本文为您的账户提供有关互联网防火墙的背景信息。
有关配置互联网防火墙的更多信息,请参阅管理互联网防火墙访问权限策略。
互联网防火墙检查 WAN 与互联网之间的流量,并允许您创建规则来控制此流量。 与 WAN 防火墙类似,互联网防火墙使用排序的规则库,从第一条规则开始,连接根据每条规则进行检查。 互联网防火墙使用黑名单方法。 这意味着规则库中存在一个隐式的 ANY - ANY 规则,允许未被显式阻止的任何流量和连接。 互联网防火墙还包括完整的第7层功能和用户意识,您可以为特定应用程序创建规则。 例如,您可以使用互联网防火墙:
- 阻止特定网站,例如 Facebook 或 LinkedIn
- 阻止不当网站类别,例如枪支、酒精和赌博
- 仅允许 IT 部门使用远程管理应用程序 (SaaS 和 IaaS)
自主防火墙洞察是一系列最佳实践,评估您的互联网防火墙策略,并显示它们如何符合 Cato 的建议。 遵循这些建议能够优化您的防火墙配置并改善安全态势。
有两种洞察类型:
-
星形图标(由 AI 驱动):由人工智能 (AI) 自动分析互联网防火墙访问权限策略中的启用规则以检测问题,例如,可以丢弃或修改的规则:
- 已过期规则或具有未来到期日期的规则: 为解决特定需求而创建的规则,具有已过期或尚未到期的理想截止日期或无法证明/评估的日期。
- 临时规则: 作为解决迫切需要的短期解决方案。 这些规则大多数是为了在部署或开发合适或永久的解决方案时临时运作而创建的。
- 测试规则: 明确为验证、调试或试验特定功能或场景而创建的规则。
- 未使用规则: 识别在过去 60 天内未产生任何事件的允许操作防火墙规则
- 矛盾规则检查: 识别具有相同谓词但动作不同的防火墙规则,这可能导致无法应用优先级较低的规则的冲突
- 基于配置: 您的互联网防火墙策略中的配置和设置旨在确保遵循最佳实践。
互联网防火墙配置向导将自动通过这些检查和洞察来审查您的访问权限策略。 当检查失败时,您可以直接在向导中审查和更新访问权限策略,而无需编辑单个规则。 这可以帮助您在简化策略管理的同时保持安全。 有关详细信息,请参阅使用配置向导。
NGFW 的基本功能之一是防止反欺骗攻击。 Cato Cloud 中的安全引擎隐式丢弃任何源 IP 超出配置实体范围(例如站点、网络范围、设备或用户)的连接。 这可以阻止反欺骗攻击并防止违反配置的逻辑拓扑。
互联网防火墙按顺序检查连接,并查看连接是否匹配规则。 规则库的最终规则是隐式的 ANY - ANY 允许规则,所以如果连接不匹配任何规则,则由最终的隐式规则允许。
规则库顶部的规则优先级较高,因为它们应用于连接的时间早于规则库中较低的规则。 如果连接匹配规则 #3,则对连接应用操作,防火墙停止检查。 防火墙不会继续应用规则 #4 及以下规则于该连接。
当规则中在多个列中包含对象时,例如应用和服务,则它们之间为 AND 关系。 例如,如果有一个规则阻止了 Netflix 应用程序通过端口 443,则当流量同时匹配应用程序和端口时被阻止。
对于在单个列中使用多个对象的规则,例如多个应用,则它们之间为 OR 关系。 例如,如果有一个规则阻止访问 Netflix、iTunes 和 YouTube 应用程序,则当流量匹配其中任何一个应用程序时被阻止。
命中次数可以帮助您识别可以从访问权限策略中删除的未使用规则,并优化规则配置以更好地匹配所需的流量范围。 规则的命中次数基于规则生成的事件数量。 如果规则不生成事件,则命中次数为零。
命中次数包括两个数字:
- 策略中每个规则生成的事件大致数量
- 相较于其他规则,该规则的命中频率(按百分比排名)
这些值每 24 小时更新一次,并基于过去 14 天的流量。
您可以根据状态栏的颜色快速识别命中次数最高和最低的规则。 这种颜色反映了规则相对于其他规则的命中频率:
- 蓝色: 0 - 24th 百分位
- 绿色: 25th - 49th 百分位
- 橙色: 50th - 74th 百分位
- 红色: 75th -100th 百分位
互联网防火墙允许不同的管理员并行编辑策略。 每个管理员可以编辑规则并将更改保存到他们自己私有的修订版本中,然后发布到账户访问权限策略(已发布的修订版本)。 有关如何管理访问权限策略修订的更多信息,请参见 Working with Policy Revisions。
您可以配置规则的时间设置,使其在定义的日期和时间启用或禁用。 在时间下拉菜单中,您可以配置每日计划和/或活动期限。
您可以配置这两个选项,例如,使DNS策略在2025年5月的工作日处于活跃状态。 或者,您可以独立配置每个选项以满足您的要求。
每日计划定义了规则何时有效的计划。 如果为规则配置了计划,在规则表中,时钟符号会显示在操作列中。
每日计划的选项有:
- 无时间约束: 此规则没有计划。 这是规则的默认行为。
- 限制在工作时间: 该规则仅在 Cato 管理应用程序中配置的工作时间内处于活跃状态。 欲了解更多关于工作时间的信息,请参阅定义账户的默认工作时间。
-
自定义:选择规则生效的时间和星期中的天数。 取消选中重复选项,并选择规则的时间设置的日期。
- 重复: 时间设置将应用多次,例如,每周二从上午 9:00 到下午 5:00。
Cato Networks 主服务协议(MSA)定义了潜在非法或恶意的流量被自动阻止。 在互联网防火墙规则库的顶部有一个隐藏的隐式规则来阻止这些连接。
欲了解更多关于 MSA 的信息,请参阅Cato Networks MSA。
本节解释了互联网防火墙规则库中规则的字段和设置。 深入了解互联网防火墙有助于成功管理企业网络的访问控制。
下表描述了每个防火墙规则可以应用于网络流量的操作。 对于生成事件的操作,您可以在主页 > 事件中显示事件日志。
| 项目 | 描述 |
|---|---|
| 允许 | 防火墙允许匹配流量。 |
| 阻止 | 防火墙阻止匹配流量。 |
| 提示 |
防火墙将匹配流量重定向到包含消息的网页。 用户被提示决定是否继续。 您可以自定义提示网页,详见自定义警告/阻止页面。 Cato 提示页面是一个 HTML 页面,使用 JavaScript 和会话 Cookie 来管理用户同意。 这些 Cookie 是域特定的,临时的,通常在浏览器关闭时删除。 Cato 目前使用三个 Cookie 名称前缀:( 要审查用户在提示页面后选择继续时的事件,请过滤事件页面,以显示字段提示操作设置为继续的事件。 |
| 远程浏览 (RBI) | 匹配流量由RBI交付。 |
| 强制门户 | 匹配流量被定向到强制门户。 |
有关不同规则库列以及规则的来源、应用和类别项的描述,请参见什么是Cato WAN防火墙? 和 规则对象参考。 和规则对象参考。 与WAN防火墙不同的是,互联网防火墙的目的地总是互联网。 当为一条规则配置多个列时,它们之间存在与关系。
0 条评论
请登录写评论。