本文为您的账户提供有关WAN防火墙的背景信息。
了解有关使用WAN防火墙的更多信息,请参阅管理WAN防火墙策略。
Cato Cloud中的WAN防火墙控制对广域网(WAN)中对象和实体的访问。 配置WAN防火墙规则库以创建安全的访问控制策略,保护网络。
WAN防火墙是集成在Cato Cloud中的下一代防火墙(NGFW)的一部分,让您可以制定规则,以防止未经授权的网络访问。 The WAN firewall uses a whitelist approach, and there is a default ANY-ANY block rule to drop all connections that are not explicitly allowed in the rulebase.
使用规则配置防火墙以检查所有连接,仅允许与其配置设置匹配的连接。 防火墙使用有序的规则库。 这意味着它开始检查连接,并查看它是否符合第一条规则。 如果不符合,它将继续顺序应用每条规则到连接,直到找到匹配规则。
WAN防火墙还包括具有用户意识的完整第7层功能,允许零信任访问策略到WAN上的特定应用程序。
NGFW的基本功能之一是防护反欺骗攻击。 Cato Cloud中的安全引擎隐式丢弃源IP位于配置实体范围之外(如站点、网络范围、设备或用户)的任何连接。 这阻止了反欺骗攻击并防止违反配置的逻辑拓扑。
WAN自主防火墙洞察力是评估您WAN防火墙策略的最佳实践列表,展示它们如何符合Cato的建议。 遵循这些建议可以优化您的防火墙配置并改善安全态势。
洞察有两种类型:
-
星形图标(由AI驱动):您WAN防火墙策略中已启用的规则会自动由人工智能(AI)分析以检测问题,例如可丢弃或修改的规则,例如:
-
Temporary Rule: Introduced as a short-term solution to address an immediate need. 这些规则主要是在部署或开发适当或永久解决方案时暂时发挥作用。
-
测试规则:专为验证、调试或实验某特定功能或场景而创建的规则。
-
已过期规则或具有未来到期日期的规则:为了满足特定需求而创建的规则,具有一个已过或尚未到来的理想截止日期,或者无法证明/评估。
-
过度许可规则:根据规则定义的用户、主机、应用程序或协议,规则可能过于宽松。 该洞察表明我们建议您从规则中删除多余项,以更好地坚持您的零信任策略。
例如:仅限于sampleAdmin的用户访问,由特定零信任设备姿势条件约束,仅限制应用程序为RDP,并限制协议仅为TCP。
-
未使用规则:识别过去30天未产生任何事件的允许动作防火墙规则
-
-
基于配置:您的互联网防火墙访问权限策略中的配置和设置,应确保它们遵循最佳实践。
WAN防火墙按顺序检查连接,并检查连接是否匹配某一规则。 规则库的最后一条规则是默认的ANY-ANY阻止规则——因此如果连接不匹配规则,则会被默认的最终规则阻止。 强大的访问控制策略包含允许WAN中特定连接和流量的防火墙规则。
您可以在规则库末尾的默认规则部分查看默认规则设置。 这些规则设置无法编辑。
规则库顶部的规则优先级更高,因为它们在规则库较低的规则之前应用于连接。 例如,如果一个连接匹配规则#3,则操作应用于该连接,并且防火墙停止检查。 防火墙不会继续对连接应用规则#4及以下规则。 您可以提高WAN防火墙的效率,并赋予匹配最多连接的规则更高的优先级。
当在多个列中有对象的规则存在时,例如应用程序和服务,那么它们之间存在与(AND)关系。 例如,如果有一条规则允许端口443的备用服务应用程序,那么当流量既符合应用程序又符合端口时,交通是允许的。
对于在单列中使用多个对象的规则,例如多个端口,它们之间存在或关系。 例如,允许访问邮件服务器的SMTP服务规则及端口25、265、587和2525,则允许流量通过SMTP服务或任何一个端口。
-
注意: 每条规则最多可有64个条件,且条件之间存在与(AND)关系,规则的例外也包含在规则限制内。 例如,如果有一条规则有两个与(AND)条件(如一个来源和一个服务),并且规则有25个例外,每个有3个与(AND)条件(如一个来源、一个应用程序和一个服务),那么规则有77个条件。 这超过了支持的64个条件的限制,规则可能无法正常工作。 但是,您可以在规则的同一列中分配超过64个对象,因为它们之间存在或(OR)关系。 例如,您可以在一个规则中分配超过64个应用程序。
命中次数帮助您识别可以从策略中删除的未使用规则,并优化规则配置以更好地匹配所需的流量范围。 规则的命中次数基于规则生成的事件数量。 如果一条规则没有生成事件,则命中次数为零。
命中次数包含两个数字:
-
策略中每条规则生成的事件的近似数量
-
规则相对于其他规则(按百分位排名)的命中频率
这些值每24小时更新一次,基于过去14天的流量。
您可以根据状态栏的颜色快速识别命中次数最高和最低的规则。 此颜色反映了规则相对于其他规则的命中频率:
-
蓝色:第0 - 24百分位
-
绿色:第25 - 49百分位
-
橙色:第50 - 74百分位
-
红色:第75 - 100百分位
WAN防火墙允许不同的管理员并行编辑策略。 每个管理员可以编辑规则,并将更改保存到自己的私人修订版本的规则库,然后将其发布到账户策略(已发布修订版)。 有关如何管理策略修订的更多信息,请参见操作策略修订。
配置WAN防火墙规则的时间设置以定义规则何时激活。 例如,您可以选择仅在工作日应用规则。 这意味着具有配置时间设置的规则在定义的时间之外不激活。
时间设置的选项为:
-
无时间限制: 规则始终激活。 这是WAN防火墙规则的默认行为。
-
限制在工作时间: 规则仅在Cato管理应用程序中配置的工作时间内有效。 有关工作时间的更多信息,请参见定义账户默认工作时间。
-
自定义: 选择规则激活的时间和星期几。 取消选择重复选项,并选择规则的时间设置日期。
-
重复: 时间设置将应用多次,例如,每星期二从9:00到5:00。
-
本节介绍了WAN防火墙规则库中的规则字段和设置。 深入理解WAN防火墙有助于成功管理企业网络的访问控制。
下表描述了WAN防火墙规则库中的每一列。 当规则配置了多个列时,它们之间存在与关系。
For more about Source, Destination, App, and Category items for a rule, see Reference for Rule Objects.
|
项目 |
描述 |
|---|---|
|
# |
显示规则在WAN防火墙规则库中的优先级。
|
|
名称 |
输入规则的名称 |
|
来源 |
此规则的流量来源 |
|
标准 |
定义基于终端用户或在网络中通信的其他设备(例如IoT/OT)的实际设备属性的条件访问。 选项包括:
|
|
方向 |
指示规则的方向。 选项包括:
|
|
目的地 |
此规则的流量目的地 |
|
应用/类别 |
仅适用于特定应用程序、类别和其他对象的匹配对象 |
|
服务/端口 |
仅适用于符合指定服务和端口的流量 |
|
操作 |
对符合规则的流量应用指定的操作 例如,当流量被阻止时,连接会被丢弃,较低优先级的规则不会应用到此连接 |
|
跟踪 |
当规则匹配时,会生成一个事件或发送电子邮件通知警报到指定列表 |
|
命中次数 |
此规则的命中次数 |
|
|
打开一个下拉菜单,包含以下选项:
|
当 WAN 防火墙被禁用时,没有访问控制,所有 WAN 资源对任何人都是可访问的。
-
有关应用程序和类别的更多信息,请参见操作分类
-
有关 WAN 防火墙设置的更多信息,请参阅 管理 WAN 防火墙策略
0 条评论
请登录写评论。