管理Socket下一代局域网防火墙策略

本文解释了如何配置Socket下一代局域网防火墙规则以在Socket中本地路由和控制站点流量。有关Socket Next Gen局域网防火墙的更多信息，请参见内容是Socket Next Gen局域网防火墙。

概览

配置局域网网络规则，以定义通过局域网传输的路由流量，然后创建相关的局域网防火墙规则，以强化流量的安全性访问权限策略。

这是一个配置策略的高级工作流示例：

确定需要第七层执行能力的站点，并在策略中配置它们。

这将启用LAN防火墙规则的第七层执行能力，以及站点的第七层数据事件。
监控 Socket 中央处理器使用率性能和站点事件，以评估启用第 7 层的影响。
创建局域网网络规则以定义哪些站点流量通过 Socket 本地路由，而不是通过广域网。
对于每个局域网网络规则，创建局域网防火墙规则以强化流量的安全性访问权限策略。

启用第 7 层站点功能

为站点的流量启用第七层检查功能。启用后，无论是否配置了局域网防火墙规则，Socket 都会对流量进行深度数据包检查，只要有定义为使用局域网传输的流量（请参见什么是Socket新一代局域网防火墙）。这意味着第七层数据出现在站点流量的事件中，包括应用程序、应用风险和自定义应用等字段。这也会影响Socket的CPU使用率。

要启用站点的第 7 层功能：

从导航菜单中，点击安全 > 局域网防火墙。

局域网防火墙页面打开，显示您现有的未发布修订版或最新发布的修订版。
选择第 7 层站点选项卡。
点击新建。 添加站点面板打开。
在站点下，从 Socket 站点的下拉列表中选择一个或多个站点。
点击应用。该站点已添加到第 7 层站点列表中。
点击保存。已为站点配置第 7 层功能。

创建局域网网络规则

创建新建网络规则并配置设置以定义流量的传输。对于使用LAN传输定义的规则，您可以添加LAN防火墙规则来管理流量的访问控制。有关更多信息，请参见下面创建局域网防火墙规则。

要创建局域网网络规则：

从导航菜单中，点击安全 > 局域网防火墙。

局域网防火墙页面打开，显示您现有的未发布修订版或最新发布的修订版。
点击新建，然后从下拉菜单中选择新建局域网网络规则。 新建网络规则面板打开。
输入规则的名称。
使用滑块启用或禁用规则（绿色为启用，灰色为禁用）。
配置新规则的位置和方向。
- 默认情况下，规则在一个方向上应用，从来源上传到目的地。点击方向下拉菜单，将规则设置为在双向操作。
展开站点部分，选择规则适用的一个或多个站点或站点群组。默认值为任何。
展开来源部分，选择该规则流量来源的一个或多个对象。
1. 选择类型（例如：主机、网络接口、IP、用户、用户组、任何）。默认值为任何。
2. 必要时，从下拉列表中选择该类型的特定对象。
展开目的地部分，选择该规则的一个或多个目的对象。
1. 选择类型（例如：主机、网络接口、IP、用户、用户组、任何）。默认值为任何。
2. 必要时，从下拉列表中选择该类型的特定对象。
展开 信任网络标准 部分并将设备条件添加到规则中。有关更多信息，请参阅将设备条件添加到防火墙规则。默认值为任何。
展开服务/端口部分，选择规则应用的协议，选项如下：
- 简单服务 - 从列表中选择相关的第四层服务。
  
  预定义服务列表基于每个服务的RFC定义。
- 自定义服务 - 以“协议/端口”格式输入相关端口和协议（例如TCP/80-88，UDP/53，ICMP）
默认值是任何。
（可选）展开NAT部分，以启用出站接口上的NAT。这将所有原始IP转换为一个NAT IP。
选择与规则匹配的流量的传输。选项如下：
- 局域网 - 流量通过Socket在本地路由，不发送到PoP
- WAN - 流量通过WAN发送到PoP进行检查
点击保存。

更改已保存到您的未发布修订版本中，并可用于编辑，直到它们被发布或丢弃。

创建LAN防火墙规则

创建一个新的LAN防火墙规则并配置设置以管理流量的访问控制。 LAN防火墙规则只能配置在其父LAN网络规则范围内的对象。

启用第七层能力的站点规则可以包括应用层对象的条件，例如应用程序和域名。如果不启用第七层能力的站点规则包括这些对象，规则将无法正常运行。

注意： 即使流量在 PoP 上传递并返回同一站点，但未匹配局域网防火墙规则的同一站点内的流量仍被视为广域网流量。

注意

注意： 在规则的来源和目的地字段中使用用户和用户组对象，或者在规则中使用设备信任网络标准时，请联系 feature-releases@catonetworks.com 以获取关于启用和使用该功能的更多信息。

