यह लेख Cato क्लाइंट यातायात मार्गदर्शन नियमों को केंद्रीय रूप से प्रबंधित करने की प्रक्रिया को समझाता है।
Cato क्लाइंट Cato क्लाउड को एक DTLS टनल स्थापित करके उपयोगकर्ता ट्रैफ़िक को सुरक्षित करता है। स्प्लिट टनल नीति यह नियंत्रित करती है कि कौन सा ट्रैफ़िक इस सुरक्षित टनल के माध्यम से भेजा जाता है और कौन सा ट्रैफ़िक इसे बायपास करता है और सीधे स्थानीय नेटवर्क इंटरफेस के माध्यम से रूट किया जाता है। यह नीति रूटिंग व्यवहार के लचीले, केंद्रीकृत प्रबंधन का समर्थन करती है।
Cato क्लाउड के माध्यम से रूट किए गए ट्रैफ़िक को पूर्ण सुरक्षा निरीक्षण और प्रवर्तन का लाभ मिलता है, और Cato बैकबोन के ऊपर पथ अनुकूलन। हालांकि, ऐसी परिस्थितियाँ हो सकती हैं जिनके लिए अनुकूली रूटिंग की आवश्यकता होती है, उदाहरण के लिए, वास्तविक समय मीडिया सेवाओं के प्रदर्शन को अनुकूलित करने या तृतीय-पक्ष विक्रेताओं के साथ कार्य करते समय।
नियम उपयोगकर्ता पहचान, भू-स्थान, ऑपरेटिंग सिस्टम, और स्रोत नेटवर्क सहित कई मानदंडों के आधार पर मिलाए जाते हैं। आप समावेशी या अपवाद-आधारित नियम परिभाषित कर सकते हैं। उदाहरण के लिए:
- पहचान - विशेष उपयोगकर्ताओं या उपयोगकर्ता समूहों पर चयनात्मक रूप से रूटिंग नियम लागू करें
- उपकरण - चुनें कि कौन सा OS और देशों पर रूटिंग नियम लागू होते हैं
- स्रोत नेटवर्क - प्रबंधित या अप्रबंधित नेटवर्क पर आधारित ट्रैफ़िक रूट करें
रूटिंग कॉन्फ़िगरेशन समर्थन करता है:
-
उपयोगकर्ता ट्रैफ़िक:
- सभी ट्रैफिक को Cato क्लाउड पर अग्रेषित करें, आंतरिक अनुप्रयोगों या विक्रेता द्वारा होस्टेड संसाधनों के लिए विशिष्ट अपवर्जन के साथ
- केवल चयनित ट्रैफ़िक को लेगेसी VPN समाधान को विस्थापित करने के हिस्से के रूप में रूट करें
- सिर्फ वेब-बंधित ट्रैफ़िक को Cato क्लाउड के माध्यम से रूट करें जबकि अन्य ट्रैफ़िक को स्थानीय रूप से निकलने दें
-
DNS ट्रैफ़िक:
- निर्दिष्ट डोमेनों के लिए स्थानीय DNS सर्वर द्वारा DNS रिज़ॉल्विंग का समर्थन करें
- तीसरे पक्ष के VPN द्वारा आवश्यक डोमेनों के लिए DNS संघर्ष को रोकने के लिए स्थानीय DNS रिज़ॉल्यूशन का समर्थन करें
नियंत्रण का यह स्तर आपको विलंबता को कम करते हुए और विश्वसनीय संसाधनों के लिए सीधे पहुँच को संरक्षित करते हुए सुरक्षा कवरेज को अनुकूलित करने की अनुमति देता है।
निम्नलिखित विशेषताएं वर्तमान में केवल विंडोज क्लाइंट v5.16 और उच्चतर के साथ उपलब्ध हैं
-
DNS बहिष्करण
-
सुनिश्चित करें कि आपके स्थानीय फ़ायरवॉल में निम्नलिखित को पहुँच की अनुमति दी गई है:
- IP पता 127.0.0.253
- Cato Networks DNS सेवा
