समस्या

इंटरनेट/वैन फ़ायरवॉल, IPS, RPF या एंटी-मैलवेयर जैसी कई CMA घटनाएँ एक ही ट्रैफ़िक प्रवाह के लिए उत्पन्न की जाती हैं। कैटो क्लाउड के माध्यम से अनुमत या अवरुद्ध कार्रवाई का निदान करते समय एक ही ट्रैफ़िक के लिए कई घटनाएँ भ्रमित कर सकती हैं।

समस्या निवारण

इस व्यवहार को विभिन्न प्रकार की CMA घटनाओं में देखा जा सकता है। नीचे कुछ संभावित परिदृश्य दिए गए हैं जो हो सकते हैं:

समान घटना क्रियाएँ

इस परिदृश्य में, ट्रैफ़िक प्रवाह को फ़ायरवॉल इंजन द्वारा अवरुद्ध किया गया था क्योंकि इसे "बॉटनेट" के रूप में वर्गीकृत किया गया था, जो इंटरनेट फ़ायरवॉल नियम के भीतर अवरुद्ध श्रेणी है। एक साथ, IPS इंजन ने भी ट्रैफ़िक को अवरुद्ध किया क्योंकि यह वेबसाइट की श्रेणी पर आधारित IPS हस्ताक्षर "cid_heur_suspicious" से मेल खाता था। 

विभिन्न घटना क्रियाएँ

इस परिदृश्य में, ट्रैफ़िक प्रवाह को प्रारंभ में IPS इंजन द्वारा एक जियो-प्रतिबंध नीति के कारण अवरुद्ध किया गया है। हालांकि, ट्रैफ़िक जानकारी प्राप्त करने के लिए क्लाइंट के साथ TLS/HTTP कनेक्शन स्थापित किया गया है ताकि फ़ायरवॉल इंजन एक निर्णय ले सके, जो इस मामल में ट्रैफ़िक प्रवाह की अनुमति देना (क्रिया: निगरानी करें) है। ट्रैफ़िक को अंततः IPS इंजन द्वारा अवरुद्ध किया जाता है और कोई पैकेट गंतव्य आईपी तक नहीं पहुंचते हैं।

व्याख्या

जैसा कि कैटो के साथ पैकेट फ्लो समझना में समझाया गया है, कैटो क्लाउड में कई नेटवर्किंग और सुरक्षा इंजन शामिल हैं जो समानांतर में काम करते हैं। इसका मतलब है कि एक इंजन को दूसरे के मुकाबले ट्रैफ़िक का मूल्यांकन करने के लिए कोई प्राथमिकता नहीं है।

आगे, अवरोधित/अनुमति देने के फैसले तुरंत निष्पादित नहीं किए जाते। PoP एक विशेष अनुरोध/प्रतिक्रिया चरण तक पहुँचने की प्रतीक्षा करता है (उदाहरण: HTTP अनुरोध), और प्रत्येक इंजन अंतिम अवरुद्ध या अनुमति की कार्रवाई करता है। यही कारण है कि हम CMA में एक ही या विभिन्न अवरोधित/अनुमति निष्कर्षों के साथ उत्पन्न कई घटनाओं को देख सकते हैं।

जब विभिन्न घटनाओं में विभिन्न क्रियाएं देखी जाती हैं, तो अवरुद्ध करें कार्रवाई अनुमति दें कार्रवाई पर प्राथमिकता लेगी।