<b>ট্রাফিক</b> মাঝে মাঝে <strong>ফায়ারওয়াল নিয়ম</strong> এর সাথে <i>মিলেনি</i>

সমস্যা

এই নিবন্ধটি বর্ণনা করে কারণ, একই গন্তব্যে যাওয়া সত্ত্বেও, কিছু সংযোগ Cato দ্বারা অবরুদ্ধ হয় এবং অন্যান্য সংযোগ অনুমোদিত হয়।

উদাহরণস্বরূপ, নিচের ইভেন্ট আবিষ্কার দেখায় কিভাবে একই সোর্স একই গন্তব্য IP এবং প্রোটোকলে সংযোগ করার চেষ্টা করেছে। তবে, যখন একটি সংযোগ অবরুদ্ধ হয়, অন্যটি অনুমোদিত ছিল।

eventdiscoverycat.jpg

সমস্যা সমাধান

এই সেকশনে, আমরা Cato দ্বারা সংযোগগুলি বিভিন্নভাবে প্রভাবিত হতে পারে এমন বিভিন্ন সাধারণ পরিস্থিতি অন্বেষণ করব। এই পরিস্থিতিগুলি বুঝতে থাকা বেশ কার্যকরভাবে সংযোগের সঠিককরণ এবং সমস্যা সমাধানে সহায়ক। আসুন নিচে তাদের প্রতিটির মধ্যে কিছু বিশদ আলোচনা করি।

1. অপ্রতিসম রাউটিং

যখন Cato সম্পূর্ণ প্রবাহে দৃশ্যমান হয় না, তখন এটি ডেটাকে যথাযথভাবে অ্যাপ্লিকেশনে শ্রেণিবদ্ধ করতে জরুরি তথ্যের অভাব হতে পারে। ফলে, বিশেষ প্রোটোকল যেমন HTTPS অনুমদিত থাকলেও, অসমমিত রাউটিং এর কারণে প্রবাহ ভুল ভাবে TCP হিসেবে শ্রেণীবিভাগ করা হতে পারে। দুঃখজনকভাবে, এই ভুল শ্রেণীবিভাগ ততসময় পর্যন্ত সংযোগকে অবরুদ্ধ করতে পারে, যেহেতু এটি অনুমোদিত ফায়ারওয়াল নিয়মের সাথে মেলেনা। এটি আরও তদন্ত করতে, যখন সমস্যাটি ঘটে, তখন সোর্স এবং গন্তব্যে এবং গন্তব্য থেকে সোর্সে উভয় দিকেই ট্রেসরাউট করার পরামর্শ দেওয়া হচ্ছে। ফরওয়ার্ড এবং রিভার্স পথের তুলনা করে, আমরা এটি যাচাই করতে পারি যে এটি সত্যিই সমস্যার কারণ কিনা।

2. ওভারল্যাপিং কাস্টম অ্যাপ্লিকেশন

যখন কোনও প্রভাবিত সংযোগের সাথে কাস্টম অ্যাপ্লিকেশন জড়িত থাকে, তখন তার সংজ্ঞা ভালভাবে পরীক্ষা করা অত্যন্ত জরুরী। অত্যধিক সরলীকৃত একটি কাস্টম অ্যাপ্লিকেশনের সংজ্ঞা Cato কে আয়ত্তহীন ভাবে অ্যাপ্লিকেশনটি সনাক্ত করার প্রবণতা সৃষ্টি করতে পারে। ফায়ারওয়াল নিয়ম যদি কাস্টম অ্যাপে সংযোগের অনুমতি দেয়, কিন্তু কাস্টম অ্যাপটি সংজ্ঞার কারণে এর সনাক্তকরণ অসঙ্গত হয়ে যায়, তবে সংযোগের ইন্টারমিটেন্ট ব্লকিং হতে পারে। সুতরাং, কাস্টম অ্যাপ্লিকেশনের জন্য প্রতিযোগিতা সম্পাদন করার সময়, আমরা কাস্টম-অ্যাপ্লিকেশনের সঙ্গে কাজ করার জন্য বর্ণিত সর্বোত্তম অনুশীলন অনুসরণ করার সুপারিশ করছি।

3. ব্যবহারকারী সচেতনতার বিলম্ব

যখন কোন ব্যবহারকারী প্রথমে Cato নেটওয়ার্কের সাথে সংযুক্ত হয়, তখন উভয় AD-এর উপর ভিত্তি করে এবং আইডেন্টিটি-এজেন্ট-এর ভিত্তিতে ব্যবহারকারী সচেতনতার প্রক্রিয়া আয়ত্ত করতে কয়েক সেকেন্ড লাগতে পারে যাতে উৎস IP ঠিকানা সংশ্লিষ্ট ব্যবহারকারীর নামের সাথে মানচিত্র করা যায়। এই সংক্ষিপ্ত সময়কালে, প্রাথমিক ব্যবহারকারীর ট্র্যাফিক একটি অপ্রত্যাশিত ফায়ারওয়াল নিয়মের অধীনে প্রক্রিয়াজাত হতে পারে। তবে, যখন ব্যবহারকারী সচেতনতার সঠিকভাবে ব্যবহারকারীর নামকে শনাক্ত করে, তখন উপযুক্ত ফায়ারওয়াল নিয়ম প্রয়োগ হবে।

