互联网和WAN防火墙策略-最佳实践

防火墙最佳实践概览

防火墙在保障企业网络安全和保护内部资源中发挥关键作用。 本文包含一些建议和最佳实践,以帮助您为您的组织创建最强的安全策略。 我们还解释了如何保持防火墙策略的整洁和可管理性。

互联网防火墙帮助您管理网络中用户和设备对各种网络服务、应用程序和内容的访问。 WAN防火墙允许您管理内部资源的WAN流量,以及用户与站点之间的流量。 本指南可帮助您配置和微调每个防火墙中的规则,以最大限度地提高安全策略的有效性。

有关特定规则设置的更多信息,请参见规则对象参考

规划防火墙安全策略

防火墙规则库有两种方法:允许列表和阻止列表。 将防火墙规则库列入允许列表意味着规则定义了防火墙允许的流量。 所有其他流量被防火墙阻止。 将防火墙规则库列入阻止列表则相反,规则定义了被阻止的流量。 所有其他流量被防火墙允许。 组织选择最适合其特定需求和情况的方法。

  • 允许列表安全策略的最终规则是任意任意阻止规则,用于阻止不符合允许规则的所有流量。

  • 阻止列表安全策略的最终规则是任意任意允许规则,用于允许不符合阻止规则的所有流量。

下面分别对于互联网和WAN防火墙的各个部分中讨论了每种方法的建议。

传统防火墙规则与NG防火墙规则

Cato的互联网和WAN防火墙使用两种不同类型的防火墙规则:

  • 传统防火墙规则(也称为简单规则)

  • 下一代(NG)防火墙规则(也称为复杂规则)

本节描述了这些规则类型之间的区别以及防火墙用来将它们应用于网络流量的逻辑。

传统防火墙规则 - 检查第一个数据包

Cato允许您定义网络安全策略并配置传统防火墙规则以控制网络中的进出流量。 Cato的传统防火墙规则只有以下一个或多个设置:

  • IP范围

  • ASN

  • 国家

  • 站点

  • 主机

  • 协议/端口

    • 可用协议:TCP, UDP, TCP/UDP 和 ICMP

传统防火墙引擎在第一个数据包上评估流量。 例如,网络管理员可以基于协议和端口配置防火墙规则。 对于这类规则,防火墙根据第一个数据包决定允许或阻止流量。

以下截图显示了一个传统的WAN防火墙规则示例,该规则阻止端口80上的TCP流量:

mceclip0.png

下图显示了从主机A到主机B的TCP连接示例以及传统防火墙引擎评估阻止规则的点:

mceclip1.png

注意

注意:传统防火墙引擎不会丢弃数据包。 PoP在不向目标(主机B)发送任何数据包的情况下完成TCP握手。 原因是为了显示阻止或提示操作的互联网重定向页面。 有关重定向页面的更多信息,请参见自定义警告/阻止页面

NG防火墙规则 - 深度数据包检查

Cato的NG防火墙引擎是有状态的,使用应用层数据检查以全面掌握和控制应用程序和服务。 它应用深度数据包检测(DPI)和多个安全引擎来检查流量。 NG防火墙引擎的关键要素是应用程序识别,它允许您定义基于应用程序和服务的规则来允许或阻止流量。 NG防火墙引擎根据应用程序、自定义应用程序、类别、自定义类别、服务、完全限定域名、域名等检查数据包内容。 例如,您可以定义一个规则以在网络中阻止uTorrent应用程序的流量。 为了检查通信流的数据内容,防火墙评估流中的多个数据包,包括有助于识别应用程序和其他内容负载属性的数据包。

下图显示了从主机A到主机B的TCP连接示例以及NG防火墙评估阻止规则的点:

mceclip3.png

互联网和WAN流量的最佳实践

本节包含与互联网和WAN防火墙相关的强安全策略的最佳实践。

排序防火墙规则

Cato Networks的WAN和互联网防火墙是有序防火墙。 防火墙顺序检查连接,并查看连接是否符合规则。 例如,如果连接匹配规则#3,则该操作应用于连接,并且防火墙停止检查。 防火墙不会继续将规则#4及以下应用于连接。

