Cato SPACE আর্কিটেকচার দ্বারা প্যাকেট প্রবাহ বোঝার সহজভাবে

এই প্রবন্ধটি Cato এর Single Pass Cloud Engine আর্কিটেকচার (SPACE) এর ভিত্তিতে PoP এর নিরাপত্তা ইঞ্জিনগুলির জন্য প্যাকেট প্রবাহ ব্যাখ্যা করে।

সারসংক্ষেপ

Cato এর SPACE আর্কিটেকচার একটি একক সার্ভিসের মাধ্যমে ট্রাফিক প্রবাহ পরীক্ষা এবং প্রক্রিয়াকরণ করে। এই সার্ভিসটি একই সময়ে ট্রাফিক প্রবাহ বিশ্লেষণ এবং প্রক্রিয়াকরণের জন্য একাধিক নেটওয়ার্কিং এবং নিরাপত্তা ইঞ্জিন অন্তর্ভুক্ত করে। এই আর্কিটেকচার বিভিন্ন পয়েন্ট সমাধানগুলিকে সার্ভিস চেইনিং-এর মাধ্যমে মিলিত করার সীমাবদ্ধতা এড়ায়। প্রবাহের জন্য একক পাস বিলম্ব কমায় এবং সম্পূর্ণ নেটওয়ার্ক পারফরম্যান্স উন্নত করে। প্রত্যেক PoP সমস্ত Cato-এর SPACE সার্ভিস এবং ইঞ্জিনগুলি ব্যবহার করে এই নেটওয়ার্কিং এবং নিরাপত্তা সিদ্ধান্তগুলি বাস্তবায়ন করতে পারে।

নিরাপত্তা এবং নেটওয়ার্কিং ইঞ্জিনগুলির পূর্ণ প্রবাহের জন্য ডেটা অ্যাক্সেস রয়েছে এবং তারা একই সাথে ডেটা মূল্যায়ন করে এবং শেয়ার করে। ইঞ্জিনগুলি সমান্তরালে কাজ করে, এক ইঞ্জিনের অন্যের ওপর ট্রাফিক মূল্যায়নের জন্য কোনো অগ্রাধিকার নেই। ইঞ্জিনগুলি প্রতিটি PoPতে রয়েছে এবং তারা ভিন্ন অবস্থানে অবস্থিত ইঞ্জিন থেকে তথ্যের জন্য অপেক্ষা না করে ডেটা শেয়ার করতে পারে।

উদাহরণস্বরূপ, একটি ফায়ারওয়াল নিয়ম macOS ডিভাইসগুলিকে ব্লক করে, তবে ফায়ারওয়াল ইঞ্জিন প্রথম প্যাকেট থেকে এই ডেটাটি পেতে পারে না এবং আরও ডেটার জন্য অপেক্ষা করে। যখন একটি ভিন্ন ইঞ্জিন ডিভাইসটিকে macOS হিসাবে সনাক্ত করে, তখন ফায়ারওয়াল নিয়ম ক্রিয়া অনুযায়ী প্রবাহটিকে ব্লক করে।

SPACE নেটওয়ার্ক এবং নিরাপত্তা সার্ভিসের সারসংক্ষেপ

এই অংশে নেটওয়ার্ক এবং নিরাপত্তা সার্ভিস এবং ইঞ্জিনগুলিকে তালিকাভুক্ত করা হয়েছে যা প্যাকেট প্রবাহের বিভিন্ন পর্যায়ে PoPতে প্রয়োগ হয়।

  • Cato নীতি এবং ইঞ্জিন

    • ফায়ারওয়াল - ইন্টারনেট এবং WAN ফায়ারওয়ালের জন্য ফায়ারওয়াল নীতি

    • নেটওয়ার্ক - রাউটিং এবং QoS অগ্রাধিকার জন্য নেটওয়ার্ক নিয়ম নীতি

    • IPS/SAM - IPS সুরক্ষা এবং সন্দেহজনক কার্যকলাপ মনিটরিং (SAM)

