Omitir la Nube de Cato (Política de implementación a nivel de cuenta)

Este artículo explica cómo configurar un sitio para omitir la Cato Cloud y dirigir el tráfico de salida directamente a Internet.

Resumen

La política de omitir le permite definir reglas de omisión para el tráfico de Internet que saldrá directamente a Internet en lugar de ser enrutado a la Nube de Cato. Esta es una política a nivel de cuenta que se aplica globalmente a todos los sitios de Socket en su cuenta. Los PoPs en la Cato Cloud no inspeccionan el tráfico de Internet omitido ni aplican políticas de seguridad. Además, las reglas de tráfico basadas en aplicaciones o categorías aplicadas en la Nube de Cato no se aplican. El Socket continúa aplicando Perfiles de Ancho de Banda y QoS al tráfico omitido en la dirección ascendente. QoS no se aplica en la dirección descendente porque las Ubicaciones son omitidas.

El tráfico de Internet omitido se envía a través de una interfaz WAN de Socket. Un mecanismo interno de Socket genera una puntuación para cada interfaz WAN, que se calcula cada segundo basado en un conjunto de parámetros, como pérdida de paquetes, fluctuación, latencia y congestión.

El comportamiento predeterminado es que el Socket elige automáticamente el puerto WAN para el tráfico omitido basado en la mejor puntuación. El Socket puede seleccionar diferentes puertos WAN para diferentes flujos.

Bypass_Policy_Account_Level.png

Caso de Uso - Omitiendo Tráfico de Windows Update

El tráfico de Windows Update puede consumir ancho de banda significativo y no siempre requiere inspección por la Nube de Cato. Para optimizar el rendimiento, los administradores configuran una regla de omitir con la aplicación predefinida Windows Update configurada como el destino. Los dispositivos Windows luego descargan actualizaciones directamente de Microsoft a través de la conexión local de Internet

Requisitos Previos

  • Soportado para sitios Socket y vSocket con Socket v25 y superiores

  • Para reglas de omisión basadas en FQDNs, dominios o aplicaciones personalizadas, configure el DNS de Cato como el servidor DNS para el tráfico relevante.

Cómo funciona la omisión a nivel de cuenta

Omitir Reglas Basadas en Aplicaciones Predefinidas

Para facilitar la configuración del tráfico de aplicaciones en sitios de Socket para que salgan directamente al Internet, puede definir reglas utilizando aplicaciones predefinidas que incluyen todas las direcciones IP de destino relevantes para la aplicación. Cato mantiene estas aplicaciones predefinidas para que cuando se actualicen las direcciones IP de la aplicación, su política se aplique automáticamente a las nuevas direcciones IP. Por ejemplo, en lugar de tener que configurar y llevar un seguimiento de todas las IPs públicas para Zoom, puede simplemente seleccionar la aplicación predefinida Zoom, y Cato asegura que los destinos correctos sean omitidos.

Omitir Reglas Basadas en FQDNs, Dominios y Aplicaciones Personalizadas

Puede crear reglas de omisión basadas en FQDNs, dominios y aplicaciones personalizadas para control granular sobre qué destinos de Internet salen directamente del Socket. Al hacer coincidir el tráfico con identificadores basados en DNS en lugar de direcciones IP individuales, evita rastrear manualmente rangos de IP cambiantes y reduce el mantenimiento continuo. Las aplicaciones personalizadas le permiten agrupar múltiples FQDNs, dominios, o rangos IP en un único objeto reutilizable, haciendo que su política sea más fácil de gestionar, más legible, y consistente a través de las reglas.

Cómo la Política de Implementación Relaciona con las Políticas de Firewall de Cato

El tráfico que coincide con una regla de política de omitir no es aplicado por las políticas de firewall de Cato. Dado que el tráfico omitido no se envía a la Cato Cloud, no se aplican las reglas del cortafuegos de Internet y del cortafuegos WAN. Aunque tanto la política de omitir como el Socket Next Gen LAN Firewall se aplican localmente en el Socket, sirven diferentes propósitos y se aplican a diferentes tipos de tráfico. El Socket Next Gen LAN Firewall controla el tráfico este-oeste y la segmentación dentro del sitio, mientras que la política de omitir se aplica solo al tráfico que sale directamente al Internet.

Revisiones de Política y Edición Concurrente por Múltiples Administradores

La política de omitir permite que diferentes administradores editen la política en paralelo. Cada administrador puede editar reglas y guardar los cambios en la base de reglas en su propia revisión privada, y luego publicarlas a la política de cuenta (la revisión publicada). Para más información sobre cómo gestionar revisiones de políticas, consulte Trabajando con Revisiones de Políticas.