当防火墙规则顺序不正确时,可能会意外阻止或允许流量。 这可能导致不良用户体验或创建安全风险。 有关防火墙规则顺序的更多信息,请参阅防火墙知识库文章

对于大多数情况,推荐的规则库顺序为:

  • 特定阻止规则

  • 一般允许规则

  • 特定允许规则

  • 任意任意规则

    • 允许列表(默认WAN防火墙)使用最终阻止规则

    • 阻止列表(默认互联网防火墙)用户使用最终允许规则

优先处理传统防火墙规则

由于Cato防火墙遵循有序规则集,如果您在传统防火墙规则之前配置NG防火墙规则,DPI引擎将检查流量以识别应用程序或服务,然后再执行操作。 这意味着第一个数据包可以通过并到达其目的地。 因此,为了让传统规则正确保护您的网络并在第一个数据包上应用操作,它们需要具有高优先级并位于规则库的顶部(在任何NG防火墙规则之前)。 我们建议您将所有传统防火墙规则置于规则库顶部,在任何NG防火墙规则之前。

有关更多信息,请参见上文,传统防火墙规则与NG防火墙规则

WAN和互联网防火墙的DNS安全

Cato还建议为WAN和互联网防火墙配置以下设置,以进一步降低与DNS流量相关的风险:

  • 通过在防火墙策略中限制 DNS over HTTPS - DoH 服务,阻止对DNS的规避性使用

  • 在互联网防火墙中阻止DNS流量的 停放域应用程序类别

    block_parked.png
  • 正确定义WAN分段以阻止DNS重绑定攻击

每个防火墙规则的谓词数量上限

WAN和互联网防火墙策略每个规则支持最多128个谓词。

流量监控

防火墙规则的跟踪选项可让您监控和分析防火墙流量事件和通知。 我们建议您配置规则以生成阻止操作的事件,以便轻松监控尝试访问受限内容的来源。 您还可以为处理具有重大安全风险的流量的规则配置事件和通知。

作为最佳实践,我们建议使用监控记录所有互联网流量。 为此,添加一条明确的任何-任何允许规则作为最终互联网防火墙规则,并将其配置为生成事件。 这为网络上的所有互联网流量提供可见性,使您能够在维护可用性的同时更好地保护网络和用户。

有关电子邮件通知和事件的更多信息,请参见账户级警报和系统通知

规则的时间限制安排

时间设置允许您为防火墙规则定义特定的时间范围。 在时间范围之外,防火墙忽略此规则。 此功能可让您限制互联网访问并改进网络的访问控制。 例如,您可以在互联网防火墙中定义一个规则,仅在正常工作时间内阻止访问社交类别。 您还可以在WAN防火墙中创建一条规则,仅在工作时间允许访问云数据中心。 规则的操作部分提供了预设选项限制在工作时间

您还可以安排自定义时间限制,并将规则限制在指定的时间内。 确保时间早于时间,否则规则将无法正常运行。 如果您想创建跨越一天结束和下一天开始的限制,请创建两条规则并为每一天的相关时间定义限制。 例如,一条规则在星期一从23:00到23:59已定义限制,第二条规则在星期二从00:00到01:00已定义限制。

注意

注意:时间受限的防火墙规则根据用户类型的不同进行分类:

  • 对于站点,将使用配置的时区强制执行时间约束的防火墙规则

  • 对于ZTNA用户,时间约束防火墙规则将基于其公共IP地址的地理位置。 如果不可用,则使用账户时区的地理位置。 

简化防火墙管理

简单明了的防火墙规则库有助于实施强有力的安全策略,因为它更易于管理并降低混淆的可能性。 本节中的建议可帮助您创建明确且一致的安全策略并避免错误。

避免使用混乱的规则名称

当您创建一条规则时,为其指定一个具体且独特的名称。 自解释的规则名称可以让团队中的其他管理员轻松理解规则的用途。 命名不当的规则可能导致错误并产生混淆。

例如,将一条阻止赌博网站的互联网防火墙规则命名为阻止赌博,而不是含糊不清的封锁网站

不要禁用,删除

每条独立的防火墙规则都可以被禁用或启用。 然而,我们建议您仅在短时间内禁用规则。 对于已过时且不再使用的规则,将其从规则库中删除,而不是禁用。 禁用的规则使规则库更复杂且难以管理。

使用群组

当您创建防火墙规则时,使用用户或站点的群组并限制该群组成员的网络访问。 例如,您可以创建一个用户群组(资源>群组)并仅为此群组阻止互联网访问。

清晰命名具有例外情况的规则

例外是用于防火墙规则的强大工具,但它们可能使规则库难以阅读。 在您在规则中使用例外的情况下,命名规则时要显而易见地表明它们包含例外。 例如,阻止社交(带例外)

避免拥有过多的规则

虽然防火墙策略上可以添加的规则数量没有限制,但过多的规则可能导致性能问题并使策略难以管理。 我们建议设计规则库以避免需要非常多的规则。

保护互联网流量

Cato互联网防火墙检查互联网流量,允许您创建规则来控制互联网访问。 互联网防火墙基于一组安全规则,允许您允许或阻止站点和用户访问网站、类别、应用程序等。 互联网防火墙的默认方法是阻止列表(任何 任何 允许)。

以下屏幕截图展示了Cato管理应用程序中的示例互联网防火墙策略(安全性>互联网防火墙):

DefaultInternetFirewall.png

Cato互联网防火墙策略的最佳实践

本节包含帮助您保护账户互联网访问权限的最佳实践。

在Cato中管理QUIC流量

QUIC 是建立在 UDP 之上的一种新的多路复用传输协议。 HTTP/3 旨在利用 QUIC 的特性,包括消除流之间的首数据块阻塞。 QUIC 项目最初是 TCP+TLS+HTTP/2 的替代方案,旨在改善用户体验,尤其是页面加载时间。 Cato 能识别并阻止 QUIC 流量以及 GQUIC(Google QUIC)流量。

要在防火墙或网络规则中管理 QUIC 流量,请在相关规则中使用服务 QUIC 和应用程序 GQUIC。 这些是互联网防火墙为账户阻止 QUIC 流量的规则示例:

mceclip0.png

由于 QUIC 协议在 UDP 443 上运行,封装的 HTTP 流量未被解析。 这意味着应用分析屏幕仅显示 QUIC 流量的条目,而不是应用程序本身。

因此,我们建议创建特定规则来阻止QUIC和GQUIC流量,以便浏览器使用默认HTTP版本而非HTTP 3.0和QUIC。 这提供了应用程序使用的详细分析,而不仅仅是关于QUIC服务或GQUIC应用的使用报告。

避免在互联网规则中使用任意作为来源

对于允许互联网访问的规则,我们建议您在来源栏选择特定的站点、主机或用户,而不是使用任何选项。 允许任意流量进入互联网的规则是潜在的安全风险,因为您允许来自意外来源的流量。

以下截图显示了一条规则,其中来源栏设置为群组所有站点所有 SDP 用户,而不是任何

group_rule.png

注意

注意:如果您将新站点添加到您的账户,记得也将它们添加到相关的互联网防火墙规则中。

通过细化规则改善事件数据

使用任意作为某些设置的互联网防火墙规则可能会生成不包含重要和有用信息的事件。 例如,用任何应用程序配置的规则可能会生成不识别流量流中的应用程序的事件。 这是因为防火墙在完成应用识别前触发规则,因为任何应用程序都可以匹配该规则。 然后,当Cato安全堆栈完成应用识别进程时,这些应用使用情况数据将包括在应用分析屏幕中。 然而,这些事件并不包含所有相同的信息,因此可能难以继续深入调查应用程序的使用情况。