4. নিয়মে পুরো ডোমেইন নাম FQDN

Cato দ্বারা সর্বদাই একই সংযোগগুলি ভিন্নভাবে পরিচালনা করা হয় (ব্লকড বা অলাউড) যখন পূর্ণ ডোমেইন নাম (FQDN) ফায়ারওয়াল নিয়ম বা কাস্টম বিভাগ/অ্যাপ্লিকেশনে ব্যবহৃত হয়। বিস্তারিত আলোচনায় যাওয়ার আগে, দুটি ইভেন্ট বিশ্লেষণ করি, উভয় একই সোর্স IP থেকে এসেছে এবং একই গন্তব্য IP এবং পোর্টে গেছে, কিন্তু ভিন্ন ফলাফল দিয়ে—একটি অনুমোদিত এবং অন্যটি অবরুদ্ধ।

event-review.jpg

ফায়ারওয়াল নিয়মগুলি পর্যালোচনা করুন

প্রদত্ত উদাহরণে, সংযোগ WAN ফায়ারওয়াল নিয়মের উপর ভিত্তি করে বা ব্লকড বা অলাউড হয়।

অন্য তদন্তে যাওয়ার জন্য, এই ধাপগুলি অনুসরণ করুন:

  • CMA এর মধ্যে WAN ফায়ারওয়ালের সেকশনে দিন এবং প্রাসঙ্গিক নিয়মগুলি অনুসন্ধান করুন।

  • এটি স্পষ্ট হয় যে নিয়ম 1 মনিটর (অলাউ) ইভেন্টের সাথে সঙ্গতিপূর্ণ। এই নিয়ম বিশেষভাবে অনুমোদিত করে সংযোগ যা "অভ্যন্তরীণ ওয়েব সার্ভার" হিসাবে শ্রেণিভুক্ত। নিয়মটিতে ক্লিক করলে দেখা যায় যে "অভ্যন্তরীণ ওয়েব সার্ভার" কাস্টম ক্যাটাগরি থেকে এসেছে।

  • উল্লেখযোগ্যভাবে, নিয়ম 5 ব্লক ইভেন্টের সাথে সামঞ্জস্যপূর্ণ। এটি HTTP(s) ট্রাফিকের পাশাপাশি অন্যান্য সেবাসমূহ ব্লক করার জন্য ডিজাইন করা হয়েছে।wanFWrule.jpg

অ্যাপ/ক্যাটেগরি পর্যালোচনা করুন

এখন যেহেতু আমরা ফায়ারওয়াল নিয়ম থেকে সিদ্ধান্ত নিয়েছি যে "অভ্যন্তরীণ ওয়েব সার্ভার" কাস্টম ক্যাটাগরির উপর ভিত্তি করে সংযোগটি অনুমতি দেওয়া হয়েছে, আসুন আরও তদন্ত করি এই মিলের শর্তটি বোঝার জন্য।

  • সম্পদে যান > বিভাগসমূহ > কাস্টম ক্যাটাগরি

  • কাস্টম ক্যাটাগরিগুলির তালিকায়, "অভ্যন্তরীণ ওয়েব সার্ভার" ক্যাটাগরিটি খুঁজে এবং নির্বাচন করুন।

  • ক্যাটাগরির বিস্তারিত বিশ্লেষণে দেখা যায় যে "অভ্যন্তরীণ ওয়েব সার্ভার" ক্যাটাগরির সদস্য পুরো ডোমেইন নাম (FQDN) webserver.dyow-homelab.com এর সাথে মিলে যায়।

  • এটি নির্দেশ করে যে পুরো ডোমেইন নামের সাথে মেলা সংযোগগুলি অনুমোদিত হবে। (Cato সঠিকভাবে হোস্টনেম সনাক্ত করতে সক্ষম হয়, আমাদের DNS প্রশ্ন/প্রতিক্রিয়া দেখতে হবে)
    customercat.jpg