- डीएनएस रिले प्रक्रिया, dns-relay.exe
-
-
सिर्फ वेब रूटिंग
- सुनिश्चित करें कि Cato क्लाइंट के पास सिस्टम PAC फ़ाइल पर लिखने की अनुमति है
विभाजित टनल नीति विभिन्न व्यवस्थापकों को नीति को समानांतर में संपादित करने की अनुमति देती है। प्रत्येक व्यवस्थापक नियमों को संपादित कर सकता है और अपनी निजी रूपांतरण में नियमबेस में परिवर्तन प्रकाशित कर सकता है, और फिर उन्हें खाता नीति में प्रकाशित कर सकता है (प्रकाशित रूपांतरण)। नीति पुनरीक्षण का प्रबंधन कैसे करें, इस पर अधिक जानकारी के लिए देखें नीति पुनरीक्षण के साथ कार्य।
ABC कंपनी अपने उपयोगकर्ताओं के लिए Cato क्लाइंट का प्रावधान हमेशा चालू के अंतर्गत करती है। इसका अर्थ है कि वे जुड़े हुए होते हैं भले ही वे अपने तृतीय-पक्ष विक्रेता के पीछे कार्यालय में हों। प्रशासक के रूप में, आपको विश्वास है कि आपके आंतरिक अनुप्रयोगों के लिए ट्रैफ़िक तीसरे-प्रमुख विक्रेता द्वारा सुरक्षित है और कार्यालय में उपयोगकर्ताओं के लिए Cato क्लाउड से बाहर रखा गया है। सभी अन्य ट्रैफ़िक सुरक्षा के लिए Cato क्लाउड को भेजा जाता है।
आप इस व्यवहार को लागू करने के लिए स्प्लिट टनल नीति में दो नियम कॉन्फ़िगर करते हैं:
- नियम 1 किसी भी प्रबंधित नेटवर्क के पीछे से उत्पन्न होने वाले उपयोगकर्ता ट्रैफ़िक के लिए है, सभी पोर्ट और प्रोटोकॉल के लिए। बहिष्कृत DNS और गंतव्य परिभाषित हैं। यह ट्रैफ़िक को Cato क्लाउड को रूट होने से रोकता है।
- नियम 2 किसी भी अप्रबंधित नेटवर्क के पीछे से उत्पन्न होने वाले उपयोगकर्ता ट्रैफ़िक के लिए है, सभी पोर्ट और प्रोटोकॉल के लिए। कोई बहिष्करण नहीं हैं, यह ट्रैफ़िक Cato क्लाउड को रूट किया जाता है।
ABC कंपनी Cato से केवल वेब ट्रैफ़िक को SaaS अनुप्रयोगों और सार्वजनिक इंटरनेट तक सुरक्षित करने की कोशिश कर रही है। यह आवश्यक है कि Cato उपयोगकर्ताओं के प्रबंधित और अप्रबंधित नेटवर्क से जुड़ने पर तृतीय-पक्ष विक्रेताओं के साथ सह-अस्तित्व में हो। यह एक हल्का मोड है जो प्रॉक्सी-आधारित आर्किटेक्चर से Cato के तहत धीरे-धीरे ऑनबोर्डिंग के लिए उपयुक्त है।
नोट: Cato के न्यूनतम जरूरतों का पालन करने वाले 3rd पार्टी वीपीएन को विंडोज़ में वेब-केवल मोड में Cato क्लाइंट द्वारा बाधित नहीं किया जाना चाहिए।
आप स्प्लिट टनल नीति में एक नियम बनाते हैं जो सभी वेब ट्रैफ़िक को Cato क्लाउड पर भेजता है, और सभी अन्य ट्रैफ़िक प्रबंधित नेटवर्क के माध्यम से भेजा जाता है।
