为账户配置远程端口转发

远程端口转发 (RPF) 允许您将来自互联网的入站连接通过 Cato Cloud 指向内部 LAN 主机。 然后连接可受益于不同的 Cato 安全服务。

注意

注意: RPF 不支持位于中国的 PoP。 您无法为这些中国 PoP 选择一个已分配 IP。

Cato 远程端口转发概览

您可以使用允许运行列表或阻止列表方法控制对 RPF 资源的入站访问控制:

  • 允许列表 - 阻止所有来源(IP地址和范围),仅允许经过专门配置的来源
  • 阻止列表 - 允许所有来源(IP地址和范围),仅阻止专门配置的来源

阻止列表方法推荐用于需要控制互联网面对 RPF 资源访问且未明确或定义所允许来源的情况下。 这种方法提供通过 Cato 管理应用程序或 API 配置阻止来源列表的选项。 阻止列表可能基于客户维护的阻止列表、私人安全提供、特定地理记录,以及来自第三方系统的指示。

注意

注意: Cato 入侵防御系统保护入站 RPF 流量,但不在入站流量上执行 TLS 检查。 这意味着入侵防御系统无法检查加密流量的内容,但它会基于声誉检查(如扫描器、端口扫描器、已知 C&C 等)检查流量。

Cato 防火墙中的反欺骗保护

NGFW 的基本功能之一是保护防止反欺骗攻击。 Cato Cloud 中的安全引擎会隐式丢弃任何来源 IP 超出配置实体范围(如站点、网络范围、设备或用户)的连接。 这样可以阻止反欺骗攻击,并防止配置的逻辑拓扑违规。

多个管理员的政策修订与并行编辑

远程端口转发策略允许不同的管理员并行编辑策略。 每个管理员可以编辑规则并将更改保存到自己的私人修订版本,然后将其发布到账户策略(已发布修订版)。 有关如何管理策略修订的更多信息,请参见Working with Policy Revisions

了解自主洞察

RPF_auto.png

远程端口转发洞察是一系列最佳实践,评估您的远程端口转发策略,并显示它们如何符合 Cato 的建议。 遵循这些建议可以优化您的防火墙配置,提高安全性。

有两种类型的洞察:

  • 星标图标(由 AI 驱动):您远程端口转发策略中已启用的规则将通过人工智能 (AI) 自动分析以检测问题,例如,哪些规则可以被丢弃或修改,如:

    • 过期规则带有未来截止日期的规则: 为解决特定需求而创建的规则,其期望的截止日期已过或尚未到达,或者无法证明/评估。
    • 临时规则: 作为针对紧急需求的短期解决方案推出。 这些规则通常在部署或开发适当或永久解决方案时临时发挥作用。
    • 测试规则: 明确为验证、调试或实验特定功能或场景而创建的规则。
  • 基于配置: 您远程端口转发策略中的配置和设置,以确保它们遵循最佳实践。

启用远程端口转发

要启用远程端口转发:

  1. 从导航菜单中,单击 安全 > 远程端口转发
  2. 单击禁用滑块。 滑块为绿色表示 RPF 已启用。
  3. 单击 保存。 账户的 RPF 已启用。

定义远程端口转发规则

RPF 规则的外部 IP 是 Cato 分配的 IP 地址。 有关更多信息,请参见为账户分配 IP 地址。 对于内部应用程序,请在规则中使用内部 IP 和端口。

当您定义 RPF 规则时,为 允许的远程 IP 设置提供不同选项:

  • 以以下格式之一输入特定 IP 地址或 IP 范围:

    • IP地址范围 - 192.0.2.10-192.0.2.20
    • 子网(CIDR)- 192.0.2.0/24

    您还可以粘贴用逗号分隔的多个 IP 地址和范围列表,例如:10.1.1.1, 10.2.1.1-10.2.1.105

  • 启用跟踪和通知。

如果您的网络需要从多个外部端口映射到单个内部端口,可以通过创建多个 RPF 规则来配置。

外部到内部端口的映射是基于外部内部端口范围顺序的一对一映射。 例如,外部端口范围 5000-5005 映射到内部端口范围 6103-6108。 这意味着外部端口 5000 映射到内部端口 6103,外部端口 5001 映射到内部端口 6104,依此类推。

RemotePortForwarding.png

注意

注意: 对于具有 IPSec 站点的账户,如果 RPF 规则的外部 IP 与 IPSec 站点的 IP 地址重叠,请确保规则排除此 IPsec 隧道端口 UDP/500 和 UDP/4500。

要定义远程端口转发规则:

  1. 从导航菜单中,单击安全性 > 远程端口转发

    远程端口转发页面打开到您现有的未发布修订版,或最新版本修订版。

  2. 单击 新建添加规则 面板将打开。
  3. 输入规则的 名称
  4. (可选) 选择 转发 ICMP 以启用此规则的 ICMP 消息转发。
  5. 外部 部分,定义 Cato 分配的 外部 IP 以及 外部端口范围,用于 PoP 监控的端口。
  6. 内部 部分,输入流量被转发到的 内部 IP 地址和 内部端口范围
  7. 远程 IPs 部分,选择此规则是 允许列表 还是 阻止列表
    1. 定义唯一允许连接到主机的流量:
      1. 选择 允许列表
      2. 根据 IP子网选择 流量来源。 这些是允许执行 RPF 至主机的 IP 地址和范围。
      3. 点击 add.png (添加) 以添加更多允许的远程 IP。
    2. 允许所有流量到此主机,并定义被阻止且无法连接的来源:
      1. 选择 阻止列表
      2. 根据 IP子网选择 流量来源。 这些是被阻止且无法执行 RPF 至主机的 IP 地址和范围。
      3. 点击 add.png (添加) 以添加更多被阻止的远程 IP。
  8. (可选) 定义与规则匹配的流量的电子邮件通知。 有关更多信息,请参阅账户级别警报和系统通知
  9. 单击 应用。 规则已添加。

  10. 点击 保存

    变更保存到您的未发布修订版本中,并在发布或丢弃前可进行编辑。

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论