为帮助改进应用使用分析,我们建议您尽量减少在规则条件中使用任意,而是使用具体的应用程序、服务、端口等细化规则。

限制出站互联网流量

如果有必要为特定服务或端口配置允许任何互联网出站流量的防火墙规则,我们建议您阻止存在潜在安全风险的类别或应用程序。

例如,如果您有一条规则允许所有 HTTP 流量,请为以下类别添加规则例外:作弊、赌博、暴力和仇恨、停放域名、裸露、武器、性教育、邪教和匿名工具。 这些是可能包含恶意内容的类别示例,例外限制了这些类别的互联网访问。

使用安全协议

通常,我们建议针对允许互联网流量的规则,使用安全加密协议,而不是常规的纯文本协议。 例如,使用 FTPS 代替 FTP,或 SSH 代替 Telnet 或 SNMP。 使用加密协议允许的互联网流量被加密,黑客很难拦截和解密。

提示用户访问风险网站

如果您有一条规则允许访问安全风险较小的网站,我们建议您使用 提示 操作,而不是 允许。 当用户尝试访问这些网站之一时,提示操作将用户重定向到一个网页,他们可在此决定是否继续。 因为这些网站为您的网络增加了安全风险,我们建议您跟踪符合该规则的流量事件。

为了提示操作正常执行,我们建议您在所有支持的设备上安装 Cato 证书。

通过使用自定义类别简化规则管理

在规则中包含许多类别,会使规则库更难管理。 您可以定义一个包含所有相关类别的自定义类别,然后将此单个自定义类别添加到规则中。 定义使用一个自定义类别的简单规则,使规则库易于阅读和搜索。

例如,您可以创建一个名为 Internet 配置文件的自定义类别,其中包含您想允许访问的所有类别、应用程序和服务,然后将自定义类别添加到相关的互联网防火墙规则中。 为了保持规则更新,您可以简单地编辑自定义类别,并移除或添加必要的更新。

这些是使用自定义类别实施最佳实践规则的其他建议:

  • 为您希望定义为 提示 操作的所有流量创建规则。 然后,创建一个名为提示站点的自定义类别,包含所有相关网址和类别,并将其添加到规则中。 提示 操作的推荐类别包括:作弊、赌博、暴力和仇恨、低俗、停放域名、武器、性教育、邪教和匿名工具。 为规则配置跟踪,以生成匹配流量的事件。

  • 为您希望定义为 阻止 操作的所有流量创建规则。 然后,创建一个名为阻止站点的自定义类别,包含所有相关网址和类别,并将其添加到规则中。 阻止操作的推荐类别包括:僵尸网络、已受损、色情、键盘记录器、恶意软件、钓鱼、间谍软件、非法药物、黑客、垃圾邮件、有问题。 配置规则的跟踪以生成匹配流量的事件。

互联网防火墙中的最终规则是隐式的任意-任意-允许规则,但我们建议您添加显式的任意-任意-允许规则作为最终规则。 通过这种方式,您可以轻松记录所有互联网流量,只需为所有规则选择跟踪事件。

