默认情况下,站点后面的局域网(LAN)流量通过广域网(WAN)发送到PoP进行流量检查。 这意味着,对于同一站点后面的主机,流量通过最后一程(last-mile)发送到PoP,然后再发送回同一站点。 您也可以使用Socket作为局域网(LAN)防火墙在本地分段流量,无需第三方防火墙设备。
Socket下一代局域网(LAN)防火墙允许您在路由和分段站点后面的流量时应用从第2层到第7层(应用层)的策略控制。 本地路由流量还确保关键环境(如OT和IoT)可以继续在本地网络上运行,即使互联网连接中断。
LAN防火墙是一个账户级别的策略,它让您可以配置规则以在多个站点应用企业范围的策略,而无需手动配置每个站点。 有关配置下一代局域网防火墙规则的更多信息,请参见Socket下一代局域网防火墙访问权限策略管理。
有关不同Socket类型的下一代局域网防火墙吞吐量的信息,请参见Cato云阈值和限制。
示例公司有200个全球分支机构使用相同的局域网网络设计。 其中包括ID为10的VLAN用于服务器,ID为20的VLAN用于关键业务OT设备。 网络团队决定在本地路由这些VLAN之间的流量,使OT设备和服务器能够继续通信,即使出现ISP中断。 此外,他们只希望在VLAN之间允许特定协议。
网络团队创建了一个局域网网络规则,将站点配置为包含200个相关站点的组对象,将传输配置为局域网以在本地路由流量。 然后,他们在局域网网络规则下创建了一个局域网防火墙规则,将VLAN 10和VLAN 20分别配置为来源和目的地,方向为双向。 在服务/端口下,他们配置了想要允许的协议,并将操作配置为允许。
此单一局域网防火墙规则适用于每一个200个本地网络,无需为所有站点配置单独规则。
Socket 下一代 LAN 防火墙的最大支持吞吐量是基于由 Cato 定义的 TCP 和 UDP 应用程序组合。
|
Socket 型号 |
L4 Mbps 吞吐量 |
L7 Mbps 吞吐量 |
|---|---|---|
|
X1500 |
1000 |
740 |
|
X1500B |
1000 |
1000 |
|
X1600 和 X1600 LTE |
8000 |
2500 |
|
X1700 |
8000 |
8000 |
|
X1700B |
13000 |
10000 |
注意: 性能和吞吐量是在理想测试条件下根据 1500 包 MTU 测量的。
本节解释了理解第7层局域网(LAN)防火墙的作用和功能的基本概念。
要理解局域网(LAN)防火墙的作用及其与其他Cato策略的关系,首先需要了解Cato将流量识别为三种不同类型之一:局域网(LAN)、广域网(WAN)或互联网。 了解这些流量类型的区别和特性对于最佳策略规划和利用不同的Cato防火墙策略至关重要。 有关更多信息,请参阅开始使用Cato防火墙。
同一站点内主机间的流量可以被处理为局域网(LAN)流量(由Socket路由且不发送至PoP),或作为广域网(WAN)流量(发送至PoP再返回站点)处理,具体取决于您的配置。 Socket的默认行为是将所有流量路由到PoP进行检查,然后PoP决定阻止或允许流量通过。 但符合局域网(LAN)防火墙策略的流量将被本地路由,不会发送至PoP。
当局域网中的主机流量到达Socket时,Socket会检查流量是否符合局域网(LAN)防火墙策略中的规则。
-
如果符合规则,Socket会将流量路由到本地目的地而不发送至PoP。
-
如果流量不符合任何局域网(LAN)防火墙规则,将被发送至PoP由广域网(WAN)或互联网防火墙处理。
了解关于定义局域网流量的更多信息,请参阅下面的访问权限策略。
以下是一个状态机图,展示了Socket局域网(LAN)防火墙如何处理来自本地网络上的主机的流量。
局域网(LAN)防火墙支持第2到第4层和第7层(应用层)检查,使您能够根据应用程序、服务和应用程序内的特定内容控制流量。 默认情况下,站点支持第2-4层功能,您可以在策略中定义启用了第7层能力的站点。 本节描述了第2-4层和第7层防火墙的区别。
第2-4层防火墙根据IP地址、端口和传输层协议(如TCP或UDP)等基本标准过滤流量。 对于这些标准,Socket防火墙可以基于第一个数据包决定是否允许或阻止流量。 虽然这种方法对于基本的流量控制有效,但它并不分析数据包中实际传输的数据。
