Pour plus d'informations sur l'acheminement du trafic pour les utilisateurs distants, consultez Routage avec le Client Cato (Politique de tunnel fractionné).
Remarque
Remarque : Il s'agit d'une fonctionnalité de disponibilité anticipée (EA) qui est seulement disponible en version limitée. Pour plus d'informations sur l'activation de la fonctionnalité, contactez votre représentant Cato Networks ou envoyez un email à ea@catonetworks.com.
La politique du tunnel fractionné offre une flexibilité pour vous aider à équilibrer la couverture de sécurité, la performance, et la coexistence avec d'autres solutions de réseau ou de sécurité. Vous pouvez choisir de :
- Acheminer tout le trafic à travers le Cloud Cato et exclure des destinations spécifiques (comme des services SaaS de confiance)
- Acheminer la plupart du trafic directement à Internet et n'inclure que des destinations sélectionnées pour l'inspection
Les règles basées sur la destination supportent les applications, les plages IP, les domaines et les FQDN, vous offrant un contrôle précis sur le trafic sécurisé par le Cloud Cato et le trafic contournant le tunnel.
Lorsque vous utilisez le domaine et le FQDN pour définir le trafic pour les utilisateurs distants connectés avec le Client, qui est inclus ou exclu du Cloud Cato :
-
Domaine - Utilisez des objets de domaine pour correspondre à un domaine et à tous ses sous-domaines (par exemple,
example.comcorrespond àapp.example.cometlogin.example.com) -
FQDN - Utilisez des objets FQDN pour cibler des hôtes spécifiques (par ex., uniquement
app.example.com)
Pour les configurations où vous routez tout le trafic des utilisateurs distants vers le Cloud Cato, vous pouvez définir des exceptions pour contourner le tunnel du Cloud Cato et se connecter directement à la destination. Cela permet de maintenir l'inspection de sécurité dans le Cloud Cato tout en optimisant l'accès aux services de confiance.
Par exemple, vous pouvez vouloir que le trafic vers un service SaaS comme office.com contourne le tunnel pour des raisons de performance. Les requêtes DNS pour le domaine sont toujours inspectées par le Cloud Cato. Une fois le domaine résolu, le trafic se connecte directement à la destination.
Les exceptions de tunnel fractionné incluent les options suivantes :
- Exclusions DNS - Définissez des domaines résolus par un serveur DNS local plutôt que par le Cloud Cato, comme des applications internes que vous souhaitez accéder directement.
- Exclusions de Destination - Définissez les applications, les domaines, les FQDN (EA) ou les plages IP qui contournent le tunnel, comme les applications ou services que les utilisateurs accéderont en contournant le tunnel.
Remarque : Lors de la création d'une règle avec une exclusion, vous devez spécifier explicitement le système d'exploitation comme Windows.
La procédure suivante décrit comment configurer une règle pour envoyer tout votre trafic à Cato tout en excluant le trafic DNS local et les destinations à l'aide d'un FQDN.
Pour personnaliser le trafic exclu du Cloud Cato :
- Dans le menu de navigation, cliquez sur Accès > Politique du tunnel fractionné.
-
Créez une nouvelle règle et configurez les paramètres pour : Général, Utilisateurs/Groupes, Plateformes, Réseau Source et Pays.
Pour plus d'informations, consultez Routage avec le Client Cato (Politique de tunnel fractionné).
- Dans la section Configuration, sous Sélectionner le mode de connexion, sélectionnez Tous les ports & Protocoles.
- Sous Politique de routage, sélectionnez Route tout vers Cato.
- Dans la section Définir les exceptions de routage, définissez le trafic qui contourne le tunnel :
- Sous Exclusions DNS, entrez un ou plusieurs domaines à résoudre par votre serveur DNS local.
-
Sous Exclusions de destination, configurez une ou plusieurs destinations et types qui vont directement à la destination.
Le trafic vers ces domaines ira directement vers leur destination et ne passera pas par Cato.
- Cliquez sur Enregistrer.
Lors de la création d'une règle de tunnel fractionné, vous pouvez déterminer la politique de routage pour qu’en by défaut, le trafic ne soit pas acheminé vers Cato. Ensuite, définissez uniquement le trafic spécifique qui est acheminé à Cato pour inspection. Par exemple, lorsque la plupart de votre trafic réseau va à une solution tierce, mais vous souhaitez acheminer un trafic spécifique à un centre de données distant à travers Cato.
Actuellement, l'inclusion du trafic basé sur le DNS n'est pas prise en charge. Cette fonctionnalité sera prise en charge à l'avenir.
Remarque : Lors de la création d'une règle pour inclure le trafic, vous devez spécifier explicitement le système d'exploitation comme Windows.
La procédure suivante décrit comment configurer une règle pour envoyer uniquement des destinations de trafic spécifiques au Cloud Cato, et le reste est dirigé vers votre solution tierce.
Pour personnaliser le trafic qui est acheminé vers Cato :
- Dans le menu de navigation, cliquez sur Accès > Politique du tunnel fractionné.
-
Créez une nouvelle règle et configurez les paramètres pour : Général, Utilisateurs/Groupes, Plateformes, Réseau Source et Pays.
Pour plus d'informations, consultez Routage avec le client Cato (Politique de tunnel fractionné).
- Dans la section Configuration, sous Choisissez le mode de connexion, sélectionnez Tous les ports & Protocoles.
- Sous Sélectionner la politique de routage, choisissez Route unique sélectionnée vers Cato.
- Dans la section Définir les sélections de routage, sous Inclusions de Destination, ajoutez les éléments routés à Cato pour des contrôles de sécurité supplémentaires.
- Cliquez sur Enregistrer.
Limitation connue
- Vous pouvez définir jusqu'à environ 100 articles de Domaine et FQDN pour une seule règle (le nombre total de caractères est inférieur à 3.5 Ko)
0 commentaire
Vous devez vous connecter pour laisser un commentaire.