स्प्लिट टनल नीति एक क्रमबद्ध नियम आधार है जो क्रमिक रूप से जांचता है कि क्या कोई नियम पूरा होता है, एक बार एक नियम का मिलान हो जाने पर कम प्राथमिकता वाले नियमों की अनदेखी की जाती है। जब कोई उपयोगकर्ता एक नियम पूरा करता है, तो उस नियम के आधार पर ट्रैफ़िक रूटिंग सेटिंग्स लागू होती हैं। यदि कोई नियम नहीं मिलता है, तो यातायात Cato क्लाउड के माध्यम से मार्गदर्शित होता है, और LAN पहुंच की अनुमति होती है।
विभाजित सुरंग सेटिंग्स के अपवादों के लिए IP रेंज शामिल करने के लिए, IP रेंज को एक वैश्विक IP रेंज इकाई में जोड़ें।
ये वे सेटिंग्स हैं जिन्हें आप स्प्लिट टनल नीति के नियमों के लिए परिभाषित कर सकते हैं:
- सामान्य सेटिंग्स (उदा. नाम, विवरण)।
- नियम उपयोगकर्ता और समूह, प्लेटफार्म, देश और स्रोत नेटवर्क पर लागू होता है।
- नियम किस ट्रैफ़िक के दायरे पर लागू होता है उदाहरण के लिए, सभी ट्रैफ़िक या केवल वेब
- ट्रैफ़िक के दायरे के लिए रूटिंग नीति।
यह अनुभाग स्प्लिट टनल नीति में एक बुनियादी नियम को कॉन्फ़िगर करने के तरीके की व्याख्या करता है। यह मानता है कि आप लगभग सभी ट्रैफ़िक को Cato क्लाउड पर रूट करना चाहते हैं।
विभाजित सुरंग नियमों को अनुकूलित करने के बारे में जानकारी के लिए, देखें
विभाजित सुरंग नीति को कॉन्फ़िगर करने के लिए:
- नेविगेशन मेनू से, पहुंच > विभाजित सुरंग नीति चुनें।
-
नया क्लिक करें।
नई विभाजित सुरंग नीति नियम पेनल खुलेगा।
-
निम्नलिखित सामान्य सेटिंग्स को कॉन्फ़िगर करें:
- नाम
- विवरण
- स्थिति
सुनिश्चित करें कि इस नियम को लागू करने के लिए सक्रिय करें
-
उपयोगकर्ता और उपयोगकर्ता समूह
- उपयोगकर्ता और उपयोगकर्ता समूह
- प्लेटफार्म
- देश
-
कॉन्फ़िगरेशन के तहत, निम्नलिखित को कॉन्फ़िगर करें:
- कॉन्फ़िगरेशन अनुभाग में, ट्रैफ़िक के दायरे का चयन करें जिसे इस नियम में शामिल करना है।
-
रूटिंग नीति के अंतर्गत, निर्धारित करें कि दायरा कैसे रूट किया गया है। विकल्पों में शामिल है
-
सभी ट्रैफ़िक को Cato पर रूट करें: ट्रैफ़िक Cato क्लाउड के माध्यम से मार्गदर्शित होता है। आप इंटरनेट पर सीधे मार्गदर्शित करने के लिए अपवाद परिभाषित कर सकते हैं।
नोट: यदि आप आउटबाउंड LAN पहुंच को ब्लॉक करते हैं, तो यह विकल्प केवल विंडोज क्लाइंट v5.6 और उच्चतर से समर्थित है।
- केवल चुने गए को Cato के लिए रूट करें: ट्रैफ़िक सीधे इंटरनेट का उपयोग करता है और Cato क्लाउड को बायपास करता है। आप Cato क्लाउड के माध्यम से मार्गदर्शित करने के लिए अपवाद परिभाषित कर सकते हैं। LAN पहुंच को अवरुद्ध करें इस विकल्प के साथ विरोधाभास में है और इसे चुना नहीं जा सकता है।
