Contourner le cloud Cato (Politique de déploiement au niveau du compte)

Cet article explique comment configurer un site pour contourner le Cato Cloud et faire sortir le trafic directement sur Internet.

Vue d'ensemble

La politique de contournement vous permet de définir des règles de contournement pour le trafic Internet qui sortiront directement à l'Internet au lieu d'être routées vers le Cato Cloud. Il s'agit d'une politique au niveau du compte qui s'applique globalement à tous les sites Socket dans votre compte. Les PoPs dans le Cato Cloud n'inspectent pas le trafic Internet contourné ni n'appliquent de politiques de sécurité. De plus, les règles de trafic basées sur l'application ou la catégorie, appliquées dans le Cato Cloud, ne sont pas appliquées. Le Socket continue d'appliquer les profils de bande passante et QoS au trafic contourné dans la direction amont. Le QoS n'est pas appliqué dans la direction aval parce que les points de présence sont contournés.

Le trafic Internet contourné est envoyé via une interface WAN Socket. Un mécanisme interne de Socket génère un score pour chaque interface WAN, qui est calculé chaque seconde en fonction d'un ensemble de paramètres, tels que la perte de paquets, la gigue, la latence et la congestion.

Le comportement par défaut est que le Socket choisit automatiquement le port WAN pour le trafic contourné en fonction du meilleur score. Le Socket peut sélectionner différents ports WAN pour différents flux.

Bypass_Policy_Account_Level.png

Cas d'utilisation - Contournement du trafic de mise à jour Windows

Le trafic de mise à jour Windows peut consommer une bande passante significative et ne nécessite pas toujours une inspection par le Cato Cloud. Pour optimiser la performance, les administrateurs configurent une règle de Contournement avec l'application prédéfinie Mise à jour Windows comme destination. Les appareils Windows téléchargent ensuite les mises à jour directement depuis Microsoft via la connexion Internet locale.

Prérequis

  • Pris en charge pour les sites Socket et vSocket avec Socket v25 et plus

  • Pour les règles de contournement basées sur des FQDNs, des domaines, ou des applications personnalisées, configurez Cato DNS comme serveur DNS pour le trafic concerné.

Comment fonctionne le contournement au niveau du compte

Règles de contournement basées sur applications prédéfinies

Pour faciliter la configuration du trafic application dans les sites Socket afin de sortir directement vers l'Internet, vous pouvez définir des règles en utilisant des applications prédéfinies qui incluent toutes les adresses IP de destination pertinentes pour l'application. Cato maintient ces applications prédéfinies afin que lorsque les adresses IP de l'application sont mises à jour, votre politique s'applique automatiquement aux nouvelles adresses IP. Par exemple, au lieu d'avoir à configurer et suivre toutes les IP publiques pour Zoom, vous pouvez simplement sélectionner l'application prédéfinie Zoom, et Cato garantit que les destinations correctes sont contournées.

Règles de contournement basées sur les FQDNs, les domaines et les applications personnalisées

Vous pouvez créer des règles de contournement basées sur les FQDNs, les domaines et les applications personnalisées pour un contrôle granulaire sur les destinations Internet qui sortent directement du Socket. En correspondant le trafic sur des identifiants basés sur DNS au lieu des adresses IP individuelles, vous évitez de suivre manuellement les plages IP changeantes et réduisez la maintenance continue. Les applications personnalisées vous permettent de regrouper plusieurs FQDNs, domaines ou plages IP en un objet réutilisable unique, rendant votre politique plus facile à gérer, plus lisible et cohérente à travers les règles.

Relation entre la politique de Contournement et les politiques de pare-feu de Cato

Le trafic qui correspond à une règle de politique de Contournement n'est pas appliqué par les politiques de pare-feu de Cato. Étant donné que le trafic contourné n'est pas envoyé au Cato Cloud, les règles de pare-feu Internet et de WAN ne lui sont pas appliquées. Bien que la politique de Contournement et le pare-feu LAN de nouvelle génération de Socket soient appliqués localement sur le Socket, ils servent à des fins différentes et s'appliquent à différents types de trafic. Le pare-feu LAN de nouvelle génération de Socket contrôle le trafic est-ouest et la segmentation au sein du site, tandis que la politique de Contournement s'applique uniquement au trafic qui sort directement vers l'Internet.

Révisions de politique et édition simultanée par plusieurs administrateurs

La politique de Contournement permet à différents administrateurs d'éditer la politique en parallèle. Chaque administrateur peut éditer des règles et enregistrer les modifications dans leur propre révision privée, puis les publier dans la politique de compte (la révision publiée). Pour plus d'informations sur la gestion des révisions de politiques, voir Travail avec les Révisions de Politique.

