什么是Cato互联网防火墙？

本文提供您账户的互联网防火墙背景信息。

概述

互联网防火墙检查WAN与互联网之间的流量，并允许您创建规则来控制此流量。类似于WAN防火墙，互联网防火墙使用有序规则库，从第一条规则开始，连接根据每条规则被检查。互联网防火墙使用黑名单方法。这意味着有隐含的任意-任意规则，允许任何未在规则库中明确阻止的流量和连接。互联网防火墙还包括完整的第7层功能，具有用户意识，您可以为特定应用程序创建规则。例如，您可以使用互联网防火墙来：

阻止特定网站，例如Facebook或LinkedIn
阻止不良网站类别，例如枪支、酒精和赌博
仅允许 IT 部门使用远程管理应用程序（SaaS 和 IaaS）

了解自主防火墙洞察

The Autonomous Firewall Insights are a list of best practices that evaluate your Internet Firewall policy and show how they comply with Cato’s recommendations. 遵循这些建议可以优化您的防火墙配置并改善安全态势。

有两种类型的洞察：

星形图标（由 AI 驱动）：您互联网防火墙策略中启用的规则会自动通过人工智能 (AI) 分析以检测问题，例如，可以丢弃或修改的规则：
- 已过期规则或具有未来过期日期的规则：针对特定需求创建的规则，并拥有一个已经过去或者尚未到达或无法验证/评估的理想截止日期。
- 临时规则：作为应急需求的短期解决方案引入。这些规则主要是为了在部署或开发适当或永久解决方案时暂时发挥作用而创建的。
- 测试规则：明确为验证、调试或实验特定功能或场景而创建的规则。
- 未使用规则：识别过去30天内未生成任何事件的允许操作防火墙规则
- 检查矛盾规则：识别具有相同条件但不同操作的防火墙规则，这可能会导致冲突，使得优先级较低的规则无法应用
基于配置：您互联网防火墙策略中的配置和设置确保遵循最佳实践。

卡托防火墙中的反欺骗保护

NGFW的基本功能之一是防御反欺骗攻击。 Cato 云中的安全引擎会隐式丢弃任何源 IP 在配置实体（如站点、网络范围、设备或用户）范围之外的连接。这可以阻止反欺骗攻击并防止配置的逻辑拓扑被破坏。

使用已订购规则

互联网防火墙依次检查连接，并检查连接是否匹配规则。在规则库中的最终规则是一个隐含的任意-任意允许规则——因此如果连接不匹配任何规则，则允许通过最终隐含规则。

规则库顶部的规则具有更高的优先级，因为它们在规则库中较低的规则之前应用于连接。如果连接匹配规则#3，则对连接应用操作，防火墙停止检查。防火墙不会继续将规则#4及以下规则应用于该连接。

使用互联网防火墙配置向导

互联网防火墙配置向导会自动使用这些检查和洞察来审核您的访问权限策略。当检查失败时，您可以直接在向导中查看并更新您的访问权限策略，无需编辑规则。这有助于您保持安全，同时简化策略管理。

Traffic Blocked Related to the MSA

Cato Networks 主服务协议（MSA）定义了可能非法或恶意的流量，自动阻止这些流量。在互联网防火墙规则库的顶部有一条隐藏的隐含规则，用于阻止这些连接。

有关MSA的更多信息，请参见Cato Networks MSA。

Working with Multiple Objects in a Single Rule

当规则中有多个列中的对象时，例如一个应用程序和一个服务，那么它们之间存在与关系。例如，如果有一个规则阻止Netflix应用程序使用端口443，那么当流量匹配应用程序和端口时就会被阻止。

对于在单一列中使用多个对象的规则，例如多个应用程序，那么它们之间存在或关系。例如，如果有一个规则阻止访问Netflix、iTunes和YouTube应用程序，那么当流量匹配其中任何一个应用程序时就会被阻止。

Note

注意：每个规则最多可以有64个与条件，同时规则的例外情况包括在规则限制内。例如，如果有一个规则包含两个与条件（例如来源和服务），并且该规则有 25 个每个包含 3 个与条件的例外情况（例如来源、应用和服务），那么该规则有 77 个条件。这超出了支持的64个条件的限制，规则可能无法正常运行。然而，您可以在规则的同一列中分配超过64个对象，因为它们之间是或关系。例如，您可以在一个规则中分配超过64个应用程序。

Understanding the Hit Count

命中次数帮助您识别可以从策略中移除的未使用规则，优化规则配置以更好地匹配所需的流量范围。一条规则的命中次数基于该规则产生的事件数量。如果一条规则不产生事件，命中次数为零。

命中次数包含两个数字：

每个规则在策略中生成的事件的近似数量
规则被命中的频率相对于其他规则（按百分位排序）

这些值每24小时更新一次，基于过去14天的流量。

您可以根据状态栏的颜色快速识别命中次数最高和最低的规则。此颜色反映了规则被命中的频率相对于其他规则：

蓝色：第 0 - 24 百分位
绿色: 第25到49百分位
橙色: 第50到74百分位
红色: 第75到100百分位

Policy Revisions and Concurrent Editing by Multiple Admins

互联网防火墙允许不同的管理员并行编辑策略。每位管理员可以编辑规则并将更改保存到他们个人的私有版本中，然后发布到账户策略（已发布修订版本）。 For more information on how to manage policy revisions, see Working with Policy Revisions.

Understanding the Settings for Internet Firewall Rules

本节解释了互联网防火墙规则库中的字段和设置。深入了解互联网防火墙有助于成功管理企业网络的访问控制。

Rule Actions

下表描述了每个防火墙规则可以应用于网络流量的操作。对于生成事件的操作，您可以在主页 > 事件中显示事件日志。

项目	描述
允许	防火墙允许匹配流量。
阻止	防火墙阻止匹配流量。
提示	防火墙将匹配的流量重定向到带有消息的网页。提示用户决定是否继续。您可以自定义提示网页，请参阅自定义警告/阻止页面。 To review events for when a user chooses to proceed after a prompt page, filter the Events page to show events with the Prompt Action field set with the value Proceed. mm
远程浏览 (RBI)	Matching traffic is delivered by RBI.
上网门户	Matching traffic is directed to the captive portal.

Internet Firewall Rulebase Columns

For a description of the different rulebase columns and Source, App, and Category items for rules, see What is the Cato WAN Firewall? and Reference for Rule Objects. 与WAN防火墙不同，互联网防火墙的目的地始终是互联网。当为一个规则配置多个列时，它们之间是AND关系。

Setting the Rule Order

规则顺序是通过将规则相对于其他规则的位置定义来决定的。例如，设置一个规则跟随特定的规则，或者在某个部分中位于第一。

以下是定义规则顺序的选项：

规则之前 - 规则位于所选规则之前
规则之后 - 规则位于所选规则之后
章节首位 - 规则位于所选章节的首位
章节末尾 - 规则位于所选章节的末尾
第一 - 规则位于规则库的顶部
最后 - 规则位于规则库的底部

Enabling the Ordered Internet Firewall

Cato Cloud中的互联网防火墙让您可以控制企业网络的互联网访问。轻松创建互联网安全策略，允许用户访问与业务相关的网页内容，并阻止不当的网站、应用程序等。

要启用或禁用互联网防火墙：

从导航菜单中，点击安全 > 互联网防火墙。
At Firewall Enabled above the rulebase, click the slider to enable (green) or disable (gray) the Internet firewall for the account.
点击保存。