Настройка удаленной переадресации портов для учетной записи

Удаленная переадресация портов (RPF) позволяет направить входящее соединение из Интернета через Cato Cloud к внутреннему хосту LAN. Затем соединение получает преимущества различных сервисов безопасности Cato.

Примечание

Примечание: RPF не поддерживается для PoP, которые расположены в Китае. Вы не можете выбрать выделенный IP для этих китайских PoP.

Обзор настроек удаленного перенаправления портов с Cato

Вы можете контролировать входящий контроль доступа к ресурсам RPF, используя подход разрешенного списка или заблокированного списка:

  • Разрешенный список — блокирует все источники (IP-адреса и диапазоны) и РАЗРЕШАЕТ только те источники, которые специально настроены
  • Заблокированный список — разрешает все источники (IP-адреса и диапазоны) и блокирует только те источники, которые специально настроены

Метод заблокированного списка рекомендуется для ситуаций, когда вам нужно контролировать доступ к ресурсам RPF с выходом в Интернет, и разрешенные источники не известны или не определены. Этот подход предоставляет возможность настроить список заблокированных источников через Приложение Управления Cato или API. Список блокировки может основываться на списках блокировки, поддерживаемых клиентом, приватных фидах безопасности, специфических гео-записях и индикаторах от сторонних систем.

Примечание

Примечание: Служба IPS Cato защищает входящий трафик RPF, однако инспекция TLS не выполняется на входящем трафике. Это означает, что IPS не может инспектировать содержимое зашифрованного трафика, но IPS инспектирует трафик на основе проверки репутации (например, сканеры, портоотчиcтители, известные C&Cs и так далее).

Защита от подмены в файерволе Cato

Одной из основных функций NGFW является защита от атак spoofing. Движки безопасности в Cato Cloud неявно отбрасывают любое соединение, если исходный IP находится за пределами области настроенной сущности (например, сайта, диапазона сети, устройства или пользователя). Это блокирует атаки spoofing и предотвращает нарушения настроенной логической топологии.

Редакции политики и параллельное редактирование несколькими администраторами

Политика удаленной переадресации портов позволяет разным администраторам редактировать политику параллельно. Каждый администратор может редактировать правила и сохранять изменения в своей личной ревизии, а затем публиковать их в политике учетной записи (опубликованная ревизия). Для получения дополнительной информации о том, как управлять ревизиями политики, см. Работа с ревизиями политики.

Понимание автономной аналитики

RPF_auto.png

Аналитика настроек удаленного перенаправления портов представляет собой список лучших практик, оценивающих политику настроек удаленного перенаправления портов и показывающих, как они соответствуют рекомендациям Cato. Следование этим рекомендациям оптимизирует конфигурацию межсетевого экрана и улучшает безопасность.

Существуют два типа аналитики:

  • Иконка звезды (управляемая AI): Включенные правила в вашей политике настроек удаленного перенаправления портов автоматически анализируются Искусственным интеллектом (AI) для выявления проблем, таких как правила, которые могут быть отброшены или изменены, например:

    • Истекшее правило или Правило с будущей датой истечения: правила, созданные для удовлетворения конкретной потребности, и имеют желательную дату окончания срока, которая уже прошла, или которую ещё не достигли, или которую невозможно доказать/оценить.
    • Временное правило: Введено как краткосрочное решение для удовлетворения немедленной потребности. Эти правила в основном создаются для временного функционирования в то время как корректное или постоянное решение внедряется или разрабатывается.
    • Тестовое правило: Правила, явно созданные для проверки, отладки или экспериментов с конкретной функцией или сценарием.
  • Основываясь на конфигурации: Конфигурации и настройки политики удаленного перенаправления портов обеспечивают следование лучшим практикам.

Включение удаленного перенаправления портов

Чтобы включить удаленное перенаправление портов:

  1. Из меню навигации выберите Безопасность > Удаленное перенаправление портов.
  2. Нажмите ползунок отключено. Ползунок зелёный, чтобы указать, что удаленное перенаправление портов включено.
  3. Нажмите Сохранить. Удаленное перенаправление портов теперь включено для учётной записи.