  • যেকোনো সংযোগ যা পুরো ডোমেইন নামের সাথে পুরোপুরি মেলেনা তা অস্বীকৃত হবে। উদাহরণস্বরূপ, যদি পরিদর্শিত ওয়েবসাইটটিতে "www" অন্তর্ভুক্ত থাকে, যেমন www.webserver.dyow-homelab.com (ডিএনএস কুয়েরি অনুযায়ী), এটি CMA-এর নির্ধারিত পুরো ডোমেইন নাম (FQDN) এর সাথে মিল করবে না। এই সমস্যার সমাধান করতে, পরিবর্তে একটি ডোমেইন অবজেক্ট নির্ধারণ করা যায়। এটি নির্ধারিত ডোমেইন অন্তর্ভুক্ত করা সমস্ত সাবডোমেইনগুলির সাথে মিল নিশ্চিত করবে। দেখুন Cato WAN Firewall
  • উপরের ব্লকড সংযোগ উদাহরণে, ব্যবহারকারী তার গন্তব্য IP ঠিকানা ব্যবহার করে সার্ভারে অ্যাক্সেস করার চেষ্টা করেছিল, পুরো ডোমেইন নামের পরিবর্তে। এই ক্ষেত্রে, যেহেতু কোনো DNS প্রশ্ন/প্রতিক্রিয়া ছিল না, Cato হোস্টনেম সনাক্ত করতে সক্ষম ছিল না, এবং নিয়ম মেলেনি।
  • যেসব পরিস্থিতিতে ব্যাবহারকারী দ্বারা সরাসরি IP অ্যাক্সেস হয় ডিএনএস অনুরোধ ছাড়াই, Cato তার DNS ক্যাশ ব্যবহার করে প্রদত্ত IP এর সাথে একটি ডোমেইনের মিল করতে চেষ্টা করে। যদি ক্যাশে কোনো ডোমেইন অন্তর্ভুক্ত না থাকে, তাহলে Cato এটি একটি হোস্টনেম বা পুরো ডোমেইন নামের সাথে যুক্ত করতে অক্ষম হবে। ফলস্বরূপ, উল্লেখিত উদাহরণে সংযোগটি ব্লক করা হবে।
  • অতএব, যখন একটি অনুমতি দিন ফায়ারওয়াল নিয়ম পুরো ডোমেইন নাম (FQDN) ভিত্তিক মিল করার জন্য কনফিগার করা হয়, তখন গ্রাহককে তার ডোমেইন নাম ব্যবহার করে সার্ভার অ্যাক্সেস করতে হবে যাতে অবিচ্ছিন্ন সংযোগ সক্ষম হয়।
    নোট: যদি আপনি অভ্যন্তরীণ ডিএনএস সার্ভার ব্যবহার করা হয়, তবে নিশ্চিত করুন যে সমস্ত ডিএনএস কোয়েরি গন্তব্য ডিএনএস সার্ভার কনফিগার করা থাকুক বা না থাকুক, তা ক্যাটো ক্লাউডের মাধ্যমে রাউটেড হয়। DNS এর সর্বোত্তম অনুশীলনের জন্য, দেখুন DNS এবং আপনার Cato অ্যাকাউন্টের জন্য সর্বোত্তম অনুশীলন 

বিকল্প সমাধান

এমন ক্ষেত্রে যেখানে ফায়ারওয়াল নিয়মের অসম্পূর্ণতা অব্যাহত থাকে, এমনকি সাইটটি তার ডোমেইন নাম ব্যবহার করে অ্যাক্সেস করার পরেও এবং DNS প্রশ্ন/প্রতিক্রিয়াগুলি বাস্তবিকভাবে Cato মাধ্যমে যাচ্ছে, নিম্নলিখিত সমাধানগুলি বাস্তবায়ন করা যেতে পারে:

  • ব্যবহারকারীর PC-তে থাকা DNS ক্যাশে PoP-এ থাকা DNS ক্যাশ থেকে আলাদা হতে পারে যা Cato কে সার্ভার IP ঠিকানাকে পুরো ডোমেইন নাম (FQDN) এর সাথে সম্পর্কিত করতে বাধা দেবে। যেসব ক্ষেত্রে অভ্যন্তরীণ DNS সার্ভার ব্যবহৃত হয়, সেখানে DNS TTL (টাইম-টু-লাইভ) কমিয়ে দেয়া যেতে পারে এবং এর ফলে PC কে DNS কোয়েরিগুলো আরও ঘন ঘন উৎপন্ন করতে বাধ্য করে।
  • ফায়ারওয়াল নিয়মে ব্যবহৃত কাস্টম অ্যাপ/বিভাগে সার্ভারের সাথে সামঞ্জস্যপূর্ণ একটি IP/পোর্ট সংমিশ্রণ ব্যবহার করুন। উপরে দেওয়া উদাহরণে, কাস্টম অ্যাপটি IP ঠিকানা 192.168.2.25 এবং পোর্ট 8080 এ সেট করুন। এটি নিয়ম মিল করতে বাধ্য করবে এমনকি যদি DNS ক্যাশ এর সাথে অমিল থাকে বা Cato Cloud এর উপর DNS কোয়েরিগুলি অনুপস্থিত থাকে।

এই নিবন্ধটি কি সহায়ক ছিল?

5 জনের মধ্যে 4 জন এটিকে সহায়ক বলে মনে করেছেন

0 মন্তব্য