    • অ্যাপ নিয়ন্ত্রণ - অ্যাপ্লিকেশন নিয়ন্ত্রণ নীতির জন্য অ্যাপ সনাক্তকরণ

      • অ্যাপ নিয়ন্ত্রণ gen2 - অ্যাপগুলি অ্যাক্সেস ভিত্তিক নিয়ম: অনুমতি দিন বা ব্লক করুন

      • অ্যাপ নিয়ন্ত্রণ gen3 - বিশদ নিয়মের জন্য অ্যাপস: আপলোড, ডাউনলোড ইত্যাদি

    • TLSi - HTTPS এবং এনক্রিপ্টেড ট্রাফিকের জন্য TLS পরিদর্শন

    • DLP - ডেটা লস প্রোটেকশন (DLP) নীতির জন্য বিষয়বস্তু পরিদর্শন

    • AM/NGAM - এন্টি-ম্যালওয়্যার এবং নেক্সট-জেন এন্টি-ম্যালওয়্যার সংযোজন করা ফাইলগুলিকে ম্যালওয়্যার হিসেবে স্ক্যান করা

  • ট্রাফিক প্রবাহের ডেটা এবং প্রোটোকল

    • অ্যাপ্লিকেশন সনাক্তকরণ - নিরাপত্তা বা নেটওয়ার্কিং নীতির জন্য নির্দিষ্ট অ্যাপ্লিকেশনের সনাক্তকরণের জন্য বিভিন্ন মানদণ্ড ব্যবহার করা হয়

    • OS - ডিভাইসের জন্য অপারেটিং সিস্টেম (OS), উদাহরণস্বরূপ ডিভাইসের অবস্থা বা ক্লায়েন্ট কানেক্টিভিটি নীতি সহ

    • ক্লায়েন্ট শ্রেণী - ক্লায়েন্ট অ্যাপ্লিকেশনের টাইপ যা এই নেটওয়ার্ক প্রবাহ তৈরি করেছে সেই অপারেটিং সিস্টেমে চালায় (উদাহরণস্বরূপ, ক্রোম)

    • URLF - ওয়েবসাইটের URL ভিত্তি করে Cato ক্যাটেগরির জন্য URL ফিল্টারিং

    • ফাইল_টাইপ - CASB এবং DLP-এর জন্য, আপলোড বা ডাউনলোড দিকের ফাইল সংযুক্তি

SPACE সহ TCP প্যাকেট ফ্লো

এটি নিম্নলিখিত আইটেমগুলি সহ একটি সাধারণ HTTP প্রবাহের উদাহরণ:

  • টাইমলাইন - ট্রাফিক প্রবাহের বিভিন্ন পর্যায়

  • উপলব্ধ ক্ষেত্রসমূহ - নির্দিষ্ট সময়রেখার পর্যায়ের জন্য উপলব্ধ ডেটা

  • কাটো ইঞ্জিন - SPACE ইঞ্জিন যা প্রবাহ বিশ্লেষণ করতে সক্ষম এবং পরে উপযুক্ত কার্য (ব্লক বা অনুমতি দিন) নিবে

  • ট্রাফিক প্রবাহ ডেটা - প্রতিটি পর্যায়ে, প্রবাহের মূল্যায়নে ব্যবহৃত ডেটা

SPACE_Flow.png

You can see a list of the details below, Details of Sample TCP Flow.

নমুনা অ্যাপ্লিকেশন শিনাক্তকরণ একটি ট্রাফিক প্রবাহ থেকে

This is an example of a traffic flow for a rule that includes the Slack application, and shows which information is available at each stage.

  1. প্রথম প্যাকেট - TCP

    উৎস - 10.10.2.107
উৎস পোর্ট - 55477
গন্তব্য IP - 3.68.124.168
গন্তব্য পোর্ট - 443
প্রোটোকল - TCP
DNS প্রতিক্রিয়া - 3.68.124.168 - slack.com (পছন্দসই প্রতিক্রিয়া)

    এটি ট্রাফিক প্রবাহ তথ্য যা এই উদাহরণ প্রথম প্যাকেটের উপর উপলব্ধ:

    • 5 গুচ্ছ - ট্রাফিক Slack অ্যাপ্লিকেশনের সাথে সংযুক্ত তা শনাক্ত করতে পারেনা

    • DNS প্রতিক্রিয়া - পূর্বের প্রবাহের ভিত্তিতে, ইঞ্জিন ইতিমধ্যে জানে যে এই গন্তব্য IP এর জন্য নামছে slack.com

    • ASN - লক্ষ্য IP এর ভিত্তিতে, নিরাপত্তা ইঞ্জিন ASN শনাক্ত করতে পারে

    • অ্যাপ্লিকেশন সনাক্তকরণ অন্তর্ভুক্ত: tcp

    The engine waits for additional information from the TLS handshake before it can complete the identification of the Slack app.

  2. tls_handshake

    "TLS হেডার"
"sni_host": "slack.com"
"পূর্বনির্ধারিত পরিদর্শন বাইপাস কারণ": "none"
"ja3_formatted_str": "771,4865-4866-4867-49195-49199-49196-4920…"

    এটি tls_handshake উদাহরণ থেকে উপলব্ধ ট্রাফিক প্রবাহের তথ্য:

    • TLS হেডার এবং সার্ভার পোর্ট 443 - TLS প্রোটোকলের সাথে মিলছে

    • SNI হল slack.com - কাটো Slack অ্যাপ্লিকেশন সনাক্তকের সাথে মিলে

      SNI এছাড়াও URLF-এ পাঠানো হয়, এবং ব্যবসায়িক তথ্য, কম্পিউটার এবং প্রযুক্তি, সামাজিক ক্যাটাগরির সাথে মেলে

    • ক্লায়েন্ট শ্রেণিটি JA3 - TLS ফিঙ্গারপ্রিন্টিং ভিত্তিক ক্লায়েন্টকে ব্রাউজার হিসেবে শ্রেণিবদ্ধ করে

    • TLS পরিদর্শন বা বাইপাস ক্রিয়া - ক্লায়েন্ট শ্রেণি এবং অ্যাপ্লিকেশন সনাক্তের উপর ভিত্তি করে

    • অ্যাপ্লিকেশন সনাক্তকরণের অন্তর্ভুক্তি: tcp, tls, slack

  3. এইচটিটিপি

    "url" : "upload.slack.com:
"হোস্টনেম" : "slack.com"
"প্রকারের বিষয়বস্তু" : "application/pdf"
"কনটেন্ট-বিন্যাস" : form-data; নাম="file"; filename="sample-data.pdf"
"কনটেন্ট-দৈর্ঘ্য" : "52765"

    এই নমুনা প্রবাহের মধ্যে, HTTP তথ্যের ভিত্তিতে নিম্নলিখিত তথ্য উপলব্ধ আছে:

    • অ্যাপ্লিকেশন সনাক্তকরণের অন্তর্ভুক্তি: tcp, tls, http, slack

    • TLS পরিদর্শন প্রবাহটি ডিসক্রাইব করে এবং শনাক্ত করে যে Slack সার্ভার হোস্টনেম হল slack.com

    • এইচটিটিপি শিরোনাম - এইচটিটিপি প্রোটোকলের সাথে মেলে

      এটি একটি সাধারণ উদাহরণ যেখানে HTTP_host SNI এর সাথে মেলে, এবং অ্যাপ্লিকেশন শনাক্তকরণের জন্য কোনো পরিবর্তন নেই

    • ইউআরএল - আপলোড উপসর্গ আরও বিশেষত্ব প্রদান করে, এবং অ্যাপ্লিকেশন নিয়ন্ত্রণ নীতির মধ্যে আপলোড কার্যকলাপের সাথে মেলাতে পারে

    • বিষয়বস্তু-ধরণ, বিষয়বস্তু-বিন্যাস, বিষয়বস্তু-দৈর্ঘ্য - ফাইলের নাম, আকার এবং প্রকার সম্পর্কে তথ্য প্রদান করে

    • অ্যাপ্লিকেশন নিয়ন্ত্রণ নীতি ক্রিয়াকলাপসমূহ:

      • শুধুমাত্র কর্পোরেট Slack টেন্যান্ট ব্যবহার করে এমন একটি নীতি প্রয়োগ করুন

      • ফাইলের ধরনের উপর ভিত্তি করে ফাইল নিয়ন্ত্রণ

        এন্টি-ম্যালওয়্যার এবং এনজি অ্যান্টি-ম্যালওয়্যার শুধুমাত্র ডাউনলোড দিকের ফাইল স্ক্যান করে।

  4. এইচটিটিপি বডি

    "HTTP বডি লোড" : "ফাইলটি নিজেই"

    উদাহরণস্বরূপ, ডেটা ফাঁকি রোধক (DLP) নীতি কোনো ক্রেডিট কার্ড ডেটা স্ল্যাক বার্তায় ব্যবহার করতে বাধা দেয়।

    • স্ল্যাক অ্যাপ্লিকেশনের জন্য অ্যাপ্লিকেশন সনাক্তকরণ সম্পন্ন হয়েছে। এটি সামাজিক বিভাগে অন্তর্ভুক্ত ট্রাফিক হিসাবে শনাক্ত করা হয়েছে।

    • যখন ফাইল বিষয়বস্তু প্রস্তুত থাকে, এই ইঞ্জিনগুলি ফাইল বিষয়বস্তু বিশ্লেষণ করে:

      • ডেটা নিয়ন্ত্রণ নীতির উপর ভিত্তি করে ডেটা ফাঁকিরোধক ইঞ্জিন বিষয়বস্তু স্ক্যান করে

      • এন্টি-ম্যালওয়্যার এবং এনজি অ্যান্টি-ম্যালওয়্যার ডাউনলোড দিকের ফাইল স্ক্যান করে

কাটো নীতিসমূহ এবং ইঞ্জিনসমূহ

এই সেকশন কাটো নিরাপত্তা নীতি এবং ইঞ্জিনগুলি ব্যাখ্যা করে যেগুলি ট্রাফিক প্রবাহ বিশ্লেষণ এবং কাজ করে।

ওয়ান ফায়ারওয়াল এবং নেটওয়ার্ক নীতিসমূহ

WAN ফায়ারওয়াল, ইন্টারনেট ফায়ারওয়াল এবং নেটওয়ার্ক নিয়ম নীতিসমূহ প্রায়শই প্রথম প্যাকেটেই ট্রাফিক প্রবাহ মূল্যায়ন করতে সক্ষম। উদাহরণস্বরূপ, 5-টুয়িপল থেকে প্রাপ্ত ডেটার উপর ভিত্তি করে নিয়মসমূহ। তবে, নির্দিষ্ট অ্যাপ্লিকেশন যেমন Azure বা Slack এর সাথে মেলে এমন নিয়মের জন্য ইঞ্জিনকে প্রবাহ মূল্যায়নের জন্য ট্রাফিক প্রবাহ থেকে অতিরিক্ত ডেটার প্রয়োজন হয়। এর মানে হল যে কোন পর্যায়ে ইঞ্জিন প্রবাহ মূল্যায়ন করে তা নির্দিষ্ট নিয়মের সেটিংসের উপর নির্ভর করে।

ফায়ারওয়াল নিয়মের বিভিন্ন ধরন সম্পর্কে আরও তথ্যের জন্য, দেখুন ইন্টারনেট এবং WAN ফায়ারওয়াল নীতিমালা – সর্বোত্তম অনুশীলন

সহজ নেটওয়ার্ক নিয়ম এবং জটিল ফায়ারওয়াল নিয়মের প্রথম প্যাকেটের উদাহরণ

এই উদাহরণটি দেখায় যে IP ঠিকানা এবং পোর্ট ব্যবহার করে একটি সাধারণ নেটওয়ার্ক নিয়মের জন্য এবং Azure অ্যাপগুলির জন্য একটি জটিল ফায়ারওয়াল নিয়মের জন্য PoP ইঞ্জিনগুলি কিভাবে ট্রাফিক প্রবাহকে বিভিন্নভাবে মূল্যায়ন করে। নেটওয়ার্ক ইঞ্জিনটি প্রথম প্যাকেটে ভিত্তি করে প্রবাহকে মূল্যায়ন করতে সক্ষম, তবে ফায়ারওয়াল ইঞ্জিন তার বিশ্লেষণ চূড়ান্ত করতে অতিরিক্ত ডেটার জন্য PoP অপেক্ষা করে।

