注意
注意: 即将自动迁移站点局域网防火墙规则到账户级策略
我们最近发布了Socket 下一代局域网防火墙,提供账户级配置和第七层实施。 从2025年7月1日开始,我们将把现有的站点级局域网防火墙规则迁移到账户级策略。
- 每个站点级规则将自动在新策略中配置为网络规则以指定路由,并配置为防火墙规则以允许或阻止流量。
- 每个站点的规则将作为独立部分添加到规则库中。
- 迁移是一个无缝的自动过程,预计不会中断服务。
- 如果您有兴趣在7月1日前迁移您的策略,请联系cato-releases@catonetworks.com。
概览
Socket的默认行为是将所有WAN和互联网流量转发到PoP进行安全检查。 这包括站点内相邻网络段之间的LAN流量(例如VLANs)。 在某些情况下,您可能希望覆盖默认行为,并在站点上配置Socket以允许或阻止两个网络段或主机之间的通信,直接在Socket上进行,而不将流量发送到Cato PoP。 通过LAN防火墙策略,您可以直接在Socket上配置允许或阻止LAN流量的规则。 可以选择为每条规则启用跟踪(事件)。
注意
注意:LAN防火墙是本地路由策略的增强功能。 更多信息请参见以下LAN防火墙的使用先决条件和将本地路由策略升级到LAN防火墙。
LAN防火墙允许您在Socket级别上创建策略,根据您的需求允许或阻止某些类型的流量。
下图展示了一项允许从LAN1到LAN2的LAN防火墙规则。
该图显示了一条阻止从LAN1到LAN2的流量的LAN防火墙规则。
以下是LAN防火墙配置规则库示例。 每条规则的解释如下:
规则1 - '阻止访客' - 此规则阻止使用'Guest-Wifi'网络的主机访问站点中的任何其他主机或内部资源,同时跟踪这些事件。 主机仍然可以访问互联网。
规则2 - '允许文件共享' - 此规则仅允许连接到'Corp-Users'网络的主机通过HTTPS或SMB (TCP/445)连接到'File-Servers'本地网络的服务器。 每个流量在事件中被跟踪。 通过本地允许策略,SMB和HTTPS之间的隧道开销有所减少,因为流量在站点上本地管理,而不通过隧道。
规则3 - '允许CCTV服务器' - 此规则允许'IOT-Cameras'网络的主机仅通过HTTPS连接到'IOT-File-Servers'网络。 每个流量在事件中被跟踪。
隐含行为 - 任何其他未在规则库中定义的主机流量将在返回到'File-Servers'之前发送到Cato PoP进行检查。 例如,任何从'Corp-Users'到'File-Servers'的TCP/21 (FTP)流量将不符合示例规则库并将触发默认行为(将流量发送到Cato PoP)。
LAN防火墙策略按从第一个到最后配置的规则的顺序处理。 一旦匹配到规则,就会应用一个动作。 否则,默认情况下流量被发送到Cato PoP。
规则库顶部的规则具有更高的优先级,因为它们在规则库中较低的规则之前应用于连接。 例如,如果连接在规则#3上匹配,动作将应用于连接,防火墙将停止检查它。 防火墙不会继续应用规则#4及以下规则到连接。 您可以提高LAN防火墙的效率,并为匹配最大连接数的规则给予高优先级。
LAN防火墙是现有本地路由策略的增强功能。 此功能在每个站点启用。
确保站点中的所有Socket都运行Socket版本18.0或更高版本。
-
如果站点未配置本地路由规则,您可以立即将其升级到LAN 防火墙策略
-
如果站点已配置本地路由规则,请将本地路由规则迁移到LAN防火墙,请参见 将本地路由策略升级到LAN防火墙
-
升级到LAN防火墙后,启用该功能(屏幕右上角的LAN防火墙已启用切换)。
当此功能禁用时,所有流量都将发送到PoP。
本节说明如何定义LAN防火墙的规则以及您可以配置的对象、端口和服务。
创建一个新的LAN防火墙规则,并配置该规则的设置以管理LAN流量的路由。 使用下方添加规则选项,轻松在规则库中添加规则到正确位置。