将互联网流量列入允许名单

实施具有白名单行为的互联网防火墙意味着默认情况下,防火墙会阻止所有互联网流量。 根据公司安全策略的需要,向防火墙添加规则,以特定允许互联网流量。

要在Cato管理应用程序中实施允许列表互联网防火墙,规则库底部的最终规则必须是显式阻止从任何来源到任何目的地的任何流量的规则。 请参见下面的示例:

any_any_block_int.png

我们还建议您为最终规则启用跟踪,以生成有助于您监控和分析网络中互联网流量的事件。

白名单互联网防火墙的推荐规则

本节讨论我们建议您在使用允许列表方法的互联网防火墙的规则库中包含的规则。

限制网站和应用程序

允许HTTP和HTTPS流量时,我们建议您阻止包含风险和不当内容的网站。 这些网站通常被企业阻止,并且也可能是恶意软件的潜在来源。 每个类别(资源 > 类别)包含各种网站和应用程序,您可以轻松地将其添加到规则中。 类别包括,例如,僵尸网络、已受损、色情、键盘记录器、恶意软件、钓鱼、间谍软件、非法药物、黑客、垃圾邮件、有问题。

允许DNS流量

在规则库顶部,确保存在允许所有DNS服务作为互联网流量一部分的规则。

以下截图显示了允许DNS流量的示例规则:

DNS_rule.png

允许服务

创建一个规则以允许您的帐户使用并需要互联网访问的服务。 此外,如果有仅用于特定站点的服务,则您可以创建一条仅允许这些站点访问的单独规则。

允许应用程序

将您的组织所使用的应用程序从预定义的应用程序列表中添加到互联网防火墙规则中。 Cato会不断更新此列表以包含新应用程序。 如果需要列表中没有的应用程序,您可以定义自定义应用程序。 关于配置自定义应用程序的更多信息,请参见使用自定义应用程序

将互联网流量列入阻止名单

实施具有黑名单行为的互联网防火墙意味着默认情况下,防火墙允许所有互联网流量。 根据公司安全政策的需要,向防火墙添加规则,以特定阻止互联网流量。 阻止列表是互联网防火墙的默认结构,允许任何未被某个规则阻止的流量。

此外,我们建议您使用学习期来识别不需要的互联网流量。 在此学习期间,临时在规则库底部添加一条规则,该规则允许从任意来源到任意目的地的任何流量并启用跟踪。 此规则为每个允许访问互联网的连接生成一个事件。 在查看账户的互联网流量时,如果发现不需要的流量,则可以添加规则以阻止。

关于防火墙事件的更多信息,请参见分析您的网络中的事件

黑名单互联网防火墙的推荐规则

本节描述我们推荐您在使用阻止列表方法的互联网防火墙的规则库中包含的规则。

阻止存在已知漏洞的服务

服务如Telnet和SNMP v1 & v2是潜在的安全风险, 可以在互联网规则库中阻止。 如果您的组织需要访问这些服务,我们建议为那些特定用户或群组添加对阻止规则的例外。

以下截图显示了一个阻止Telnet和SNMP流量的示例规则,并允许IT部门访问的例外:

Block_Telnet.png

阻止未分类的网络内容

类别未分类包含未分配给类别列表中现有类别的网站。 这些网站可能对您的网络构成潜在的安全风险。 创建一条规则,阻止所有互联网流量的未分类类别。

您还可以使用Cato的RBI服务来启用对未分类站点的安全访问。 关于RBI的更多信息,请参见通过远程浏览器隔离(RBI)保护浏览会话

使用地理位置阻止国家

有几个国家已知会产生恶意流量。 如果您的组织与这些国家没有业务往来,我们建议您阻止其互联网访问,以减少潜在的恶意流量。 您可以创建一个规则,使用国家设置在应用/类别部分中阻止指定国家的互联网流量。