Определение правил удаленного перенаправления портов

Внешний IP для правила RPF — это выделенный IP-адрес, предоставленный Cato. Для получения дополнительной информации см. Заказать IP-адреса для аккаунта. Для внутренних приложений используйте Внутренний IP и Порт в правиле.

Когда вы определяете правило RPF, доступны различные параметры для настройки Разрешенные удаленные IP:

  • Введите конкретный IP-адрес или диапазон IP в одном из следующих форматов:

    • Диапазон IP-адресов - 192.0.2.10-192.0.2.20
    • Подсеть (CIDR) - 192.0.2.0/24

    Вы также можете вставить список, разделенный запятыми, с несколькими IP-адресами и диапазонами, например: 10.1.1.1, 10.2.1.1-10.2.1.105

  • Включите отслеживание и уведомления.

Если ваша сеть требует сопоставления нескольких внешних портов с одним внутренним портом, можно настроить это, создав несколько правил RPF.

Сопоставление внешних и внутренних портов основано на индивидуальном соответствии по порядку Внешний и Диапазон внутренних портов. Например, диапазон внешних портов 5000–5005 сопоставляется с диапазоном внутренних портов 6103–6108. Это означает, что внешний порт 5000 сопоставляется с внутренним портом 6103, внешний порт 5001 сопоставляется с внутренним портом 6104 и так далее.

RemotePortForwarding.png

Примечание

Примечание: Для учетных записей с сайтами IPsec, если внешние IP-адреса в правиле RPF пересекаются с IP-адресами сайтов IPsec, убедитесь, что правило исключает порты туннеля IPsec UDP/500 и UDP/4500.

Чтобы определить правило удаленного перенаправления портов:

  1. В меню навигации нажмите Безопасность > Удаленная переадресация портов.

    Страница "Удаленная переадресация портов" открывается на вашем существующем неопубликованном ревизии или на последней опубликованной ревизии.

  2. Нажмите Новый. Открывается панель Добавить правило.
  3. Введите Имя для правила.
  4. (Опционально) Выберите Перенаправление ICMP, чтобы включить перенаправление ICMP-сообщений для этого правила.
  5. В разделе Внешний определите выделенные Cato внешние IP и диапазон внешних портов для портов, мониторинг которых осуществляется точкой присутствия.
  6. В разделе Внутренний укажите внутренний IP-адрес, на который перенаправляется трафик, и диапазон внутренних портов.
  7. В разделе Удаленные IP выберите, является ли правило Разрешенным списком или Заблокированным списком.
    1. Чтобы определить единственный трафик, который РАЗРЕШЕНО подключать к хосту:
      1. Выберите Разрешенный список.
      2. Выберите Источники трафика на основе IP или Подсети. Это IP-адреса и диапазоны, которым разрешено выполнять удаленное перенаправление портов на хосте.
      3. Нажмите add.png (Добавить), чтобы добавить больше разрешенных удалённых IP.
    2. Чтобы разрешить весь трафик на этот хост и определить источники, которые ЗАБЛОКИРОВАНЫ и не могут подключиться к нему:
      1. Выберите Заблокированный список.
      2. Выберите Источники трафика на основе IP или Подсети. Это IP-адреса и диапазоны, которые заблокированы и не могут выполнять удаленное перенаправление портов на хосте.
      3. Нажмите add.png (Добавить), чтобы добавить больше заблокированных удалённых IP.
  8. (Опционально) Определите уведомления по электронной почте для трафика, который соответствует правилу. Для получения дополнительной информации см. Оповещения на уровне аккаунта и системные уведомления.
  9. Нажмите Применить. Правило добавлено.

  10. Нажмите Сохранить.

    Изменения сохраняются в вашу неопубликованную ревизию и доступны для редактирования до тех пор, пока они не будут опубликованы или отброшены.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев