تجاوز سحابة كاتو (السياسة على مستوى الحساب)

تتناول هذه المقالة كيفية تكوين الموقع لتجاوز شبكة كاتو والتوجيه المباشر لحركة المرور على الإنترنت.

ملخص

تتيح لك سياسة التجاوز تحديد قواعد لتجاوز حركة المرور على الإنترنت بحيث يخرج مباشرة إلى الإنترنت بدلاً من التوجيه إلى شبكة Cato. هذه سياسة على مستوى الحساب تنطبق عالميًا على جميع مواقع المقبس (Socket) في حسابك. لا تقوم نقاط الخدمة في شبكة كاتو بفحص حركة المرور المتجاوزة للإنترنت ولا تطبيق سياسات الأمن. بالإضافة إلى ذلك، لا يتم تطبيق قواعد حركة المرور المستندة إلى التطبيقات أو الفئات التي يتم فرضها في شبكة Cato. يواصل المقبس (Socket) تطبيق ملفات تعريف عرض النطاق الترددي وجودة الخدمة (QoS) على حركة المرور التي تم تجاوزها في الاتجاه الصاعد. لا يتم تطبيق جودة الخدمة (QoS) في الاتجاه المنحدر لأن نقاط التواجد (PoPs) قد تم تجاوزها.

يتم إرسال حركة مرور الإنترنت التي تم تجاوزها عبر واجهة WAN للمقبس (Socket). تولد آلية داخلية للمقبس درجات لكل واجهة WAN، والتي يتم حسابها كل ثانية بناءً على مجموعة من المعايير مثل فقدان الحزم، التذبذب، التأخير، والازدحام.

السلوك الافتراضي هو أن يختار المقبس (Socket) تلقائيًا منفذ WAN لحركة المرور التي تم تجاوزها بناءً على أفضل درجات. يمكن للمقبس اختيار منافذ WAN مختلفة لتدفقات مختلفة.

Bypass_Policy_Account_Level.png

حالة الاستخدام - تجاوز حركة مرور تحديثات ويندوز

يمكن أن تستهلك حركة مرور تحديثات ويندوز الكثير من عرض النطاق الترددي ولا يتطلب دائمًا فحصه من قبل شبكة Cato. لتعزيز الأداء، يقوم المدراء بتكوين قاعدة تجاوز باستخدام تطبيق تحديثات ويندوز المعرفة مسبقًا كوجهة. تقوم الأجهزة التي تعمل بنظام Windows بتحميل التحديثات مباشرة من Microsoft عبر اتصال الإنترنت المحلي.

المتطلبات الأساسية

  • مدعومة لمواقع Socket وvSocket بإصدار Socket v25 وما فوق.

  • للقواعد التجاوز القائمة على أسماء المجالات الكاملة، أو النطاقات، أو التطبيقات المخصصة، قم بتكوين DNS كاتو كخادم DNS لحركة المرور ذات الصلة.

كيف يعمل تجاوز مستوى الحساب

قواعد التجاوز بناءً على التطبيقات المعرفة مسبقًا

لتسهيل تكوين حركة مرور التطبيقات في مواقع المقبس (Socket) لتخرج مباشرة إلى الإنترنت، يمكنك تعريف قواعد باستخدام التطبيقات المعرفة مسبقًا التي تشمل جميع عناوين IP الوجهة ذات الصلة للتطبيق. تحافظ Cato على هذه التطبيقات المعرفة مسبقًا بحيث عندما يتم تحديث عناوين IP للتطبيق، يتم تطبيق سياستك تلقائيًا على العناوين الجديدة. على سبيل المثال، بدلاً من الاضطرار إلى تكوين وتتبع جميع عناوين IP العامة لـ Zoom، يمكنك ببساطة اختيار التطبيق المعرفة مسبقا Zoom وتضمن Cato أن الوجهات الصحيحة قد تم تجاوزها.