নমুনা নেটওয়ার্ক নিয়ম

নিচের নেটওয়ার্ক নিয়মটি উৎস হিসাবে একটি আইপি পরিসীমা এবং পোর্ট পরিসীমা 8000 - 8010 এর ট্রাফিকের জন্য, এবং এটি লন্ডন PoP অবস্থানের মাধ্যমে প্রস্থান করা হয়।

Simple_network.png

নেটওয়ার্কিং ইঞ্জিনটি 5-টুয়িপলের উপর ভিত্তি করে ট্রাফিক প্রবাহের রাউটিং সিদ্ধান্ত মূল্যায়ন করতে সক্ষম।

উদাহরণ WAN ফায়ারওয়াল নিয়ম

পরবর্তী WAN ফায়ারওয়াল নিয়মটি অনুমতি দেয় যে ট্রাফিক যা উপরের নেটওয়ার্ক নিয়মের জন্য IP পরিসীমা হিসাবে একই উৎস এবং ব্যবহারকারী যারা RnD ব্যবহারকারী গ্রুপের সদস্যরা। অতিরিক্তভাবে, এই নিয়মটি Azure অ্যাপ্লিকেশনগুলির জন্য HTTP(S), TLS, FTP, এবং TFTP সেবাসমূহের জন্য।

Azure_FW.png

ফায়ারওয়াল ইঞ্জিন প্রথম প্যাকেটের উপর ট্রাফিক মূল্যায়ন করতে পারে না, কারণ এটি ফ্লোয়ের জন্য ব্যবহারকারী পরিচিতি, Azure অ্যাপ্লিকেশন এবং সেবাসমূহ নিশ্চিত করতে হবে। ইঞ্জিন মূল্যায়ন শেষ করার পর এবং ফ্লো সমস্ত মানদণ্ড পূরণ করলে, ইঞ্জিন ফ্লো অনুমতি দেয়। PoP প্রথম প্যাকেটের উপর ভিত্তি করে রাউটিং সিদ্ধান্ত প্রয়োগ করে।

URL ফিল্টারিং এবং ক্যাটো ক্যাটাগরি

ইউআরএল ফিল্টারিং সেবা একটি ওয়েবসাইটের ইউআরএল বিশ্লেষণ করে এবং এটি পরিচিত অথবা সন্দেহজনক ক্ষতিকারক অথবা অনুপযুক্ত ওয়েবসাইটের একটি ডাটাবেসের সাথে তুলনা করে কাজ করে। এই সেবা ওয়েবসাইটের বিষয়বস্তুর ক্যাটাগরি নির্ধারণের জন্য এটি নিজে বিশ্লেষণ করতে পারে যেমন প্রাপ্তবয়স্ক বিষয়বস্তু, গ্যাম্বলিং, সামাজিক যোগাযোগ মাধ্যম বা স্ট্রিমিং মিডিয়া।

ক্যাটাগরিসমূহ সম্পর্কে আরও জানতে, ক্যাটাগরি নিয়ে কাজ করা দেখুন।

TLS পরিদর্শন

TLS পরিদর্শন ইঞ্জিন প্যাকেট প্রবাহের tls_handshake পর্যায়ে জড়িত থাকে। প্রবাহ পরিদর্শন করা হবে কিনা এই সিদ্ধান্তটি অপরিবর্তনীয় এবং দুটি ধাপে ঘটে:

  1. পর্যায় 1 - ক্লায়েন্ট_হেলো প্যাকেটের প্রথম পেলোড TLS পরিদর্শন ইঞ্জিন এই ট্রাফিক প্রবাহ পরিদর্শন করবে কিনা তা প্রারম্ভিক নির্দেশনা দেয়

  2. পর্যায় 2 - ক্লায়েন্ট_হেলো সম্পূর্ণরূপে বিশ্লেষিত হয়, এবং TLS পরিদর্শন নীতি ক্রিয়া প্রয়োগ করা হয় (প্রবাহ পরীক্ষা করুন বা বাইপাস করুন)

