Problème

Plusieurs événements CMA, tels que le pare-feu Internet/WAN, IPS, RPF ou Anti-Malware sont générés pour le même flux de trafic. Avoir plusieurs événements pour le même trafic peut être déroutant lors du dépannage des actions autorisées ou bloquées sur le Cato Cloud.

Dépannage

Ce comportement peut être observé dans divers types d'événements CMA. Voici quelques scénarios possibles qui peuvent se produire :

Mêmes actions d'événement

Dans ce scénario, le flux de trafic a été bloqué par le moteur pare-feu car il a été catégorisé comme "Botnet", qui est une catégorie bloquée dans une règle de pare-feu Internet. Simultanément, le moteur IPS a également bloqué le trafic car il correspond à la signature IPS "cid_heur_suspicious", qui est également basée sur la catégorie du site Web. 

Différentes actions d'événement

Dans ce scénario, le flux de trafic est initialement bloqué par le moteur IPS en raison d'une politique de restriction géographique. Cependant, la connexion TLS/HTTP est établie avec le client pour obtenir des informations sur le trafic afin que le moteur pare-feu puisse prendre une décision, qui dans ce cas est d'autoriser (Action : surveiller) le flux de trafic. Le trafic est finalement bloqué par le moteur IPS et aucun paquet n'atteint l'IP de destination.

Explication

Comme expliqué dans Understanding Packet Flow with Cato, le Cato Cloud comprend de multiples moteurs de networking et de sécurité qui fonctionnent en parallèle. Cela signifie qu'il n'y a pas de priorité pour qu'un moteur évalue le trafic par rapport à un autre.

De plus, les décisions de blocage/autorisation ne sont pas effectuées immédiatement. Le PoP attend qu'une étape spécifique de demande/réponse soit atteinte (par exemple, demande HTTP), et chaque moteur effectue une action définitive de blocage ou d'autorisation. C'est pourquoi nous pourrions observer plusieurs événements générés dans le CMA avec les mêmes ou différentes conclusions de blocage/autorisation.

Lorsque différentes actions sont observées dans divers événements, l'action de blocage prendra le pas sur une action d'autorisation.