本文为您的账户提供了关于WAN防火墙的背景信息。
了解有关使用WAN防火墙的更多信息,请参阅管理WAN防火墙策略。
Cato Cloud中的WAN防火墙控制着对您广域网(WAN)中对象和实体的访问。 配置WAN防火墙规则库,以创建安全的访问控制策略并保护网络。
WAN防火墙是集成于Cato Cloud中的下一代防火墙(NGFW)的一部分,允许您创建规则以防止未经授权的网络访问。 WAN防火墙使用白名单方法,并且存在默认的ANY-ANY阻塞规则以删除所有未在规则库中明确允许的连接。
使用规则配置防火墙以检查所有连接,仅允许符合配置设置的连接。 防火墙使用了有序的规则库。 这意味着它开始检查连接,并查看是否符合第一条规则。 如果不符合,则继续按顺序将每条规则应用于连接,直到一条规则匹配该连接。
WAN防火墙还包括具有用户意识的完整第7层功能,允许对特定WAN应用程序进行零信任访问策略。
安全管理员收到任务,审核伦敦分部会议室的安全状况。 管理员进入设备清单页面,过滤器选择为字段 - 设备类型,运算符 - 包含,值 - 视频会议 ,然后看到伦敦站点的所有视频会议设备。 管理员意识到有来自不同制造商的视频会议设备,这不符合组织的安全策略。 IT团队已经拥有一个物联网安全许可证,并在WAN和互联网防火墙策略中创建了新规则,在设备属性设置中仅允许两家批准的视频会议设备制造商。 伦敦站点的一些视频会议设备将不再工作,因为它们被防火墙策略阻止,直到它们被批准制造商的新设备替换。
WAN自主防火墙洞察是一系列姿态检查,评估您的WAN防火墙策略并展示其如何符合Cato的建议。 遵循这些建议可优化您的防火墙配置并改善安全状态。
存在两种类型的洞察:
-
星形图标(由AI提供支持):AI自动分析启用的WAN防火墙策略规则以检测问题,例如可以丢弃或修改的规则:
- 临时规则:作为短期解决方案以满足直接需求而引入。 这些规则主要是为了在部署或开发合适或永久解决方案时临时发挥作用。
- 测试规则:专为验证、调试或实验特定功能或情境而创建的规则。
- 过期规则或具有未来过期日期的规则:为满足特定需求而创建规则,它们具有已到达或尚未到达或无法证明/评估的理想截止日期。
-
过多权限的规则:依用户、主机、应用或为规则定义的协议可能过于宽松的规则。 这一洞察使用拓扑启发式方法,建议您从规则中删除多余项,以更好地遵循零信任战略。
例如:仅限制用户访问到sampleAdmin,由特定零信任设备姿态配置文件调节,仅将应用限制为RDP,并仅将协议限制为TCP。
- 未使用规则:识别过去60天内未产生任何事件的“允许”操作的防火墙规则。
- 基于配置:互联网防火墙策略中的配置和设置,用于确保它们遵循最佳实践。
使用WAN防火墙配置向导
WAN防火墙配置向导自主审查您的策略,使用这些检查和洞察。 当检查失败时,您可以直接在向导中查看并更新您的策略,而无需编辑单个规则。 这帮助您保持安全,同时简化策略管理。 有关更多信息,请参阅使用配置向导。
Cato防火墙中的反欺骗保护
NGFW的一项基本功能是保护免受反欺骗攻击。 Cato Cloud中的安全引擎隐式丢弃任何源IP在配置实体范围外的连接(例如站点、网络范围、设备或用户)。 这会阻止反欺骗攻击,并防止违反配置的逻辑拓扑。
WAN防火墙按顺序检查连接,并查看连接是否与规则匹配。 规则库中的最后一个规则是默认的ANY-ANY阻止规则-因此如果连接未与任何规则匹配,则由最后一个默认规则阻止。 强大的访问权限策略包含允许WAN中特定连接和流量的防火墙规则。
您可以在规则库的末尾查看默认规则部分中的默认规则设置。 这些规则设置无法编辑。
位于规则库顶部的规则具有更高的优先级,因为它们会在规则库中较低的规则之前应用于连接。 例如,如果连接与规则#3匹配,则对连接应用操作,并防火墙停止检查该连接。 防火墙不会继续将规则#4及以下规则应用于连接。 您可以提高WAN防火墙的效率并给予匹配最多连接的规则较高优先级。
当规则在多个列中有对象时,例如一个应用程序和一个服务,则它们之间存在AND关系。 例如,如果有一个规则允许443端口的备份服务应用程序,则当流量同时符合应用程序和端口时,流量被允许。
对于在单个列中使用多个对象的规则,例如多个端口,它们之间存在OR关系。 例如,如果有一个规则允许对邮件服务器的服务SMTP和端口25、265、587及2525的访问,则当流量匹配SMTP服务或任何一个端口时,被允许。
- 注意:每个规则最多可以有64个条件,并且规则与它们之间有“与”关系,规则的例外包括在规则限制内。 例如,如果有一个规则有两个与条件(例如来源和服务),而规则有25个例外,每个例外有3个与条件(例如来源、应用程序和服务),那么该规则有77个条件。 这超出了64个条件的支持限制,规则可能无法正常工作。 但是,您可以在规则的同一列中分配超过64个对象,因为它们之间具有“或”关系。 例如,您可以在一个规则中分配超过64个应用程序。
命中次数帮助您识别可从策略中移除的未使用规则,并优化规则配置以更好地匹配所需的流量范围。 规则的命中次数基于规则生成的事件数量。 如果规则未生成事件,则命中次数为零。
命中次数包含两个数字:
- 策略中每个规则生成的事件数量估算
- 规则相对于其他规则被命中的频率(按百分位排名)
您可以根据状态栏的颜色快速识别命中次数最高和最低的规则。 此颜色反映了规则命中次数相对于其他规则的频率:
- 蓝色:0 - 24百分位
- 绿色:25th - 49th百分位
- 橙色:50th - 74th百分位
- 红色:75th -100th百分位
WAN防火墙允许不同的管理员并行编辑策略。 每个管理员都可以编辑规则并将更改保存到其自己的私人修订版本的规则库中,然后发布到帐户策略(已发布的修订版)。 有关如何管理策略修订的更多信息,请参阅Working with Policy Revisions。
您可以配置规则的时间设置,以便在定义的日期和时间启用或禁用该规则。 在时间下拉菜单中,您可以配置每天的计划和/或有效期。
您可以配置这两个选项,例如,在2025年5月的工作日,该规则是活跃的。 或者,您可以独立配置每个选项以满足您的要求。
每天的计划定义规则何时生效的时间安排。 如果规则配置了时间安排,在规则表中,操作列中会显示一个时钟符号。
每天的计划的选项包括:
- 无时间限制:规则没有计划。 这是规则的默认行为。
- 限制在工作时间:规则仅在Cato管理应用程序中配置的工作时间内激活。 欲了解更多关于工作时间的信息,请参阅定义账户的默认工作时间。
-
自定义:选择规则处于活动状态的时间和星期几。 取消选中周期性选项,然后选择日期作为规则的时间设置。
- 重复:时间设置会应用不止一次,例如,每周二从上午9:00到下午5:00。
本节解释WAN防火墙规则库中的规则字段和设置。 彻底理解WAN防火墙有助于成功管理企业网络的访问控制。
下表描述了WAN防火墙规则库中的每一列。 当规则配置了多个列时,它们之间为AND关系。
有关规则的来源、目的地、应用和类别的更多信息,请参见规则对象参考。
| 项目 | 描述 |
|---|---|
| # |
显示WAN防火墙规则库中规则的优先级。
|
| 名称 | 输入规则的名称 |
| 来源 | 此规则流量的来源 |
| 信任网络标准 |
基于终端用户或其他设备通信在您的网络上的实际设备属性定义条件访问,例如IoT/OT。 选项包括:
|
| 方向 |
指示规则的方向。 选项包括:
|
| 目的地 | 此规则流量的目的地 |
| 应用/类别 | 仅适用于特定应用程序、类别和其他对象的匹配对象 |
| 服务/端口 | 仅适用于匹配指定的服务和端口的流量 |
| 操作 |
将指定的操作应用于与规则匹配的流量 例如,当流量被阻止时,连接被丢弃,而较低优先级的规则不再应用于此连接。 |
| 跟踪 | 当规则匹配时,会生成事件或发送电子邮件通知警报到指定列表 |
| 命中次数 | 该规则的命中次数 |
|
打开一个下拉菜单,包含这些选项:
|
- 有关应用程序和类别的更多信息,请参阅与类别一起工作
- 有关WAN防火墙设置的更多信息,请参阅管理WAN防火墙策略
0 条评论
请登录写评论。