قواعد التجاوز بناءً على الأسماء المؤهلة بالكامل للنطاقات (FQDNs)، النطاقات، والتطبيقات المخصصة

يمكنك إنشاء قواعد تجاوز بناءً على الأسماء المؤهلة بالكامل للنطاقات (FQDNs)، النطاقات، والتطبيقات المخصصة للتحكم التفصيلي في الوجهات التي تخرج مباشرة من المقبس (Socket) إلى الإنترنت. من خلال مطابقة حركة المرور بمعرفات مرتكزة على DNS بدلاً من عناوين IP الفردية، تتجنب متابعة ثنائيات IP المتغيرة يدويًا وتقليل الصيانة الجارية. التطبيقات المخصصة تتيح لك تجميع العديد من الأسماء المؤهلة بالكامل للنطاقات (FQDNs)، النطاقات، أو نطاقات IP في كائن قابل لإعادة الاستخدام، مما يسهل إدارة سياستك، ويوفر قراءة أفضل وثباتًا عبر القواعد.

كيف ترتبط سياسة التجاوز بسياسات جدار الحماية الخاص بشبكة Cato

لا يتم فرض سياسات جدار الحماية الخاصة بـ Cato على حركة المرور التي تطابق قاعدة سياسة تجاوز. حيث إن حركة المرور المتجاوزة لا تُرسل إلى شبكة كاتو، فإن قواعد الإنترنت والجدار الناري للـ WAN لا تطبق عليها. على الرغم من أن كل من سياسة التجاوز وجدار الحماية للجيل الجديد في المقبس (الـ LAN) يتم فرضها محليًا على المقبس، فإنها تخدم أغراضًا مختلفة وتطبق على أنواع مختلفة من حركة المرور. يتم التحكم في جدار الحماية للجيل الجديد الخاص بالمقبس (الـ LAN) في حركة المرور الأفقية والتخطيط داخل الموقع، بينما تطبق سياسة التجاوز فقط على حركة المرور التي تخرج مباشرة إلى الإنترنت.

مراجعات السياسة والتحرير المتزامن من قبل عدة مدراء

تتيح سياسة التجاوز لمدراء مختلفين تحرير السياسة بالتوازي. يمكن لكل مدير تحرير القواعد وحفظ التغييرات في قاعدة القواعد الخاصة به في مراجعهم الخاصة ومن ثم نشرها في سياسة الحساب (التعديل المنشور). للحصول على مزيد من المعلومات حول كيفية إدارة مراجعات السياسة، انظر العمل مع مراجعات السياسة.

تعريف قواعد التجاوز

أنشئ قاعدة تجاوز وقم بتكوين الإعدادات لإدارة حركة المرور التي تخرج مباشرة إلى الإنترنت.

المنفذ المفضل للمقبس

بشكل افتراضي، يختار المقبس (Socket) تلقائيًا واجهة WAN التي تحتوي على أفضل درجة. يمكنك اختياريًا تعيين منفذ مقبس مفضل (على سبيل المثال، WAN2). إذا كانت درجات WAN متشابهة، يفضل المقبس (Socket) واجهة WAN المختارة (طالما أنها متصلة). إذا فقد الاتصال، يختار المقبس دور WAN مختلف.

لمزيد من المعلومات حول العناصر "المصدر" و"الوجهة" للقاعدة، راجع المرجع لأجسام القواعد.

Bypass_Policy_Account_Level_new_rule.png

لتعريف قاعدة تجاوز لحركة المرور على الإنترنت:

  1. من قائمة الملاحة، اختر الشبكة > تجاوز.

  2. انقر على جديد، ثم اختر قاعدة جديدة من القائمة المنسدلة.

  3. أدخل الاسم للقاعدة.

  4. قم بتمكين أو تعطيل القاعدة باستخدام الشريط (الأخضر لتمكين، الرمادي لتعطيل).

  5. قم بتكوين الموقع للقاعدة في قاعدة القواعد.

  6. قم بتوسيع قسم الموقع وحدد المواقع والأو مجموعة التي تنطبق عليها القاعدة. القيمة الافتراضية هي أي.

