本文解释如何管理互联网防火墙策略,以控制您组织的互联网访问。
有关Cato中互联网防火墙策略的更多信息,请参阅什么是Cato互联网防火墙?。
互联网防火墙检查WAN与互联网之间的流量,并允许您创建规则来控制此流量。 类似于WAN防火墙,互联网防火墙使用有序的规则库,从第一条规则开始,根据每一个规则检查连接。
互联网防火墙允许不同的管理员并行编辑策略。 每位管理员可以编辑规则并将更改保存到他们自己的私人修订版中,然后发布到账户策略(已发布的修订版)。 有关如何管理策略修订的更多信息,请参阅Working with Policy Revisions。
向导自动使用这些检查和洞察来审查您的策略。 当检查失败时,您可以直接在向导中审查和更新您的策略,而无需编辑单个规则。 在简化策略管理的同时帮助您保持安全。
本节解释创建互联网防火墙规则、覆盖锁定以编辑规则,以及发布或放弃未发布的修订的程序。
创建互联网防火墙规则并将更改保存到未发布的修订中。
有关规则的来源、应用和类别项的更多信息,请参阅规则对象参考。
时间选项定义了此规则启用的时间范围。 您可以为规则配置自定义选项,也可以选择为账户定义的默认工作时间。
要为互联网防火墙创建新规则:
-
从导航菜单中,选择安全性 > 互联网防火墙。
互联网防火墙页面将打开现有的未发布修订版本或最新的已发布修订版本。
-
点击新建。
-
输入规则的名称。
-
使用滑块启用或禁用规则(绿色为启用,灰色为禁用)。
-
配置此规则的规则顺序。
有关规则顺序选项的更多信息,请参阅什么是Cato互联网防火墙?。
-
展开来源并选择来源类型。
-
选择类型(例如:主机、网络接口、IP、任意)。 默认值为任意。
-
在需要时,从下拉列表中选择特定对象。
-
-
展开 设备 部分并将设备条件添加到规则中。 有关更多信息,请参阅将设备条件添加到防火墙规则。 默认值为任意。
-
展开应用/类别部分并为规则选择一个或多个应用程序。
当规则中有多个应用/类别对象时,它们之间有一个或关系。 默认值为任意。
-
展开服务/端口部分,并定义应用于此规则的类型或类型(服务、端口/协议、任意)。
当规则中有多个服务/端口对象时,它们之间有一个或关系。 默认值是任何。
-
选择此规则的操作。 选项包括允许、阻止、提示。
-
(可选) 配置跟踪选项以生成事件并发送通知。 频率在第一次通知发送后开始计数。
有关通知的更多信息,请参阅警报部分中关于订阅组、邮件列表和警报集成的相关文章。
-
(可选) 配置时间选项以定义此规则何时启用。
-
点击应用。 新规则被添加到规则库中。
-
点击保存。
更改被保存到未发布的修订中,并在发布或丢弃之前可供编辑。
您可以在互联网防火墙规则库中使用例外来忽略特定规则,并继续使用较低优先级的规则。 请确保较低优先级的规则不会匹配并阻止流量。 最终的隐式任意任意允许规则允许所有流量。 例如,如果规则#3阻止访问招聘类别,您可以创建一个不阻止人力资源(HR)部门访问的例外。
规则的例外是规则的子集,并且某些设置适用于规则和例外:
-
当您禁用规则时,例外也被禁用
-
当您移动规则并更改优先级时,例外也被移动
-
对于 Facebook Messenger 应用程序,无法使用互联网防火墙来阻止 Messenger 应用程序并允许 Facebook 应用程序,因为 Messenger 与 Facebook 共享相同的域名来加载资源。 您可以使用CASB应用控制策略来管理这些应用程序的访问。
0 条评论
请登录写评论。