使用 CMA 高级组和组

概述

Cato 管理应用程序 (CMA) 中的高级组和组允许您在策略配置中将站点、主机、子网和其他实体集作为单一对象进行管理。

分组对象让您可以通过将组成员资格与策略应用分离,以规模化操作。 这种方法简化了策略管理,将对象生命周期任务(例如,添加或移除成员)与规则定义和执行分离,并明确了管理责任。 不同的管理员可以独立管理组成员资格和策略使用

当您准备创建组时,可以选择以下两种类型:

  • 高级组 

    • 支持API集成:变异API来创建和配置,和查询API
    • 动态验证成员与支持的访问权限策略的兼容性
    • 提供透明直观的用户体验,使您轻松识别在每种策略上下文中哪些高级群组有效
    • 支持未来的增强功能,因此Cato可以轻松地使用不同的成员类型和新对象更新高级群组

  • 组 - 早期类型仍然支持,以继续现有的过程和配置

    • 群组还继续支持自定义网络选项,如自定义DNS和DHCP设置

高级组支持的策略

高级组在这些策略中得到支持:

  • 互联网防火墙
  • WAN防火墙
  • Socket 下一代LAN防火墙
  • 网络规则

将来会有更多策略支持高级组。 所有策略都支持组。

在策略中使用高级组和组

规则中的字段(例如来源)显示所有可选组,包括组和高级组。 

  • 高级组 - 只有兼容的高级组可添加到规则中

  • 组 - 所有组都可以添加到规则中 

    组没有验证,如果组包含不兼容的成员,则规则行为可能不一致。

什么是高级组的兼容成员? 

只有当高级组的所有成员都得到支持时,它才与策略兼容。 否则,高级组与策略不兼容。 例如,链路健康规则策略仅支持站点,因此包含站点和主机的组在该规则中是不兼容的。 

CMA或API根据访问权限策略验证成员,阻止您将不合规的成员添加到高级群组。 同样,当高级组分配给策略时,您可以添加与所有策略兼容的新成员。

在高级群组中使用IP范围

IP 范围允许您在多个策略中定义和重用大量的 IP 范围,帮助您减少手动配置并确保在规模上的一致性。 高级组支持添加 IP 范围作为成员类型,提供:

  • 在互联网和广域网防火墙策略中管理大型全球 IP 范围集作为高级组的成员
  • 确保您对 IP 范围对象进行的任何更改会自动应用于所有相关规则

有关创建IP范围的更多信息,请参阅在策略中使用IP范围

管理高级组

添加高级组

new_groups.png

要添加群组并定义其成员:

  1. 在导航菜单中,点击 资源 > 高级组
  2. 点击新建创建面板打开。
  3. 常规 部分,输入组的 名称描述
  4. 成员 部分,添加这组的成员项目。

  5. 点击保存

    高级组已经被保存并添加到 CMA 中。

管理群组

您可以创建组并利用它们(除了预定义组外)作为 CMA 中的全局对象。

定义CMA中属于该群组的项目。 您还可以为群组定义与DNS和DHCP选项相关的特殊配置。

群组.png

这些是组的类型:

  • 手动: 手动定义的群组。 组成员可以包括各种网络实体(例如 站点网络浮动范围主机)。

  • 系统: 在 CMA 中预定义的组。 这些是动态群组,当添加合适的项目时,自动更新新成员。 例如,当新的站点添加到您的帐户时,所有站点系统群组会自动更新新站点。 如果在安全规则中使用此群组,则规则也适用于新站点。

    系统群组包括:

    • 所有站点: 包含所有站点的群组
    • 所有浮动范围: 包含系统中定义的所有浮动范围的群组

显示群组和群组成员

legacy_groups.png

要显示群组的成员:

  1. 在导航菜单中,点击资源 > 群组
  2. 在导航菜单中,点击成员。 群组成员呈现。

添加群组

您可以定义群组及其成员。 这些是系统组的行为:

  • 常规 面板中的定义由 CMA 定义,无法修改。
  • 对于系统组,成员 面板中的定义由 CMA 定义,无法修改。

要添加组并定义其成员:

  1. 在导航菜单中,点击资源 > 群组
  2. 点击 新建创建 面板打开。
  3. 输入群组名称并点击应用。 群组被添加到屏幕上。
  4. 点击群组。 该群组的常规屏幕打开。
  5. (可选) 输入描述
  6. 添加这组的成员项目:
    1. 在导航菜单中,点击成员。 群组成员呈现。

    2. 添加成员下拉菜单中选择要添加的成员类型(例如,站点、网络接口或主机)。

      • 网络接口 - 接口上的所有流量(所有网络)
      • 接口子网 - 虚拟局域网、路由或直接范围,或次要AWS vSocket原生范围
      • 全局范围 - 接口上的原生范围

      Cato建议每个群组仅包含一种类型的成员。 例如,所有网络接口的群组。

    3. 选择包含在群组中的所有该类型项目。

      选定的成员被添加到成员列表中。

  7. 点击 保存

    群组已被保存并添加到CMA。

删除高级组或组

要删除高级组或组,您必须首先将其从使用该组的任何策略中移除。 例如,如果您没有将该组从互联网防火墙策略中移除,那么就无法删除该组。

要删除群组:

  1. 在导航菜单中,点击 资源 > 高级组资源 > 组

  2. 点击行尾的删除图标。

    一个确认窗口打开。

  3. 点击 删除

    群组被删除。

高级组常见问题解答

问:应该使用高级组还是组? 

答: 如果:使用高级组

  • 将通过 API 管理它们
  • 希望在这些策略中使用它们:互联网或广域网防火墙
  • 不需要自定义 DNS 或 DHCP 设置
  • 否则,您应该使用组

问:什么时候使用容器,什么时候使用高级组?

A: 容器被设计为支持例如IP和完全限定域名(FQDN)的值,并且高级群组支持CMA对象。 这里有一些指导原则:

  • 高级组 - 提供更强的管理功能,例如描述,搜索,和管理 CMA 对象的单个成员
  • 容器 - 可扩展到数百万项,通常用于可以应用于威胁情报或互联网防火墙规则的自定义 IoC(妥协指标)列表

问:高级组有什么计划? 

答: 高级组将逐步支持更多成员类型,直到与现有组达到一致,新成员类型也将被添加。

高级组的已知限制

  • 只有组支持自定义 DNS 和 DHCP 设置

    支持将在路线图上为高级组应用自定义 DNS 和 DHCP 设置

  • 只有组支持为基于实体的 RBAC 指定站点

这篇文章有帮助吗?

3 人中有 0 人觉得有帮助

0 条评论