- एंड-यूजर परिभाषित: उपयोगकर्ता Cato क्लाउड के माध्यम से किस ट्रैफ़िक को रूट किया जाता है और कौन सा ट्रैफ़िक Cato क्लाउड से बाहर रखा गया है यह कॉन्फ़िगर करने के लिए क्लाइंट पर एक पाठ फ़ाइल अपलोड करने में सक्षम हैं। LAN पहुंच को अवरुद्ध करना इस विकल्प के साथ चुना नहीं जा सकता।
-
- गंतव्य अपवर्जन के तहत, एक ऐप या IP रेंज को कॉन्फ़िगर करें जिसपर रूटिंग नीति लागू नहीं होती
-
यह निर्धारित करें कि LAN पहुंच की अनुमति देना है या ब्लॉक करना है
समान IP पता वाले सबनेट्स के बीच ट्रैफ़िक रूटिंग संघर्ष से बचने के लिए, किसी संघर्ष की स्थिति में, आप आउटबाउंड LAN पहुँच को अवरुद्ध कर सकते हैं। इस विकल्प के साथ, सभी ट्रैफ़िक Cato क्लाउड को रूट किया जाता है, जो बढ़ी हुई सुरक्षा प्रदान करता है। क्लाइंट को दूरस्थ उपयोगकर्ता के होम नेटवर्क में LAN होस्ट से कनेक्ट होने से अवरुद्ध किया गया है।
- लागू करें पर क्लिक करें।
- स्प्लिट टनल नीति के प्रत्येक नियम के लिए चरण 2-5 दोहराएं।
-
स्प्लिट टनल नीति को सक्षम करें और फिर सहेजें पर क्लिक करें।
स्लाइडर हरा होता है जब नियम सक्षम होता है, और ग्रे होता है जब नियम अक्षम होता है।
स्प्लिट टनल नियम बनाते समय, आप स्रोत नेटवर्क के आधार पर विभिन्न रूटिंग नीतियों को निर्धारित कर सकते हैं, यानी, चाहे यह प्रबंधित या अप्रबंधित हो।
जब ट्रैफ़िक एक अप्रबंधित नेटवर्क पर होता है, तो यह हमेशा पहले Cato के माध्यम से जाएगा। प्रबंधित नेटवर्क पर ट्रैफ़िक के लिए, आप यह निर्धारित कर सकते हैं कि ट्रैफ़िक Cato के माध्यम से रूट किया गया है या सीधे गंतव्य को।
नोट: आपको नियमों को लागू करने के लिए प्रबंधित नेटवर्क को सक्षम और विन्यस्त करना होगा।
स्रोत नेटवर्क को अनुकूलित करने के लिए:
- नेविगेशन मेनू से, Access > Split Tunnel Policy पर क्लिक करें।
- एक नया नियम बनाएं और ऊपर चरण 2-4 में सेटिंग्स को कॉन्फ़िगर करें यहाँ देखें।
-
स्रोत नेटवर्क अनुभाग में, निर्धारित करें कि यह नियम लागू होता है:
- सभी नेटवर्क
- सभी अप्रबंधित नेटवर्क
- सभी प्रबंधित नेटवर्क
- ऊपर चरण 5-7 में बहिष्कृत कनेक्शन मोड, रूटिंग नीति और गंतव्यों को परिभाषित करें यहाँ देखें।
स्प्लिट टनल नियम बनाते समय, आप रूटिंग नीति निर्धारित कर सकते हैं ताकि सभी ट्रैफ़िक Cato को अतिरिक्त सुरक्षा लाभों के लिए रूट किया जाए, विशिष्ट ट्रैफ़िक के अपवाद के साथ। उदाहरण के लिए, उस ट्रैफ़िक का निरीक्षण करना आवश्यक नहीं है जो एक स्थानीय DNS सर्वर पर जा रहा है।
नोट: अपवर्जन के साथ एक नियम बनाते समय, आपको ऑपरेटिंग सिस्टम को विंडोज़ के रूप में स्पष्ट रूप से निर्दिष्ट करना होगा।
निम्नलिखित प्रक्रिया बताती है कि स्थानीय DNS ट्रैफ़िक को छोड़ते हुए अपने सभी ट्रैफ़िक को Cato को कैसे भेजा जाए।