注意
注意:将新配置应用于Socket可能需要一分钟。
定义LAN防火墙规则:
-
从导航菜单中,点击网络 > 站点并选择站点。
-
从导航菜单中,点击站点配置 > LAN防火墙。
-
点击新建。 添加规则面板打开。
-
在常规部分:
-
为新规则输入一个名称。
-
默认情况下,规则是已启用。 您可以使用已启用开关来禁用规则。
-
在方向下,选择To以仅允许单方向流量,或双向以允许双向流量。
-
选择规则顺序。 我们建议您为更具体的规则定义高规则顺序,为不太具体的规则定义低规则顺序。
注意:请参阅"使用LAN防火墙规则库"部分,了解更多规则顺序配置。
-
-
展开来源和目的地部分,定义此规则的流量来源和目的实体。
-
展开服务/端口部分,选择该规则适用的协议。
-
如果选择了端口/协议,请按"协议/端口"格式定义相关端口和协议(例如 TCP/80-88,UDP/53,ICMP等)
-
如果选择了简单服务,选择相关的第4层服务。
预定义服务列表基于每个服务的RFC定义。
-
-
NAT部分:
-
启用NAT - 可选地,在输出接口上启用NAT。 这将所有原始IP转换为一个NAT IP。
-
-
在操作部分:
-
本地允许 - 此操作允许在Socket局域网网络之间匹配本地流量。
-
本地阻止 - 此操作在Socket局域网网络之间本地阻止匹配流量。
注意: 如果流量不与任何规则匹配,默认操作是发送到PoP。
-
-
在操作部分下跟踪:
-
可选地,启用事件复选框。 当匹配时,将为此规则生成一个事件。
-
-
点击应用,然后点击保存。
在一些场景中,站点内的LAN网络之间需要使用NAT,这可能是在两个(或多个)直接连接的网络之间,或在路由网络(静态路由或BGP路由)之间。
-
NAT仅能在To方向上配置。
-
在您保存规则的配置后,Cato管理应用程序会自动计算该规则的出站网络和出站IP。
可以定义以下来源和目的地对象:
-
全球范围 - 站点LAN接口的原生范围。
-
主机 - 在站点中定义的主机和服务器。
-
接口子网 - VLAN、路由或直接范围,或是次要的AWS vSocket原生范围。
-
网络接口 - 为站点的LAN接口定义的子网和网络范围。
-
任何 - 站点内的任何来源或目的地。
您可以选择为局域网防火墙中每个已定义规则启用事件跟踪。
注意
注意: LAN防火墙流量不会在应用程序和网络分析仪表板中可见。
事件出现在 站点监控 > 事件 下。
-
事件类型 - 安全性
-
子类型 - LAN防火墙
要筛选LAN防火墙事件:
-
进入 主页 > 事件。
-
点击 过滤器 并选择相关字段、运算符和值。
-
字段 - 可以选择多个字段作为过滤器。 例如,我们可以选择筛选 "源站点" 或 "子类型" (LAN 防火墙)
-
运算符 - 选择包括或排除特定值(是, 不是)或多个值(在内, 不在内),例如使用运算符 "在内" 的 "源站点" 允许选择多个源站点作为值。
-
值 - 该字段的值。
-
-
点击 添加过滤器。
在下面的示例中,您可以看到LAN防火墙事件的详细信息。
-
操作 - 阻止或监控。 (流量被局域网防火墙在本地阻止或允许)
-
已配置的主机名称 - 如果可用,源IP的附加主机信息。
-
子类型 - LAN防火墙。 由LAN防火墙生成的所有事件将具有此子类型。
-
规则 - 生成此事件的已定义规则名称。
与由Cato PoP生成事件的WAN或互联网防火墙不同,LAN防火墙事件是在Socket本身上生成的。 这些事件通过站点隧道发送,以存储在Cato 管理应用程序中。
通过隧道的所有流量在LAN防火墙事件之前被优先处理,其默认QoS优先级为255,可能会产生额外开销。
Cato建议仅跟踪高优先级的LAN防火墙规则,以避免通过隧道产生额外的开销。
0 条评论
请登录写评论。