要创建LAN防火墙规则：

从导航菜单中，点击安全 > 局域网防火墙。

局域网防火墙页面打开，显示您现有的未发布修订版或最新发布的修订版。
点击新建，并从下拉菜单中选择新建局域网防火墙规则。 新防火墙规则面板打开。
输入规则的名称。
使用滑块启用或禁用规则（绿色为启用，灰色为禁用）。
配置规则的位置，并从规则下拉菜单中选择相关的参考规则，如下所示：
- 对于规则之前和规则之后选项，从规则下拉菜单中选择相关LAN网络规则下的LAN防火墙规则。
- 对于规则中的第一条和规则中的最后选项，从规则下拉菜单中选择该规则的父局域网网络规则。
配置规则的方向。
- 默认情况下，规则应用于单一方向，从源到目的地。点击方向下拉菜单，将规则设置为双向操作。
展开来源部分，选择此规则流量来源的一个或多个对象。
1. 选择类型（例如：主机、网络接口、IP、用户、用户组、任何）。默认值是任何。
2. 在需要时，从下拉列表中选择该类型的特定对象。
展开目的地部分，选择此规则的一个或多个目的地对象。
1. 选择类型（例如：主机、网络接口、IP、用户、用户组、任何）。默认值是任何。
2. 在需要时，从下拉列表中选择该类型的特定对象。
展开应用/类别部分，选择规则的一个或多个应用程序。

当规则中有多个应用/类别对象时，它们之间是或关系。默认值是任何。

注意：仅为启用第七层能力的站点的规则配置应用/类别对象。否则，规则将无法正常运行。
展开服务/端口部分，选择规则应用的协议，选项如下：
- 简单服务 - 从列表中选择相关的第四层服务
  
  预定义服务列表基于每个服务的RFC定义。
- 服务 - 从列表中选择相关的第七层服务
- 自定义服务 - 以“协议/端口”格式输入相关端口和协议（例如TCP/80-88，UDP/53，ICMP）
默认值是任何。
选择此规则的操作。选项是允许和阻止。
（可选）配置跟踪选项以生成事件和发送通知。频率从第一次通知发送后开始计数。

有关通知的更多信息，请参阅警报部分中关于订阅组、邮件列表和警报集成的相关文章。
点击保存。

更改已保存到您的未发布修订版本中，并可用于编辑，直到它们被发布或丢弃。

监控和事件

您可以选择为下一代局域网防火墙策略中的每个已定义规则启用事件跟踪。

注意

注意：局域网防火墙流量将不会在应用程序和网络分析仪表板中可见。

事件出现在站点监控 > 事件下。

事件类型 - 安全性
子类型 - LAN 防火墙

要过滤 LAN 防火墙事件：

前往主页 > 事件。
点击过滤器并选择相关字段、操作员和值。
1. 字段 - 可以选择多个字段作为过滤器。例如，我们可以选择过滤“源站点”或“子类型”（LAN 防火墙）
2. 操作员 - 选择包括或排除特定值（是，不是）或多个值（在内，不在内），例如选择操作员“在内”的“源站点”允许选择多个源站点作为值。
3. 值 - 字段的值。
点击添加过滤器。

在以下示例中，您可以查看 LAN 防火墙事件的详细信息。

操作 - 阻止或监控。（流量已被阻止或局域网防火墙本地允许）
配置的主机名称 - 源 IP 的附加主机信息（如果可用）。
子类型 - LAN 防火墙。由 LAN 防火墙生成的所有事件都将具有此子类型。
网络规则 - 生成事件的 LAN 防火墙规则的父 LAN 网络规则。
规则名称 - 生成事件的 LAN 防火墙规则的名称。

与由 Cato PoP 生成事件的 WAN 或互联网防火墙不同，LAN 防火墙事件是在 Socket 内部生成的。这些事件通过站点隧道发送以存储在 Cato 管理应用程序中。

隧道上的所有流量在 LAN 防火墙事件之前优先处理，LAN 防火墙事件的默认 QoS 优先级为 255，可能会产生额外开销。

Cato 建议仅跟踪高优先级 LAN 防火墙规则，以避免隧道上的额外开销。

管理Socket下一代局域网防火墙策略

概览

启用第 7 层站点功能

创建局域网网络规则

创建LAN防火墙规则

注意

监控和事件

注意

这篇文章有帮助吗？

0 条评论