашей сети, таких как IoT/OT. Вы можете указать требования доступа для устройств в сети. Например:
-
Межсетевой экран WAN -
-
Укажите источник правила для применения только к устройствам, соответствующим заранее определенной конфигурации или основанным на геолокации
-
Разрешить доступ к важному для бизнеса устройству OT только для определённых пользователей
-
-
Межсетевой экран Интернет -
-
Определите правила для SaaS-приложения, ограничивающие доступ на основе настроек устройства и местоположения
-
Блокировать доступ в Интернет для IP-камер в сети
-
По умолчанию настройки Устройства не влияют на трафик, так как они установлены на Любое и автоматически соответствуют всему трафику.
Для получения дополнительной информации о межсетевом экране Cato WAN и Интернета, см. статьи в Кейто межсетевые экраны.
-
Профили состояния устройства поддерживаются для следующих клиентов Cato:
-
Клиент для Windows v5.2 и выше
-
-
Прежде чем вы сможете добавить профиль устройства в Настройки для правила, вы должны создать и настроить Профиль устройства.
-
Известное ограничение - Правила, использующие профили устройства, применяются только при подключении пользователя с помощью Клиента Cato, как удаленно, так и при нахождении за Сокет (офисный режим).
Это настройка Устройство, которую вы можете добавить к правилу брандмауэра:
-
Атрибуты устройства - Атрибуты устройств, идентифицированные движком обнаружения Инвентаризация устройств.
-
Платформы - Операционная система устройства (ОС)
-
Страны - Страна источника для подключения на основе физического местоположения устройства (согласно геолокации IP-адреса)
-
Профили состояния устройства - Профили устройства (настроены в Доступ > Состояние устройства)
-
Источник подключения - Геолокация устройства (удаленно или за площадкой)
Когда вы настраиваете несколько условий для правила, они имеют взаимосвязь И, правило срабатывает, только если трафик соответствует критериям, определенным во всех пунктах.
Внутри условия (одна ячейка) объекты имеют связь ИЛИ. Например, правило, содержащее условие Платформы для Windows и macOS, соответствует всем устройствам Windows или macOS.
Это пример правила, где трафик должен соответствовать всем этим условиям Устройство: устройства Windows, расположенные в Индии, которые соответствуют требованиям Профиль устройства 1.
Используйте условие Атрибуты устройства для определения правил для устройств, обнаруженных в сети движком инвентаризации устройств. Вы можете использовать следующие атрибуты в правиле брандмауэра: Категория, Тип, Модель, ОС, Производитель, Версия ОС.
Выберите Тип атрибутов устройства и затем выберите значения из выпадающего списка. Список автоматически заполняется значениями устройств, обнаруженных в сети. Вы можете выбрать несколько Типов атрибутов устройства в правиле, и между ними действует И-отношение. Например, если вы выберете ОС как Windows и Производитель как Dell, условие будет применяться только к устройствам Dell с операционной системой Windows.
Однако, когда вы выбираете несколько значений в рамках одного Типа атрибутов устройства, между ними действует ОР-отношение. Например, если вы выберете Производитель со значениями Dell и HP, условие будет совпадать для устройств либо Dell либо HP.
Для страниц и функций инвентаризации устройств требуется отдельная лицензия на инвентаризацию устройств. Для получения дополнительной информации о покупке лицензии обратитесь к вашему представителю Cato.
Условие Платформы для правила брандмауэра позволяет вам определять операционные системы устройств, которые соответствуют правилу. Например, для определенного сегмента сети разрешайте доступ только к устройствам на Windows, macOS или Linux.
Условие Страны позволяет вам определять источник трафика, который соответствует правилу, на основе IP-геолокации устройства. Например, ограничьте доступ к сайту для филиала, чтобы только устройства, находящиеся в той же стране, что и офис, могли подключаться.
Условие Профили позволяет вам ограничивать правило только теми устройствами, которые соответствуют требованиям Профиля устройства. Это условие основано на функции состояния устройства, которая проверяет, соответствует ли устройство требованиям состояния. Например, только устройства с самой новой версией Антивирусной защиты соответствуют требованиям состояния.
Профили устройства в настоящее время не поддерживаются всеми клиентскими версиями, для получения дополнительной информации см. Создание профилей устройства и проверок устройства.
Файервол может определить, соответствует ли Клиент проверке устройства, только для поддерживаемых клиентов. Для каждой проверки устройства вы можете определить поведение для неподдерживаемых клиентов, которые соответствуют другим требованиям правила файервола (Источник, Приложение/Категория и так далее):
-
Пропустить проверку устройства и применить действие файервола для неподдерживаемых клиентов
-
Применить проверку устройства, и клиент не соответствует правилу файервола, и действие не применяется
Следующая таблица объясняет поведение для неподдерживаемых клиентов, когда соединение соответствует всем остальным настройкам правила файервола. Поведение зависит от того, включена или отключена (отмечена) опция Пропустить эту проверку для неподдерживаемой версии клиента SDP в проверке устройства.
|
Неподдерживаемые клиенты |
Действие правила файервола |
Поведение клиента |
|---|---|---|
|
Пропустить проверку (включена) |
Блокировать |
Неподдерживаемые клиенты автоматически пропускают проверку устройства и блокируются (они не могут подключиться) |
|
Разрешить |
Неподдерживаемые клиенты автоматически пропускают проверку устройства и разрешены (они могут подключиться) |
|
|
Применить проверку (отключено) |
Блокировать |
Неподдерживаемые клиенты не проходят проверку устройства, файервол пропускает это правило (не применяет действие блокировки к соединению) |
|
Разрешить |
Неподдерживаемые клиенты не проходят проверку устройства, файервол пропускает это правило (не применяет действие разрешения к соединению) |
Условие Источник подключения позволяет вам определять геолокацию устройства, которое соответствует правилу. Например, разрешите доступ к конфиденциальной информации за сайтом, но не при удаленной работе.
Вы можете настроить настройки критериев устройства в новом или существующем правиле брандмауэра.
Чтобы настроить условия устройства для правила брандмауэра:
-
В разделе Безопасность панели навигации выберите Межсетевой экран Интернета или Межсетевой экран WAN.
-
Click New to create a new rule, or click the Edit icon
in the Criteria column for an existing rule.
-
In the Criteria section, configure the Device Attributes, Platforms, Countries, and Profiles that are required to match this rule.
-
Нажмите Применить.
Условия критериев настроены для правила.
Это пример правила брандмауэра WAN, который позволяет трафик в обоих направлениях для всех пользователей SDP, которые соответствуют всем следующим условиям Устройства: использование устройства с ОС Windows, физически расположенного в Южной Корее, и соответствующего требованиям устройства Профиль Политика тестирования.
Это пример правила межсетевого экрана Интернета, которое является исключением из правила, блокирующего категорию Социальные сети. Исключение разрешает трафик, который соответствует следующим условиям устройства: использование устройства Windows или macOS и физически находящегося в США.
0 комментариев
Войдите в службу, чтобы оставить комментарий.