नोट: आप इस नियम में स्रोत नेटवर्क के लिए अनुकूलन लागू कर सकते हैं।
Cato क्लाउड से बाहर रखे गए ट्रैफ़िक को अनुकूलित करने के लिए:
- नेविगेशन मेनू से, Access > Split Tunnel Policy पर क्लिक करें।
- एक नया नियम बनाएं और ऊपर चरण 2-4 में सेटिंग्स को कॉन्फ़िगर करें यहाँ देखें।
- कॉन्फ़िगरेशन सेक्शन में, कनेक्शन मोड चुनें, सभी पोर्ट्स और प्रोटोकॉल चुनें।
- रूटिंग नीति के अंतर्गत, सभी को Cato की ओर रूट करें चुनें।
-
रूटिंग अपवाद परिभाषित करें अनुभाग में, DNS एक्सक्लूज़न के अंतर्गत, डोमेन(s) दर्ज करें जिन्हें आपके लोकल DNS सर्वर द्वारा हल किया जाएगा।
इन डोमेन्स को ट्रैफ़िक सीधे उनके गंतव्य पर जाएगा और Cato के माध्यम से नहीं।
- लागू करें पर क्लिक करें और फिर सहेजें पर क्लिक करें।
विभाजित सुरंग नियम बनाते समय, आप केवल विशिष्ट ट्रैफ़िक को निरीक्षण के लिए Cato की ओर रूट करने के लिए रूटिंग नीति निर्धारित कर सकते हैं। उदाहरण के लिए, जब आपके नेटवर्क ट्रैफ़िक का अधिकांश भाग तृतीय-पक्ष समाधान की ओर जाता है, लेकिन आप विशेष ट्रैफ़िक को Cato के माध्यम से दूरस्थ डेटा केंद्र की ओर रूट करना चाहते हैं।
नोट: एक अपवाद के साथ नियम बनाते समय, आपको स्पष्ट रूप से ऑपरेटिंग सिस्टम को विंडोज़ के रूप में निर्दिष्ट करना होगा।
निम्नलिखित प्रक्रिया outlines करती है कि कैसे एक नियम को कॉन्फ़िगर किया जाए ताकि केवल विशिष्ट ट्रैफ़िक गंतव्यों को Cato क्लाउड की ओर भेजा जा सके, और बाकी को आपके तृतीय-पक्ष समाधान की ओर रूट किया जा सके।
नोट: आप इस नियम में स्रोत नेटवर्क के लिए कस्टमाइज़ेशन लागू कर सकते हैं।
कस्टमाइज़ करने के लिए कौन सा ट्रैफ़िक Cato की ओर रूट होता है:
- नेविगेशन मेन्यू से, पहुँच > विभाजित सुरंग नीति पर क्लिक करें।
- एक नया नियम बनाएं और चरण 2-4 में सेटिंग्स को ऊपर कॉन्फ़िगर करें।
- कॉन्फ़िगरेशन अनुभाग में, कनेक्शन मोड चुनें के अंतर्गत, सभी पोर्ट्स & प्रोटोकॉल चुनें।
- रूटिंग नीति के अंतर्गत, केवल चयनित को Cato की ओर रूट करें चुनें।
-
रूटिंग अपवाद परिभाषित करें अनुभाग में, गंतव्य एक्सक्लूज़न के अंतर्गत:
- एप्लिकेशन या IP रेंज चुनें।
- एक्सक्लूज़न के रूप में जोड़ने के लिए आइटम चुनें
इन वस्तुओं को अतिरिक्त सुरक्षा जांच के लिए Cato की ओर रूट किया जाएगा
- लागू करें पर क्लिक करें और फिर सहेजें पर क्लिक करें।
माइक्रोसॉफ्ट डिफेंडर 'Isolate' फीचर के लिए आपको ट्रैफ़िक को सीधे विंडोज डिफेंडर क्लाउड IP पतों पर भेजने की आवश्यकता होती है। डिफ़ॉल्ट रूप से, Cato क्लाइंट ट्रैफ़िक को Cato नेटवर्क एडेप्टर के माध्यम से भेजता है। हालांकि, माइक्रोसॉफ्ट डिफेंडर अपेक्षा करता है कि ट्रैफ़िक माइक्रोसॉफ्ट डिफेंडर एडेप्टर से उत्पन्न हो, जिससे माइक्रोसॉफ्ट डिफेंडर और विंडोज डिफेंडर क्लाउड के बीच संचार विफलता हो जाती है।