第7层(应用层)防火墙检查数据包中的有效负载,以识别特定的应用程序、域名或协议。 例如,第7层防火墙可以区分SMBv1和SMBv3流量或识别产生流量的具体应用程序(例如Office 365)。 这种深入检查可以实现更细粒度的策略执行和改善对本地网络流量的控制。 然而,因为第7层检查需要分析额外的数据包以确定应用程序数据(例如,提取HTTP流量中的域名),并且需要比第4层处理更多的Socket资源。 在制定公司的局域网(LAN)防火墙策略和决定哪些站点启用第7层能力时,应将此因素考虑在内。
当您启用具有第七层功能的站点时,不论是否配置了防火墙规则,只要有已定义流量使用局域网传输,Socket就会对流量进行深度包检测(请参阅下面的访问权限策略)。 这意味着,站点流量事件中会出现第7层数据,包括诸如应用程序、应用风险和自定义应用等字段。
Socket通过首先确定局域网(LAN)流量的路由决策来应用局域网(LAN)防火墙策略——是否将流量发送到PoP或在本地路由。 其次,应用局域网(LAN)防火墙规则以确定流量是否被阻止或允许。
为此,局域网(LAN)防火墙策略包括局域网(LAN)网络和局域网(LAN)防火墙规则。 局域网(LAN)网络规则定义Socket如何路由流量,在局域网(LAN)本地或作为发送到PoP的广域网(WAN)流量。 一旦局域网(LAN)网络规则匹配并将传输定义为局域网,相关的局域网(LAN)防火墙规则决定流量是否被允许或阻止,Socket执行该规则。 如果流量不符合任何局域网(LAN)网络规则,则被视为广域网(WAN)流量并发送到PoP。
局域网(LAN)防火墙规则链接到单个局域网(LAN)网络规则,确保防火墙操作专用于该局域网(LAN)网络规则定义的流量。
以下部分描述了局域网(LAN)网络和局域网(LAN)防火墙规则的特性。
局域网(LAN)网络规则控制使用哪个传输(局域网或广域网)来路由不同网络主机或分段之间的流量。 这是为整个账户配置的全局策略,而不是针对特定站点。 这意味着每条规则可以配置为应用于账户中的多个站点。 例如,如果你为多个站点设置相同的VLAN配置,你可以创建一个单独的规则,应用于规则中定义的每个站点的VLAN。
局域网(LAN)网络规则进行第4层路由决策,不使用第7层功能。 例如,您可以定义网络规则,用于站点、VLAN或特定协议的条件,但不能根据应用程序制定条件。
一个局域网(LAN)网络规则可以作为它下多个局域网(LAN)防火墙规则的父规则。 在局域网(LAN)网络规则下有一个默认的任意(ANY)-任意(ANY) 阻止规则作为最后一条规则。 因此,如果流量符合局域网(LAN)网络规则,但不符合局域网(LAN)防火墙规则,则被阻止。
局域网(LAN)防火墙规则允许或阻止特定类型的流量,并跟踪这些事件以供监控和合规性目的。 每个局域网(LAN)防火墙规则直接链接到特定的父局域网(LAN)网络规则,并限于父规则的来源和目的地范围。 局域网(LAN)防火墙规则默认支持到第4层的分段,包括基于MAC地址的分段。 此外,对于配置为第7层功能的站点,局域网(LAN)防火墙规则可以包括基于应用程序、域名和其他第7层条件的智能流量过滤。
每个局域网(LAN)网络规则下配置一个默认的局域网(LAN)防火墙任意(ANY)-任意(ANY)阻止规则作为最后一条规则。 因此,如果流量匹配局域网络规则但不匹配LAN防火墙规则,则该流量将被阻止。 这种隐式行为通过确保只有明确允许的流量能够穿越本地网络,执行真正的零信任(Zero Trust)分段方法。
命中次数可以帮助您识别可以从策略中删除的未使用规则,并优化规则配置以更好地匹配所需流量范围。 规则的命中次数基于该规则产生的事件数量。 如果规则未生成事件,则命中次数为零。
命中次数包含两个数字:
-
策略中每个规则生成的事件的大致数量
-
相关规则命中相对于其他规则的频率 (按百分位数排序)
这些值每 24 小时更新一次,基于过去 14 天的流量。
您可以根据状态栏的颜色快速识别命中次数最高和最低的规则。 这种颜色反映了规则相对于其他规则的命中频率:
-
蓝色:0 - 24 百分位
-
绿色:25 - 49 百分位
-
橙色:50 - 74 百分位
-
红色:75 - 100 百分位
0 条评论
文章评论已关闭。