Définition des règles de contournement

Créez une règle de contournement et configurez les paramètres de la règle pour gérer quel trafic sort directement vers l'Internet.

Port de Socket Préféré

Par défaut, le Socket sélectionne automatiquement l'interface WAN avec le meilleur score. Optionnellement, vous pouvez définir un Port de Socket Préféré (par exemple, WAN2). Si les scores WAN sont similaires, le Socket préfère l'interface WAN sélectionnée (tant qu'elle a de la connectivité). Si elle perd sa connectivité, le Socket sélectionne un rôle WAN différent.

Pour plus d'informations sur les éléments Source et Destination pour une règle, voir Référence pour les objets de règle.

Bypass_Policy_Account_Level_new_rule.png

Pour définir une règle de contournement pour le trafic Internet :

  1. Dans le menu de navigation, sélectionnez Réseau > Contourner.

  2. Cliquez sur Nouveau puis dans le menu déroulant sélectionnez Nouvelle règle.

  3. Entrez le Nom pour la règle.

  4. Activez ou désactivez la règle en utilisant le curseur (vert pour activé, gris pour désactivé).

  5. Configurez la Position de la règle dans la base de règles.

  6. Développez la section Site et sélectionnez les sites de prise et/ou groupes auxquels la règle s'applique. La valeur par défaut est Any.

  7. Développez la section Source et sélectionnez un ou plusieurs objets pour la source de trafic pour cette règle.

    Lorsque plus d'un objet Source est présent dans une règle, il existe une relation OU entre eux. La valeur par défaut est Any.

  8. Développez la section Destination et sélectionnez un ou plusieurs destinations de trafic pour cette règle.

    Lorsque plus d'un objet Destination est présent dans une règle, il existe une relation OU entre eux. La valeur par défaut est Any.

  9. Développez la section Service/Port et définissez les services simples et/ou les services personnalisés auxquels la règle s'applique :

    • Pour un Service Simple, sélectionnez le service dans le menu déroulant.

    • Pour un Service Personnalisé, entrez le protocole et le port au format protocole/port. Par exemple, TCP/80 pour un seul port, TCP/80-88 pour une plage de ports.

    Lorsque plus d'un objet Service/Port est présent dans une règle, il existe une relation OU entre eux. La valeur par défaut est Any.

  10. Développez la section Actions et définissez les paramètres Port de Socket Préféré et Suivi.

    • (Optionnel) Dans Port de Socket Préféré, sélectionnez le port WAN que le Socket utilisera comme port WAN préféré pour le trafic de contournement. Lorsque Automatique est sélectionné, le Socket détermine le port optimal pour le trafic de contourner.

    • (Optionnel) Sélectionnez l'option Événement pour que la règle génère des événements lorsqu'elle est correspondante au trafic.

  11. Cliquez sur Enregistrer pour sauvegarder les modifications.

    Les modifications sont enregistrées dans votre révision non publiée et sont disponibles pour l'édition jusqu'à leur publication ou leur rejet.

Personnaliser le délai d'expiration du flux

Pour les sites Socket et vSocket, le délai d'expiration par défaut du flux est de 60 secondes. Après ce temps, il y a un délai d'expiration inactif pour le flux de trafic, et le Socket ferme le flux contourné.

Vous pouvez utiliser l'Interface Web du Socket pour personnaliser le délai d'expiration du flux. Cependant, ce paramètre personnalisé n'est pas persistant, et si le Socket redémarre, y compris la mise à niveau vers une nouvelle version, alors il revient au délai d'expiration par défaut du flux de 60 secondes. Pour configurer définitivement un timeout de flux personnalisé, veuillez contacter le Support.

Pour personnaliser le délai d'expiration du flux de contournement :

  1. Connectez-vous à l'Interface Web du Socket :

    1. Dans le menu de navigation, sélectionnez Réseau > Sites, et sélectionnez le site.

    2. Dans le menu de navigation, sélectionnez Configuration du site > Socket.

    3. Dans le menu Actions de la prise, sélectionnez Interface Web du Socket.

  2. Depuis l'onglet Paramètres de connexion au Cloud, dans la section Délai d'expiration du flux (uniquement pour les flux contournés), entrez la nouvelle valeur de timeout.

  3. Cliquez sur Mettre à jour.

Limitations connues

  • Le contournement basé sur le FQDN repose sur la corrélation DNS-IP, qui peut être imprécise lorsque les services sont hébergés derrière des CDNs. Si plusieurs noms d'hôtes se résolvent vers une même IP CDN partagée, cela peut entraîner des correspondances faussement positives à une règle, et le trafic pour d'autres noms d'hôtes peut être contourné par erreur.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 4

0 commentaire