本文解释了如何管理互联网防火墙访问权限策略以控制您的组织的互联网访问。
有关 Cato 中互联网防火墙访问权限策略的更多信息,请参见什么是Cato互联网防火墙?.
互联网防火墙检查WAN和互联网之间的流量,并允许您创建规则来控制此流量。 与WAN防火墙相似,互联网防火墙使用有序的规则库,从第一条规则开始,连接根据每条规则进行检查。
互联网防火墙允许不同的管理员并行编辑访问权限策略。 每位管理员可以编辑规则并将更改保存到他们自己的私有修订中,然后发布到账户访问权限策略(已发布修订)。 有关如何管理访问权限策略修订的更多信息,请参阅工作访问权限策略修订。
互联网防火墙配置向导会自动使用这些检查和洞察来审阅您的访问权限策略。 当检查失败时,您可以直接在向导中查看并更新您的策略,而无需单独编辑规则。 这有助于您保持安全,同时简化策略管理。
本节解释了创建互联网防火墙规则、覆盖锁以编辑规则、发布或丢弃未发布修订的过程。
创建互联网防火墙规则并将更改保存到未发布的修订中。
有关规则的来源、应用和类别项的更多信息,请参阅规则对象参考。
时间 选项定义规则启用的时间范围。 您可以为规则配置自定义选项,或者选择为账户定义的默认工作时间。
到创建新建规则互联网防火墙:
-
从导航菜单中,选择安全性 > 互联网防火墙。
互联网防火墙页面将打开到现有的未发布修订或最新的已发布修订。
- 点击新建。
- 输入DNS 策略的名称。
- 使用滑块启用或禁用规则(绿色为已启用,灰色为已禁用)。
-
配置此规则的规则顺序。
有关规则顺序选项的更多信息,请参阅什么是Cato互联网防火墙?。.
-
展开来源并选择来源类型。
- 选择类型(例如:主机、网络接口、IP、任何)。 默认值是任何。
- 如有需要,从该类型的下拉列表中选择一个特定对象。
- 扩展信任网络标准部分并添加设备条件到DNS 策略。 有关更多信息,请参阅将设备条件添加到防火墙规则。 默认值是任何。
-
展开应用/类别部分并为规则选择一个或多个应用程序。
当规则中有多个应用/类别对象时,它们之间存在或关系。 默认值为任意。
-
展开服务/端口部分,定义应用于此规则的类型(服务、端口/协议、自定义服务或任意)。
当规则中有多个服务/端口对象时,它们之间存在或关系。 默认值为任意。
- 选择此DNS 策略的操作。 选项是允许、阻止、提示。
-
(可选)配置跟踪选项以生成事件和发送通知。 频率在第一个通知发送后开始计数。
有关通知的更多信息,请参阅本部分中关于订阅组、邮件列表和警报集成的相关文章。
- (可选) 配置定义此规则启用时间的时间选项。
- 点击应用。 新建规则添加到规则库。
-
点击 保存。
更改被保存到您的未发布修订中,并可供编辑,直到它们被发布或丢弃。
您可以在互联网防火墙规则库中使用例外,忽略特定规则并继续进行低优先级规则。 请注意确保低优先级规则不会匹配并阻止流量。 最终隐含任意任意允许规则允许所有流量。 例如,如果规则 #3 阻止访问招聘类别,您可以创建一个例外,不阻止人力资源(HR)部门的访问。
规则的例外是规则的子集,其中某些设置适用于规则和例外:
- 当您禁用DNS 策略,例外也已禁用
- 当您移动DNS 策略改变优先级,例外也已移动
到添加例外防火墙规则:
- 从导航菜单,选择安全性 > 互联网防火墙。
-
在规则的右侧,点击
并选择添加例外。
添加例外面板打开。
-
展开并配置规则例外的设置。
父规则的操作不适用于规则例外。
- 点击应用。 例外添加下方DNS 策略。
- 点击保存。 例外已保存到您的未发布修订版本中,并可以进行编辑,直到发布或丢弃为止。
- 在Facebook Messenger应用程序上,无法使用互联网防火墙来阻止Messenger应用程序并允许Facebook应用程序,因为Messenger共享与Facebook相同的域名来加载资源。 您可以使用CASB应用程序控制访问权限策略来管理这些应用程序的访问。
0 条评论
请登录写评论。