本文包含安全策略和设置的最佳实践，以为您的账户提供最大保护。

安全最佳实践

这些是推荐的最佳实践，以确保您提供针对网络威胁和恶意软件的最佳防御级别。 我们强烈建议您根据以下建议审查您账户的安全策略和设置。 

1. 将安全策略限制为实际的商业政策：
   1. 审查WAN和互联网防火墙规则，确保它们尽可能具体。
      • 将规则中的任何设置替换为实际的来源、目的地、应用程序、服务等项目。
   2. 阻止Cato的预定义系统类别，这些类别包含常见的安全风险，例如：匿名者、僵尸网络、作弊、被攻破、犯罪活动、邪教、赌博、黑客、键盘记录程序、恶意软件、裸露、P2P、停放域名、钓鱼、色情、可疑、垃圾邮件、无味、武器、性教育、间谍软件、暴力和仇恨。
      • 提示 - 您可以创建一个新的自定义类别，其中包含所有安全风险项，并将其添加到防火墙规则中。

        

   3. 阻止类别未分类，此类别可能包含潜在安全风险的域和网站。
   4. 有关更多信息，请参见互联网和WAN防火墙政策 – 最佳实践。
      (安全性 > 互联网防火墙和安全性 > WAN防火墙)
2. 优化入站流量的远程端口转发 (RPF) 和本地端口转发设置：
   1. 尽量避免带有流量来源使用任何 (0.0.0.0) 的RPF规则。 而是为规则配置特定的IP范围。
      • 有关更多信息，请参见使用远程端口转发控制入站流量。
        (安全性 > 远程端口转发)
   2. 避免使用本地端口转发规则配置站点。 而是用RPF规则替代它们。
      (网络 > 站点 > (站点名称) > 本地端口转发)
3. 为您的站点实施网络分段。
   1. 提供额外的安全性，特别是针对勒索软件。
   2. 有关更多信息，请参见网络分段 - 最佳实践。
4. 使用IPS地理限制规则阻止来自没有业务关系且已知为恶意流量来源的国家的入站和出站流量。
   1. 请注意，IPS的地理限制规则会影响您账户中的所有流量。
   2. 有关更多信息，请参见(新建) 配置IPS策略。
      (安全性 > IPS > 地理限制)
5. TLS检查允许Cato的安全服务检查加密的互联网流量。
   1. 使用细粒度的TLS检查策略仅检查特定流量类型。
   2. 排除不支持TLS检查的应用程序和目的地。
   3. 有关更多信息，请参见TLS检查的最佳实践。
      (安全性 > TLS检查)
6. 优化自定义应用程序的设置，并为自定义应用程序的规则定义所有适用的项目。
   1. 例如，配置自定义应用程序时，除了定义端口，还要定义目标IP、域名和端口。
   2. 有关更多信息，请参见(新建) 使用自定义应用程序。
      (资源 > 自定义应用)