HTTPS প্রবাহের জন্য, পর্যায় 1 এর ভিত্তিতে প্যাকেট ব্লক করার একটি সিদ্ধান্ত হতে পারে। তবে, ইঞ্জিন যোগাযোগ করতে থাকে এবং TLS সংযোগ স্থাপন করে সঠিক ফায়ারওয়াল বা IPS ব্লক পৃষ্ঠা প্রদর্শনের জন্য।

IPS

IPS ইঞ্জিন ট্রাফিক প্রবাহের জীবনকাল ধরে চালু থাকে। এটি বিভিন্ন পর্যায়ে পাওয়া নির্দিষ্ট আইটেমগুলি পরীক্ষা করে এবং যে বিষয়বস্তুটি একটি IPS সুরক্ষার সাথে ইতিবাচকভাবে মিলে যায় তাতে কাজ করে। আপনি IPS কে একটি ম্যাগনিফাইং গ্লাসের মতো কাজ করতে ভাবতে পারেন, যা ট্রাফিক থেকে ক্রমাগত আপডেটের অপেক্ষায় থাকে এবং প্রবাহে দেখা তথ্যগুলি ইঞ্জিনকে প্রদান করে।

নিম্নলিখিত উদাহরণটি বিভিন্ন পর্যায়ে দেখতে পাওয়া বিভিন্ন তথ্য প্রদর্শন করে:

  • প্রবাহের জন্য প্রোটোকল হল এইচটিটিপি

  • পেলোডের ভিত্তিতে, TLS বিদ্যমান

  • একটি ক্লায়েন্ট_হেলো রয়েছে যা TLS 1.3 সাইফার সুইট TLS_AES_256_GCM_SHA384 ব্যবহার করে

বিভিন্ন IPS সুরক্ষাগুলি উপরের যে কোনো আইটেমের সাথে মিলে যেতে পারে এবং তারপরে সেই পর্যায়ে ট্রাফিক প্রবাহের উপর পদক্ষেপ নিতে পারে।

DNS প্রোটেকশন

DNS প্রোটেকশন IPS ইঞ্জিনের অংশ এবং অনুরোধ এবং প্রতিক্রিয়ার জন্য DNS প্রবাহে চলে (পরিবহনের সাথে কোন সংযোগ ছাড়াই, উদাহরণস্বরূপ TCP বা UDP)।

DNS অনুরোধের সময়, ডোমেইন নাম বিশ্লেষণ করা হয় এবং ডোমেইন রেপুটেশন এবং স্ট্যাটিক ফিডের জন্য মূল্যায়ন করা হয়। তারপর ডিএনএস প্রতিক্রিয়া চলাকালে, সমাধানকৃত IP এবং বিষয়বস্তু সম্ভাব্য ক্ষতিকারক বিষয়বস্তু জন্য বিশ্লেষণ করা হয়। ডিএনএস প্রোটেকশন নীতি যেকোনো মেলানো বিষয়বস্তুতে প্রয়োগ করা হয় (ট্র্যাফিক প্রবাহ ব্লক করুন অথবা অনুমতি দিন)।

অ্যাপ নিয়ন্ত্রণ

অ্যাপ নিয়ন্ত্রণ ইঞ্জিন ট্রাফিক পরীক্ষা করে এবং অ্যাপ্লিকেশন নিয়ন্ত্রণ নীতির জন্য ক্রিয়াসমূহ প্রয়োগ করে, এবং এটি প্রতিটি নতুন HTTP লেনদেন (অনুরোধ এবং প্রতিক্রিয়া) উপর মূল্যায়ন হয়।

gen2 অ্যাপসের জন্য, অ্যাপ আইডেন্টিফিকেশন সম্পূর্ণ করতে TLS এবং HTTP প্রক্সি প্রয়োজন।

নিরাপত্তা এবং অনুসরণ প্রয়োজনীয়তাসমূহের অন্তর্ভুক্ত নিয়মের জন্য:

  • অন্যান্য নেটওয়ার্কিং এবং নিরাপত্তা ইঞ্জিনগুলির প্রসঙ্গগত ডেটার উপর ভিত্তি করে, অ্যাপ নিয়ন্ত্রণ ইঞ্জিন এই প্রয়োজনীয়তাসমূহের মূল্যায়ন করতে পারে tls_inspection ফেজ চলাকালে।

  • এছাড়াও ইঞ্জিন সম্ভবত এই তথ্য SNI থেকে পেতে পারে এবং অ্যাপ্লিকেশন মূল্যায়ন করতে TLS বা পূর্ণ অ্যাপ আইডেন্টিফিকেশন (লেয়ার 7 DPI) প্রয়োজন হয় না।

DLP

DLP ইঞ্জিন ট্রাফিক প্রবাহের বিষয়বস্তু পরীক্ষা করে এবং এটি অ্যাপ নিয়ন্ত্রণ ইঞ্জিনের একটি এক্সটেনশন। যখন নীতি একটি ফাইলের ধরণ বা ফাইলের আকার নির্দিষ্ট করে, তখন ইঞ্জিনের জন্য এই ফাইল বৈশিষ্ট্যগুলির জন্য অ্যাপের মেটাডেটা এবং পে-লোড পরিদর্শন করা প্রয়োজন।

  1. ইঞ্জিন ফাইলের ধরণ মূল্যায়ন করে এবং তা সমর্থিত বিষয়বস্তু পরিদর্শনের ফাইল তালিকার সঙ্গতিপূর্ণ কিনা তা পরীক্ষা করে।

  2. তারপর gen3 অ্যাপ আইডেন্টিফিকেশন সম্পন্ন হয় যাতে নির্দিষ্ট বিষয়বস্তু সিগনেচারগুলি শনাক্ত করা যায় সেই ক্ষেত্রগুলির জন্য যা বিষয়বস্তু এবং ডেটা সঞ্চয় করে যা পরীক্ষা করা হয়।

  3. বিষয়বস্তু পরিদর্শন এবং পরীক্ষা করা হয় এটি নির্ধারিত কন্টেন্ট প্রোফাইলের সাথে মেলে কিনা।

এন্টি-ম্যালওয়্যার এবং এনজি অ্যান্টি-ম্যালওয়্যার

এন্টি-ম্যালওয়্যার এবং NG এন্টি-ম্যালওয়্যার ইঞ্জিনগুলি ইনবাউন্ড ট্রাফিকে ফাইল সংযুক্তিসমূহ (ফাইল ডাউনলোড) পরিচিত এবং অজানা ম্যালওয়্যারের জন্য স্ক্যান করে। ফাইলের ধরন এইচটিটিপি প্রতিক্রিয়া বা FTP ট্রাফিকের অনুরোধের উপর ভিত্তি করে।

শুধুমাত্র HTTP, HTTPS, এবং FTP অ্যাপ্লিকেশন এবং সেবাসমূহের স্ক্যান করা হয়।

  1. ইঞ্জিন পরীক্ষা করে যে অ্যাপ্লিকেশনটি এন্টি-ম্যালওয়্যার নীতির একটি নিয়মের সাথে মেলে কিনা।

  2. ফাইলগুলি এই ফাইল তালিকাগুলির সাথে মিলানো হয়:

    1. অনুমত তালিকা ক্যাটো ম্যানেজমেন্ট অ্যাপ্লিকেশন-এ কনফিগার করা হয়েছে - এই ফাইলগুলি ডাউনলোড করা অনুমোদিত।

    2. ক্যাটো নিরাপত্তা দল দ্বারা পরিচালিত ব্লকলিস্ট - এই ফাইলগুলি ব্লক করা হবে।

  3. ফাইলগুলি এন্টি-ম্যালওয়্যার এবং NG এন্টি-ম্যালওয়্যার ইঞ্জিন দ্বারা স্ক্যান করা হয় এবং রায় প্রদান করা হয়: ক্ষতিকারক, সন্দেহজনক, বা নিরাপদ।

  4. এন্টি-ম্যালওয়্যার নীতির জন্য উপযুক্ত কার্য ফাইলের জন্য প্রযোজ্য।

Cato নীতি এবং ইঞ্জিনের জন্য FAQ

WAN ট্রাফিকের ক্ষেত্রে কি ইউআরএল ফিল্টারিং প্রযোজ্য?

