Soporte de FQDN y Dominio para la Política de Túnel Dividido (EA)

Para más información sobre el enrutamiento del tráfico para usuarios remotos, consulta Enrutamiento con el Cliente Cato (Política de Túnel Dividido).

Nota

Nota: Esta es una característica de Disponibilidad Temprana (EA) que solo está disponible para lanzamientos limitados. Para más información sobre cómo habilitar la característica, contacta con tu representante de Cato Networks o envía un correo a ea@catonetworks.com.

Resumen del Enrutamiento de Túnel Dividido basado en Destino

La política de Túnel Dividido ofrece flexibilidad para ayudarte a equilibrar la cobertura de seguridad, el rendimiento y la coexistencia con otras soluciones de red o seguridad. Puedes elegir:

  • Enrutar todo el tráfico a través de la Nube de Cato y excluir destinos específicos (como servicios SaaS de confianza)
  • Enrutar la mayor parte del tráfico directamente a Internet e incluir solo destinos seleccionados para inspección

Las reglas basadas en destino soportan aplicaciones, rangos de IP, dominios y FQDNs, brindándote control preciso sobre qué tráfico es asegurado por la Nube de Cato y cuál tráfico evita el túnel.

Dominios y FQDN como Destinos

Cuando usas el dominio y FQDN para definir tráfico para usuarios remotos conectados con el Cliente, que se incluye o excluye de la Nube de Cato:

  • Dominio - Usa objetos de Dominio para coincidir con un dominio y todos sus subdominios (por ejemplo, example.com coincide con app.example.com y login.example.com)
  • FQDN - Usa objetos FQDN para destinar hosts específicos (por ejemplo, solo app.example.com)

Requisitos Previos

  • El retransmisor DNS debe estar habilitado en los dispositivos
  • Soportado desde el Cliente de Windows v6.1 o superior

Personalizar qué Tráfico se Excluye de Cato (EA - Dominio & FQDN)

Para configuraciones donde enrutas todo el tráfico de usuario remoto a la Nube de Cato, puedes definir excepciones para omitir el túnel de Cato y conectarte directamente al destino. Esto te permite mantener la inspección de seguridad en la Nube de Cato mientras optimizas el acceso a servicios de confianza.

Por ejemplo, podrías querer que el tráfico a un servicio SaaS como office.com evite el túnel por razones de rendimiento. Las consultas DNS para el dominio aún son inspeccionadas por la Nube de Cato. Después de que el dominio es resuelto, el tráfico se conecta directamente al destino.

Las excepciones del Túnel Dividido incluyen las siguientes opciones:

  • Exclusiones DNS – Define dominios que son resueltos por un servidor DNS local en lugar de a través de la Nube de Cato, como aplicaciones internas a las que quieres acceder directamente
  • Exclusiones de Destino – Define aplicaciones, dominios, FQDNs (EA), o rangos de IP que omiten el túnel, como aplicaciones o servicios a los que los usuarios accederán omitiendo el túnel

Nota: Al crear una regla con una exclusión, debes especificar explícitamente el sistema operativo como Windows

Routing_Exceptions.png

El siguiente procedimiento describe cómo configurar una regla para enviar todo tu tráfico a Cato mientras excluyes el tráfico DNS local y el destino usando un FQDN.

Para personalizar el tráfico que se excluye de la Nube de Cato:

  1. Desde el menú de navegación, haz clic en Acceso > Política de Túnel Dividido.

  2. Crea una nueva regla y configura los ajustes para: General, Usuarios/Grupos, Plataformas, Red de Origen, y Países.

    Para más información, consulta Enrutamiento con el Cliente Cato (Política de Túnel Dividido).

  3. En la sección Configuración, bajo Seleccionar Modo de Conexión, selecciona Todos los Puertos & Protocolos.
  4. Bajo Política de Enrutamiento, selecciona Enrutar todo a Cato.
  5. En la sección Definir Excepciones de Enrutamiento, define el tráfico que omite el túnel:
    1. Bajo Exclusiones DNS, ingresa uno o más dominios para ser resueltos por tu servidor DNS local.

    2. Bajo Exclusiones de Destino, configura uno o más destinos y tipos que van directamente al destino.

      El tráfico a estos dominios irá directamente a su destino y no a través de Cato

  6. Haz clic en Guardar.

Asegurar Solo Destinos Específicos (Incluidos) (EA - Dominio & FQDN)

Al crear una regla de Túnel Dividido, puedes determinar la política de enrutamiento de manera que, por defecto, el tráfico no es enrutado a Cato. Luego, define solo el tráfico específico que se enruta a Cato para inspección. Por ejemplo, cuando la mayor parte de tu tráfico de red va a una solución de terceros, pero deseas enrutar tráfico específico a un centro de datos remoto a través de Cato.

Actualmente, incluir tráfico basado en DNS no es soportado. Esta característica será soportada en el futuro.

Nota: Al crear una regla para incluir tráfico, debes especificar explícitamente el sistema operativo como Windows.

El siguiente procedimiento describe cómo configurar una regla para enviar solo destinos de tráfico específicos a la Nube de Cato, y el resto es enrutado a tu solución de terceros.

routing_include.png

Para personalizar qué tráfico se enruta a Cato:

  1. Desde el menú de navegación, haz clic en Acceso > Política de Túnel Dividido.

  2. Crea una nueva regla y configura los ajustes para: General, Usuarios/Grupos, Plataformas, Red de Origen, y Países.

    Para más información, consulta Enrutamiento con el Cliente Cato (Política de Túnel Dividido).

  3. En la sección Configuración, bajo Seleccionar Modo de Conexión, selecciona Todos los Puertos & Protocolos.
  4. Bajo Elegir política de enrutamiento, selecciona Enrutar solo los seleccionados a Cato.
  5. En la sección Definir Selecciones de Enrutamiento, bajo Inclusiones de Destino, agrega los elementos que son enrutados a Cato para comprobaciones de seguridad adicionales.
  6. Haz clic en Guardar.

Limitaciones conocidas

  • Puedes definir hasta aproximadamente 100 elementos de Dominio y FQDN para una sola regla (el número total de caracteres es menor a 3.5 KB)

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 1

0 comentarios