countries.png

注意

注意: 若要阻止对某个国家的所有互联网访问,请确保地理位置规则在规则库中高于允许或提示操作的规则。

保护WAN流量

Cato的WAN防火墙负责控制连接到Cato Cloud的不同网络元素之间的流量。 通过WAN防火墙,您可以控制网络中的WAN流量,实现最佳的网络安全。

WAN防火墙默认使用任意任意阻止(允许列表)方法。 这意味着,除非您定义允许连接的特定 WAN 防火墙规则,否则所有站点和用户之间的连接都将被阻止。

下图显示了 Cato 管理应用程序中的一个 WAN 防火墙策略示例 (安全性 > WAN 防火墙)。

wan_fw.png

Cato WAN防火墙策略的最佳实践

本节包含最佳实践,以帮助您保护账户的 WAN 连接性。

允许站点和用户之间的特定流量

WAN 防火墙的金科玉律是只允许所需的流量。 对于这些允许规则,添加使用的特定服务和端口,并为 WAN 防火墙提供增强的安全连接性。

以下屏幕截图显示了一个示例WAN防火墙规则,允许所有ZTNA用户访问数据中心站点。 此规则提高了安全性,因为它仅允许ZTNA用户的远程桌面协议流量。

mobile_rule_wan.png

避免为来源和目的地使用任意

给任何 来源目的地 访问的 WAN 防火墙规则比特定站点和用户的安全性要低。 更具体的设置为账户的 WAN 连接性提供了更高的控制。

下图显示了一个示例 WAN 防火墙规则,该规则使用了 来源目的地 设置中的特定站点:

src_and_dest.png

通过细化规则改善事件数据

当您在WAN防火墙规则中使用任意作为某些设置时,与该规则相关的事件不一定包含所有相关数据,并可能让分析应用使用变得更加困难。 有关使用任意设置的规则事件的更多信息,请参见上文通过细化规则改善事件数据。 为帮助改进应用使用分析,我们建议您尽量减少在规则条件中使用任意,而是使用具体的应用程序、服务、端口等细化规则。

将WAN流量列入允许名单

实施具有白名单行为的WAN防火墙意味着默认情况下,防火墙会阻止站点、服务器、用户等之间的所有WAN连接。 向防火墙添加规则,以具体允许网络中的 WAN 流量连接。 白名单是Cato WAN防火墙的默认结构;WAN规则库的隐式最终规则是任意任意阻止。

我们强烈建议您不要添加允许从任何来源到 WAN 中的任何目的地连接的规则。 这种类型的 任何 任何 允许 规则会使您的网络面临重大安全风险。

通过服务和应用程序限制流量

允许列表 WAN 防火墙的强大安全策略包括仅允许您的组织使用的特定服务和应用程序的规则。 而不是使用允许站点之间流量的任何服务的规则,添加服务或应用程序到该规则中。 由于服务比端口更具体,我们建议尽可能使用服务而不是端口定义规则。

组织经常使用的服务示例包括:DNS、DHCP、SMB、数据库、Citrix、远程桌面协议、DCE/RPC、SMTP、FTP、ICMP、NetBIOS、NTP、SNMP 等。

组织经常使用的应用程序示例包括:SharePoint、Slack、Citrix ShareFile 等。

您还可以创建一个自定义类别,其中包含用于WAN防火墙的所有应用程序和服务,然后将此自定义类别添加到相关规则中。 对于防火墙中未预定义的应用程序或服务,请使用自定义应用程序。 这也允许事件包含应用程序名称,以便更好的分析。

将WAN流量列入阻止名单

实施具有黑名单行为的WAN防火墙意味着默认情况下,防火墙允许站点、服务器、用户等之间的所有WAN连接。 向防火墙添加规则,以根据企业安全策略的需要专门阻止 WAN 流量。 我们不建议对 WAN 安全性策略使用这种方法。 但是,如果您的组织使用它,请确保阻止不需要的 WAN 流量。

要在 Cato 管理应用程序中实现阻止列表 WAN 防火墙,规则库在底部包含一个 任何 任何 允许 规则。

为黑名单防火墙阻止WAN流量

对于阻止列表 WAN 防火墙,我们建议在最后的 任何 任何 允许 规则之上添加以下规则以帮助创建强大的安全策略:

  • 规则以阻止安全风险并具有已知漏洞的服务,例如 SMBv1

  • 规则阻止不需要通信的站点之间的连接

这篇文章有帮助吗?

12 人中有 12 人觉得有帮助

0 条评论