本文讨论如何为WAN和互联网防火墙规则库添加设备标准条件以增强安全性和保护。
设备 设置用于 WAN 和 互联网 防火墙规则,允许您扩展防火墙 安全 策略的范围,包括基于终端用户或网络上其他设备(如物联网/运营技术)实际 设备 属性的条件 访问。 您可以指定网络上设备的访问要求。 例如:
-
WAN防火墙 -
- 指定规则的来源,只应用于符合预定义姿态或基于地理位置的设备
- 仅允许特定用户访问关键业务的OT设备
-
互联网防火墙 -
- 为SaaS应用程序定义限制根据设备设置和位置的访问规则
- 阻止网络中IP摄像机的互联网访问
默认情况下,设备设置不会影响流量,因为它们设置为任何任何并自动匹配所有流量。
欲了解更多关于Cato WAN和互联网防火墙的信息,请参阅Cato Firewalls中的知识库文章。
- 在您可以为规则的设备设置添加设备配置文件之前,您必须创建和配置设备配置文件。
- 要查看支持的客户端操作系统及版本的设备检查,请参见创建设备姿态配置文件和设备检查。
-
使用设备配置文件的规则仅在Cato客户端安装在设备上并用作身份代理时应用,无论是在远程还是在Socket后面。
有关更多信息,请参见使用Cato身份代理提高用户意识(EA 身份验证,无ZTNA许可证)。
注意:授权客户端自动用作身份代理。
这些是可添加到防火墙规则的设备设置:
当您为规则配置多个条件时,它们具有与关系,仅当流量符合所有项目中定义的条件时,规则才匹配。
在单个条件(一个单元格)内,项目之间具有或关系。 例如,一个具有平台条件为Windows和macOS的规则匹配所有Windows或macOS设备。
这是一个规则示例,其中流量必须满足所有这些设备条件:使用Windows设备,位于印度,符合设备状态配置文件1的要求。
使用设备属性条件为在网络上检测到的设备定义规则。 您可以在防火墙规则中使用以下属性:类别、类型、型号、操作系统、制造商、操作系统版本。
选择设备属性类型,然后从下拉列表中选择值。 列表会自动填充在网络上检测到的设备值。 您可以在规则中选择多个设备属性类型,并且这些属性之间有一个与关系。 例如,如果您选择操作系统为Windows,制造商为Dell,则该条件仅适用于有Windows操作系统的Dell设备。
然而,当您在一个设备属性类型中选择多个值时,它们之间存在或关系。 例如,如果选择制造商的值为Dell和HP,则该条件将匹配Dell或HP设备。
设备清单页面和功能需要单独的设备清单许可证。 关于许可证购买的更多信息,请联系您的Cato代表。
配置文件条件让您可以限制规则,仅匹配符合设备配置文件要求的设备。 此条件基于设备姿态功能,检查设备是否符合姿态要求。 例如,只有具有最新反恶意软件版本的设备才符合姿态要求。
设备配置文件当前不支持在所有客户端版本上运行,更多信息请参见创建设备姿态配置文件和设备检查。
防火墙只能确定客户端是否符合支持的客户端的设备检查。 对于每个设备检查,您可以为符合其他要求的防火墙规则(来源、应用/类别等)但不支持的客户端定义行为:
- 跳过设备检查,并将防火墙操作应用于不支持的客户端
- 应用设备检查,客户端不匹配防火墙规则,操作未被应用
下表解释了当连接符合防火墙规则的所有其他设置时,不支持的客户端的行为。 行为取决于设备检查中是否启用了或清除了(已禁用)对不支持的SDP客户端版本跳过此检查选项。
| 不支持的客户端 | 防火墙规则操作 | 客户端行为 |
|---|---|---|
| 跳过检查(已启用) | 阻止 | 不支持的客户端自动跳过设备检查,并被阻止(无法连接) |
| 允许 | 不支持的客户端自动跳过设备检查,并被允许(可以连接) | |
| 应用检查(已禁用) | 阻止 | 不支持的客户端未能匹配设备检查,防火墙跳过此规则(不应用阻止操作到连接) |
| 允许 | 不支持的客户端未能匹配设备检查,防火墙跳过此规则(不应用允许操作到连接) |
用户属性条件可让您根据用户的风险评分或信任等级定义标准。 例如,仅在用户信任等级为高时允许访问销售云。
使用信任等级属性可以在访问敏感资源时强制执行较高级别的认证要求(逐步认证)。 在阻止访问时,您可以应用一个自定义模板,告知用户他们被阻止的原因以及获取访问权限的步骤。
您可以在新的或现有的防火墙规则中配置设备条件设置。
这是一个WAN防火墙规则示例,允许所有满足以下设备条件的SDP用户双向流量:使用 Windows 操作系统设备,物理位置在韩国,满足测试策略设备配置文件的要求。
这是一个互联网防火墙规则示例,是阻止社交类别的规则的例外。 此例外允许符合以下设备条件的流量:使用 Windows 或 macOS 设备,物理位置在美国。
0 条评论
请登录写评论。