না, ইউআরএল ফিল্টারিং শুধুমাত্র ইন্টারনেট ট্রাফিকের জন্য এবং এটি WAN ট্রাফিকের ক্ষেত্রে প্রযোজ্য নয়।

ফায়ারওয়াল বনাম IPS নীতির জন্য ভূ-সীমাবদ্ধতা সেটিংসের মধ্যে কি পার্থক্য?

ডিভাইস সেটিংস WAN এবং ইন্টারনেট ফায়ারওয়াল এ আপনাকে সূক্ষ্ম নিয়মের জন্য উৎস দেশ নির্ধারণ করতে দেয়। তবে গন্তব্য দেশের উপর কোনো নিয়ন্ত্রণ নেই।

ভৌগোলিক সীমাবদ্ধতা ট্যাব IPS নীতিতে সীমাবদ্ধ ট্রাফিক নির্ধারণ করে যা হয় উৎস বা গন্তব্য। তবে, IPS হলো পুরো অ্যাকাউন্টের জন্য এক বৈশ্বিক নীতি, এবং আপনি নির্দিষ্ট সাইট বা অবজেক্টের জন্য ভৌগোলিক সীমাবদ্ধতা সেটিংস প্রয়োগ করতে পারবেন না।

নমুনা TCP প্রবাহের বিস্তারিত

  1. সময়রেখা - প্রথম প্যাকেট

    1. উপলব্ধ ক্ষেত্রসমূহ - 5-টাপল, হোস্টনেম (dname)

    2. ক্যাটো ইঞ্জিন - ফায়ারওয়াল, নেটওয়ার্ক, IPS/SAM

    3. ট্রাফিক প্রবাহ ডেটা - অ্যাপ শনাক্তকরণ, ক্লায়েন্ট ক্লাস, ওএস

  2. সময়রেখা - tls_handshake

    1. উপলব্ধ ক্ষেত্রসমূহ - cipher_suite, হোস্টনেম (SNI)

    2. ক্যাটো ইঞ্জিন - IPS/SAM, অ্যাপ নিয়ন্ত্রণ gen2, TLSi, ফায়ারওয়াল, নেটওয়ার্ক

    3. ট্রাফিক প্রবাহ ডেটা - অ্যাপ শনাক্তকরণ, ক্লায়েন্ট ক্লাস, URLF

  3. সময়রেখা - HTTP_header

    1. উপলব্ধ ক্ষেত্রসমূহ - হেডার, URL, হোস্টনেম (হোস্ট হেডার)

    2. ক্যাটো ইঞ্জিন - অ্যাপ নিয়ন্ত্রণ gen3, IPS/SAM

    3. ট্রাফিক প্রবাহ ডেটা - ফাইল_প্রকার (আপলোড), ওএস

  4. সময়রেখা - HTTP_body

    1. উপলব্ধ ক্ষেত্রসমূহ - HTTP_request, HTTP_body

    2. ক্যাটো ইঞ্জিন - অ্যাপ নিয়ন্ত্রণ gen3, DLP, IPS/SAM

    3. ট্রাফিক প্রবাহ ডেটা - ফাইল_প্রকার (আপলোড), অ্যাপ শনাক্তকরণ

  5. সময়রেখা - HTTP_response

    1. উপলব্ধ ক্ষেত্রসমূহ - HTTP_প্রতিক্রিয়া_হেডার, HTTP_প্রতিক্রিয়া_বডি

    2. ক্যাটো ইঞ্জিন - AM/NGAM, অ্যাপ নিয়ন্ত্রণ gen3, ডেটা লিক প্রতিরোধ, IPS/SAM

    3. ট্রাফিক প্রবাহ ডেটা - ফাইল_প্রকার (ডাউনলোড), অ্যাপ শনাক্তকরণ

এই নিবন্ধটি কি সহায়ক ছিল?

12 জনের মধ্যে 11 জন এটিকে সহায়ক বলে মনে করেছেন

0 মন্তব্য