مشكلة

يتم إنشاء عدة أحداث CMA، مثل جدار الحماية الإنترنت/WAN ونظام منع التسلل IPS والمقاومة للاسترجاع العكسي RPF أو مكافحة البرامج الضارة لنفس تدفق حركة المرور. يمكن أن يكون وجود أحداث متعددة لنفس الحركة مربكًا عند استكشاف إجراءات مسموحة أو محظورة على سحابة Cato.

استكشاف الأخطاء وإصلاحها

يمكن ملاحظة هذا السلوك عبر أنواع مختلفة من أحداث CMA. فيما يلي بعض السيناريوهات المحتملة التي يمكن أن تحدث:

عمليات الحدث نفسها

في هذا السيناريو، تم حظر تدفق الحركة بواسطة محرك جدار الحماية لأنه تم تصنيفه كـ "botnet"، وهي فئة محظورة في قاعدة جدار الحماية للإنترنت. في نفس الوقت، قام محرك نظام منع التسلل IPS أيضًا بحظر الحركة لأنه تطابق مع توقيع IPS "cid_heur_suspicious"، والذي يعتمد أيضًا على فئة الموقع. 

عمليات الحدث المختلفة

في هذا السيناريو، يتم حظر تدفق الحركة في البداية بواسطة محرك IPS بسبب سياسة تقييد الجغرافيا. ومع ذلك، يتم إنشاء اتصال TLS/HTTP مع العميل للحصول على معلومات الحركة بحيث يمكن لمحرك جدار الحماية اتخاذ قرار، والذي في هذه الحالة هو السماح (الإجراء: مراقبة) تدفق الحركة. في النهاية، يتم حظر الحركة بواسطة محرك IPS ولا تصل أي حزم إلى عنوان IP الوجهة.

تفسير

كما هو موضح في فهم تدفق الحزم مع Cato، تتضمن سحابة Cato مجموعة متنوعة من محركات الشبكات والأمن تعمل بالتوازي. هذا يعني أنه لا توجد أولوية لمحرك واحد لتقييم الحركة على آخر.

علاوة على ذلك، لا يتم اتخاذ قرارات الحظر/السماح على الفور. ينتظر PoP حتى يتم الوصول إلى مرحلة طلب/استجابة معينة (مثل طلب HTTP)، ويقوم كل محرك بإجراء عملية حظر أو سماح نهائية. لهذا السبب قد نلاحظ أحداثًا متعددة تُنتج في CMA مع استنتاجات الحظر/السماح نفسها أو المختلفة.

عندما يتم رؤية إجراءات مختلفة في أحداث مختلفة، سيأخذ إجراء الحظر الأولوية على إجراء السماح.