Microsoft Defender को Cato क्लाइंट के साथ काम करने के लिए विन्यस्त करने के लिए, स्प्लिट टनल नीति में एक नियम परिभाषित करें जो Microsoft Defender पता पर ट्रैफ़िक भेजे।
आप उपयोगकर्ताओं को ग्राहक में विभाजित सुरंग सेटिंग्स को विन्यस्त करने दे सकते हैं। उपयोगकर्ता वे फाइलें अपलोड कर सकते हैं जिनमें सुरंग में शामिल या एक्सक्लूड किए गए IP रेंज होते हैं।
नोट: यह विकल्प उत्पादन वातावरण के लिए अनुशंसित नहीं है और केवल उन असाधारण मामलों में उपयोग किया जाना चाहिए जहां केंद्रीकृत नीति नियंत्रण आवश्यक नहीं है।
ग्राहक में विभाजित सुरंग सेटिंग्स के लिए IP रेंज परिभाषित करने के लिए:
-
IP पता के साथ एक टेक्स्ट फ़ाइल बनाएँ जिसे एन्क्रिप्टेड सुरंग के माध्यम से मार्गदर्शित किया जाना है या बाहर किया जाना है।
आप टेक्स्ट फ़ाइल में निम्नलिखित नियमों को विन्यास कर सकते हैं:
-
शामिल करें: ट्रैफ़िक को आईपी रेंज की ओर एन्क्रिप्टेड सुरंग के माध्यम से मार्गदर्शित किया जाता है। अन्य सभी ट्रैफ़िक सीधे इंटरनेट की ओर मार्गदर्शित किया जाता है। टेक्स्ट फ़ाइल में, निम्नलिखित के रूप में एन्क्रिप्टेड सुरंग के माध्यम से मार्गदर्शित करने के लिए आईपी पता और नेटमास्क की सूची जोड़ें:
/टिप्पणी शामिल करें <IP>,<netmask> <IP>,<netmask>उदाहरण के लिए:
/विभाजित_सुरंग शामिल करें 198.51.100.0,255.255.255.255 -
छोड़ें: ट्रैफ़िक को आईपी रेंज की ओर सीधे इंटरनेट की ओर मार्गदर्शित किया जाता है। अन्य सभी ट्रैफ़िक एन्क्रिप्टेड सुरंग के माध्यम से मार्गदर्शित किया जाता है। टेक्स्ट फ़ाइल में, निम्नलिखित के रूप में सीधे इंटरनेट की ओर मार्गदर्शित करने के लिए आईपी पता और नेटमास्क की सूची जोड़ें:
;टिप्पणी छोड़ें <IP>,<netmask> <IP>,<netmask>उदाहरण के लिए:
/विभाजित_सुरंग छोड़ें 198.51.100.0,255.255.255.255
आप टिप्पणियाँ के लिए स्लैश (/) या सेमीकोलन (;) का उपयोग कर सकते हैं।
-
-
विंडोज क्लाइंट पर, सेटिंग्स स्क्रीन पर, फ़ाइल अपलोड करें पर क्लिक करें और टेक्स्ट फ़ाइल अपलोड करें।
macOS क्लाइंट पर, सेटिंग्स स्क्रीन पर, स्प्लिट टनल सक्षम चुनें।
-
विंडोज क्लाइंट पर, सेटिंग्स स्क्रीन पर, स्प्लिट टनल सक्षम करें का चयन करें।
macOS क्लाइंट पर, विभाजित टनल कॉन्फ़िगरेशन अपलोड पर क्लिक करें और टेक्स्ट फ़ाइल अपलोड करें।
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.