本文解释了如何管理WAN防火墙规则集,包括:创建新规则、编辑规则、启用和禁用规则、搜索规则和删除规则。
有关Cato中WAN防火墙策略的更多信息,请参阅什么是Cato WAN防火墙?.
Cato Cloud中的WAN防火墙控制对WAN中对象和实体的访问,并让您创建规则以防止未经授权的网络访问。 它使用有序的规则集,检查连接并按顺序检查每条规则,直到有规则匹配连接。
WAN防火墙允许不同的管理员并行编辑政策。 每位管理员可以编辑规则并将更改保存到他们自己的私有修订中,然后将其发布到账户策略(发布的修订版)。 有关如何管理策略修订的更多信息,请参阅Working with Policy Revisions。
当WAN防火墙被禁用时,没有访问控制,所有WAN资源对任何人都可用。
创建一个新的WAN防火墙规则并配置该规则的设置以管理WAN的访问控制。 使用在下方添加规则选项轻松地将规则添加到规则集中正确的位置。
有关规则的来源、目的地、应用和类别的详细信息,请参阅规则对象参考。
时间选项定义了规则启用的时间范围。 您可以为规则配置自定选项,或选择为账户定义的默认工作时间。
要创建WAN防火墙的新规则:
-
从导航菜单中,单击安全性 > WAN防火墙。
WAN防火墙页面打开到您的现有未发布版本,或到最新的已发布版本。
- 点击新建。 新建面板打开。
- 输入规则的名称。
- 使用滑块启用或禁用规则(绿色为启用,灰色为禁用)。
-
配置新规则的位置和方向:
- 默认情况下,规则仅在一个方向上应用,从来源到目的地。 点击方向下拉菜单,将规则设置为双向操作。
- 有关规则顺序选项的更多信息,请参见What is the Cato WAN Firewall?。.
- 展开来源部分并选择一个或多个流量来源对象(或输入一个IP地址)。
- 选择类型(例如:主机、网络接口、IP、任何)。 默认值是任何。
- 如需选择特定对象,请从该类型的下拉列表中选择。
- 展开目的地部分,输入字符串或选择一个或多个目的地对象。
- 选择类型(例如:主机、网络接口、IP、任何)。 默认值是任何。
- 如需选择特定对象,请从该类型的下拉列表中选择。
- 展开信任网络标准部分并在规则中添加设备条件。 有关更多信息,请参阅将设备条件添加到防火墙规则。 默认值是任何。
-
展开应用程序/类别部分并选择一个或多个应用程序以适用于该规则。
当规则中有多个应用程序/类别对象时,它们之间是或关系。 默认值为任意。
-
展开服务/端口部分并定义适用于该规则的一个或多个类型(服务、端口/协议、任何)。
当规则中有多个服务/端口对象时,它们之间是或关系。 默认值为任意。
- 选择该规则的操作。 选项包括允许、阻止、提示。
-
(可选)配置跟踪选项以生成事件并发送通知。 频率在发送第一条通知后开始计算。
有关通知的更多信息,请参阅警报部分中的订阅组、邮件列表和警报集成相关文章。
- (可选)配置定义该规则启用时间的时间选项。
- 点击应用。 新规则已添加到规则库中。
-
单击保存。
更改被保存到您的未发布版本,并可供编辑直到发布或丢弃。
您可以在WAN防火墙规则集中使用例外情况来忽略某个特定规则,并继续执行低优先级的规则。 例如,如果规则3允许VPN访问RnD子网,则可以创建一个例外,不允许某小部分SDP用户的VPN访问。 当为阻止规则创建一个例外时,流量必须匹配具有较低优先级的允许规则,否则最终的隐含任意任意阻止规则会阻止流量。
规则的例外情况是规则的子集,一些设置同时适用于该规则和例外:
- 当您禁用该规则时,例外也会被禁用。
- 当您移动规则并更改优先级时,例外也会随之移动。
要将例外添加到防火墙规则:
- 从导航菜单中,点击 安全性 > WAN 防火墙。
-
在规则右侧,点击
并选择 添加例外。
添加例外面板打开。
-
展开并配置规则例外的设置。
父规则的操作不适用于例外规则。
- 点击应用。 例外已添加在规则下方。
- 点击保存。 该例外已保存到您的未发布修订版,可在发布或丢弃之前进行编辑。
使用WAN防火墙规则搜索功能找到您想要使用的规则。 搜索功能会查找并展示在以下任一字段中包含搜索词的规则:
- 名称
- 来源
- 设备
- 目的地
- 应用/类别
- 服务/端口
如果规则是部分中的一部分,结果会显示部分中的规则。
0 条评论
请登录写评论。