Definiendo Reglas de Omitir

Cree una regla de omitir y configure los ajustes para la regla para gestionar qué tráfico sale directamente al Internet.

Puerto de Socket Preferido

Por defecto, el Socket selecciona automáticamente la interfaz WAN con la mejor puntuación. Opcionalmente, puede establecer un Puerto de Socket Preferido (por ejemplo, WAN2). Si las puntuaciones WAN son similares, el Socket prefiere la interfaz WAN seleccionada (mientras tenga conectividad). Si pierde conectividad, el Socket selecciona un rol WAN diferente.

Para más información sobre los elementos Fuente y Destino para una regla, consulte Referencia para objetos de regla.

Omisión_Política_Nivel_de_Cuenta_nueva_regla.png

Para definir una regla de omisión para el tráfico de Internet:

  1. Desde el menú de navegación, seleccione Red > Omitir.

  2. Haga clic en Nuevo y luego en el menú desplegable seleccione Nueva Regla.

  3. Ingrese el Nombre para la regla.

  4. Habilite o deshabilite la regla usando el control deslizante (verde está habilitado, gris está deshabilitado).

  5. Configure la Posición para la regla en la base de reglas.

  6. Expanda la sección Sitio y seleccione los sitios de Socket y/o grupos a los que se aplica la regla. El valor predeterminado es Cualquiera.

  7. Expanda la sección Fuente y seleccione uno o más objetos para el origen del tráfico de esta regla.

    Cuando hay más de un objeto Fuente en una regla, hay una relación O entre ellos. El valor predeterminado es Cualquiera.

  8. Expanda la sección Destino y seleccione uno o más destinos de tráfico para esta regla.

    Cuando hay más de un objeto Destino en una regla, hay una relación O entre ellos. El valor predeterminado es Cualquiera.

  9. Expanda la sección Servicio/Puerto y defina los servicios simples y/o personalizados a los que se aplica la regla:

    • Para un Servicio Sencillo, seleccione el servicio del menú desplegable

    • Para un Servicio Personalizado, ingrese el protocolo y puerto en el formato protocolo/puerto. Por ejemplo, TCP/80 para un solo puerto, TCP/80-88 para un rango de puertos

    Cuando hay más de un objeto Servicio/Puerto en una regla, hay una relación O entre ellos. El valor predeterminado es Cualquiera.

  10. Expanda la sección de Acciones y defina el Puerto Preferido de Socket y las configuraciones de Seguimiento.

    • (Opcional) En Puerto Preferido de Socket, seleccione el puerto WAN que el Socket utilizará como puerto WAN preferido para el tráfico de omisión. Cuando se selecciona Automático, el Socket determina el puerto óptimo para el tráfico de omisión.

    • (Opcional) Seleccione la opción Evento para la regla para generar eventos cuando coincida con el tráfico.

  11. Haga clic en Guardar para guardar los cambios.

    Los cambios se guardan en su revisión sin publicar y están disponibles para edición hasta que se publiquen o descarten.

Personalización del Tiempo de Expiración del Flujo

Para sitios de Socket y vSocket, el tiempo de expiración del flujo predeterminado es de 60 segundos. Después de este tiempo, hay un tiempo de espera inactivo para el flujo de tráfico y el Socket cierra el flujo omitido.

Puede usar la Interfaz Web del Socket para personalizar el tiempo de expiración del flujo. Sin embargo, esta configuración personalizada no es persistente, y si el Socket se reinicia, incluido el hecho de actualizar a una nueva versión, se revierte al tiempo de expiración del flujo predeterminado de 60 segundos. Para configurar permanentemente un tiempo de expiración de flujo personalizado, por favor contacte al Soporte.

Para personalizar el tiempo de expiración del flujo de omisión:

  1. Inicie sesión en la Interfaz Web del Socket:

    1. Desde el menú de navegación, seleccione Red > Sitios, y seleccione el sitio.

    2. Desde el menú de navegación, seleccione Configuración del Sitio > Socket.

    3. Desde el menú de Acciones del socket, seleccione Interfaz Web del Socket.

  2. Desde la pestaña Configuraciones de Conexión a la Nube, en la sección Tiempo de expiración del flujo (solo para flujos de omisión), ingrese el nuevo valor de tiempo de espera.

  3. Haga clic en Actualizar.

Limitaciones Conocidas

  • La omisión basada en FQDN se basa en la correlación DNS-IP, la cual puede ser imprecisa cuando los servicios se alojan detrás de CDNs. Si múltiples nombres de host se resuelven a la misma dirección IP compartida del CDN, esto puede resultar en falsos positivos en una regla y el tráfico para otros nombres de host puede ser omitido involuntariamente.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 4

0 comentarios