  7. قم بتوسيع قسم المصدر وحدد عنصر أو أكثر لمصدر حركة المرور لهذه القاعدة.

    عندما يكون هناك أكثر من عنصر مصدر في قاعدة، تكون هناك علاقة أو بينهم. القيمة الافتراضية هي أي.

  8. قم بتوسيع قسم الوجهة وحدد وجهات حركة المرور واحدة أو أكثر لهذه القاعدة.

    عندما يكون هناك أكثر من عنصر وجهة في قاعدة، تكون هناك علاقة أو بينهم. القيمة الافتراضية هي أي.

  9. قم بتوسيع قسم الخدمة/المنفذ وحدد الخدمات البسيطة و/أو المخصصة التي تنطبق عليها القاعدة:

    • لخدمة بسيطة، اختر الخدمة من القائمة المنسدلة.

    • لخدمة مخصصة، أدخل البروتوكول والمنفذ بصيغة protocol/port. على سبيل المثال، TCP/80 لمنفذ واحد، TCP/80-88 لنطاق المنافذ.

    عندما يكون هناك أكثر من عنصر خدمة/منفذ في قاعدة، تكون هناك علاقة أو بينهم. القيمة الافتراضية هي أي.

  10. قم بتوسيع قسم الإجراءات وحدد الموقع المفضل للمنفذ والمراقبة.

    • (اختياري) في "الموقع المفضل للمنفذ"، اختر منفذ WAN الذي سيستخدمه المقبس كمنفذ WAN المفضل للمرور المتجاوز. عند تحديد "تلقائي"، يقرر المقبس المنفذ الأمثل لحركة المرور المتجاوزة.

    • (اختياري) اختر خيار الحدث للقاعدة لتوليد الأحداث عندما يتم مطابقتها بحركة المرور.

  11. انقر على حفظ لحفظ التغييرات.

    يتم حفظ التغييرات في النسخة الغير منشورة الخاصة بك وتكون متاحة للتعديل حتى يتم نشرها أو التخلص منها.

تخصيص مهلة تدفق الجلسة

لمواقع المقبس وvSocket، تكون مهلة الجلسة الافتراضية 60 ثانية. بعد هذه المدة، يوجد مهلة عدم نشاط لتدفق المرور، ويغلق المقبس التدف قالمنقول.

يمكنك استخدام واجهة جوية المقبس لتخصيص مهلة تدفق الجلسة. ومع ذلك، فإن هذه الإعدادات المخصصة غير ثابتة، وإذا أعيد تشغيل المقبس، بما في ذلك التحديث إلى إصدار جديد، فإنه يعود إلى مهلة الجلسة الافتراضية 60 ثانية. لتكوين انتهاء تدفق الجلسة المخصص بشكل دائم، الرجاء التواصل مع Support.

لتخصيص مهلة تدفق تجاوز الجلسة:

  1. تسجيل الدخول إلى واجهة جوية المقبس:

    1. من قائمة الملاحة، اختر الشبكة > المواقع، ثم اختر الموقع.

    2. من قائمة الملاحة، اختر "تكوين الموقع > المقبس".

    3. من قائمة الإجراءات الخاصة بالمقبس، اختر واجهة جوية المقبس.

  2. من علامة تبويب إعدادات اتصال السحاب، في قسم مهلة التدفق (للتدف قالمنقول فقط)، أدخل قيمة المهلة الجديدة.

  3. انقر على تحديث.

القيود المعروفة

  • يعتمد التجاوز القائم على أسماء المجالات الكاملة على توافق DNS إلى IP، والذي يمكن أن يكون غير دقيق عندما تكون الخدمات مستضيفة خلف CDNs. إذا تم حل أسماء النطاقات المتعددة إلى نفس IP مشتركة في CDN، فقد يؤدي ذلك إلى نتائج إيجابية خاطئة لقواعد معينة، وقد يتم تجاوز حركة المرور لأسماء نطاقات أخرى عن غير قصد.

هل كان هذا المقال مفيداً؟

1 من 4 وجدوا هذا مفيداً

لا توجد تعليقات