Cato Cloud のバイパス（アカウントレベルポリシー）

この記事では、Cato クラウドをバイパスして、サイトを設定してトラフィックを直接インターネットに出力する方法について説明します。

概要

バイパスポリシーでは、Cato Cloudにルーティングされることなく、インターネットに直接出力するインターネットトラフィックのバイパスルールを定義することができます。これは、アカウント内のすべてのSocketサイト全体にグローバルに適用されるアカウントレベルのポリシーです。 Cato クラウド内の PoP は、バイパスされたインターネットトラフィックを検査せず、セキュリティポリシーも適用しません。また、Cato Cloudで強制されるアプリケーションまたはカテゴリベースのトラフィックルールは適用されません。上流方向でバイパストラフィックの帯域幅プロファイルおよびQoSをSocketは引き続き適用します。ポップがバイパスされているので、下流方向にはQoSが適用されません。

バイパスされたインターネットトラフィックはSocket WANインターフェース経由で送信されます。内部のSocketメカニズムは、パケット損失、ジッター、レイテンシー、輻輳などの一連のパラメータに基づいて、WANインターフェースごとに1秒ごとに計算されるスコアを生成します。

デフォルトの動作は、Socketがバイパストラフィックの最良のスコアに基づいてWANポートを自動的に選択することです。 Socketは異なるフローに対して異なるWANポートを選択することができます。

ユースケース - Windows Update トラフィックのバイパス

Windows Update トラフィックは帯域幅を多く消費し、必ずしもCato Cloudによる検査を必要としないことがあります。パフォーマンスを最適化するために、管理者は送信先として設定されたWindows Update定義済みアプリケーションでバイパスルールを設定します。その後、Windows デバイスはインターネット接続を介して Microsoft から直接更新をダウンロードします。

前提条件

Socket v25 以上の Socket および vSocket サイトでサポートされています。
FQDN、ドメイン、またはカスタムアプリケーションに基づいたバイパスルールの場合、関連するトラフィックの DNSサーバーとして Cato DNS を設定します。

アカウントレベルのバイパスが機能する仕組み

定義済みアプリケーションに基づくバイパスルール

Socketサイトでアプリケーショントラフィックをインターネットに直接出力するように設定するのを簡単にするために、すべての関連する送信先IPアドレスを含む定義済みアプリケーションを使用してルールを定義できます。 Catoはこれらの定義済みアプリケーションを維持するため、アプリケーションのIPアドレスが更新されると、ポリシーは自動的に新しいIPアドレスに適用されます。例として、Zoomのすべての公開IPを設定して追跡する必要がある代わりに、Zoom定義済みアプリケーションを選択するだけで、Catoが正しい送信先をバイパスします。

FQDN、ドメイン、カスタムアプリケーションに基づくバイパスルール

FQDN、ドメイン、カスタムアプリケーションに基づいてバイパスルールを作成し、Socketから直接出力されるインターネットの宛先に対する細かい制御を行うことができます。 DNSベースの識別子に合わせてトラフィックを調整することで、IPレンジを手動で追跡することを避け、継続的なメンテナンスを削減します。カスタムアプリケーションを使用すると、複数のFQDN、ドメイン、またはIPレンジを単一の再利用可能なオブジェクトにグループ化し、ポリシーの管理を容易にし、読みやすく、一貫性のあるルールを実現できます。

Catoファイアウォールポリシーに対するバイパスポリシーの関係

バイパスポリシールールに一致するトラフィックは、Catoファイアウォールポリシーによって強制されません。バイパスされたトラフィックは Cato クラウドに送信されないため、インターネットファイアウォールと WAN ファイアウォールルールは適用されません。バイパスポリシーとSocket Next Gen LANファイアウォールは、両方ともSocketでローカルに強制されますが、異なる目的で使用され、異なるタイプのトラフィックに適用されます。 Socket Next Gen LANファイアウォールは、サイト内の東西トラフィックとセグメンテーションを制御し、バイパスポリシーはインターネットに直接出力されるトラフィックにのみ適用されます。

ポリシー改訂と複数の管理者による同時編集

バイパスポリシーでは、異なる管理者が並行してポリシーを編集できます。各管理者はルールを編集し、プライベートな改訂版に変更を保存してから、アカウントポリシーに公開します（公開された改訂版）。ポリシー改訂の管理方法についての詳細は、ポリシー改訂の作業をご覧ください。

バイパスルールの定義

バイパスルールを作成し、インターネットに直接出力するトラフィックを管理するための設定を構成します。

優先Socketポート

デフォルトでは、Socketは自動的に最良のスコアのWANインターフェースを選択します。オプションで、例としてWAN2のように、優先Socketポートを設定することができます。 WANスコアが似ている場合、Socketは選択されたWANインターフェースを優先します（接続性がある限り）。接続性が失われた場合、Socketは別のWAN役割を選択します。

ルールの 送信元 と宛先アイテムの詳細については、ルールオブジェクトの参照を参照してください。

インターネットトラフィックのバイパスルールを定義します。

ナビゲーションメニューから ネットワーク > バイパス を選択します。
新規をクリックし、ドロップダウンメニューから 新規ルール を選択します。
このルールの名前を入力します。
スライダーを使用してルールを有効または無効にします (緑が有効、灰色が無効)。
ルールベースのルールに対する位置を設定します。
サイト セクションを展開し、ルールが適用されるソケットサイトまたはグループを選択します。デフォルト値は全てです。
送信元 セクションを展開し、このルールのトラフィック送信元となるオブジェクトを1つ以上選択します。

ルールに複数の 送信元 オブジェクトがある場合、それらの間には OR 関係があります。デフォルト値は全てです。
宛先セクションを展開し、このルールのトラフィック宛先となる1つ以上の対象を選択します。

ルールに複数の宛先オブジェクトがある場合、それらの間には OR 関係があります。デフォルト値は全てです。
サービス/ポート セクションを展開し、ルールが適用される単純および/またはカスタムサービスを定義します。
- 単純サービス を選択するには、ドロップダウンメニューからサービスを選択します。
- カスタムサービス の場合、プロトコルとポートをプロトコル/ポート形式で入力します。例えば、単一ポートの場合は TCP/80、ポート範囲を表す場合は TCP/80-88 です。
ルールに複数の サービス/ポート オブジェクトがある場合、それらの間には OR 関係があります。デフォルト値は全てです。
アクションセクションを展開し、優先ソケットポート と トラッキング 設定を定義します。
- （オプション） 優先ソケットポート で、バイパストラフィックにソケットが使用する優先 WAN ポートを選択します。自動が選択されている場合、ソケットがバイパストラフィックに最適なポートを決定します。
- （オプション） ルールで イベント オプションを選択し、トラフィックによって一致した場合にイベントを生成します。
変更を保存するには、保存をクリックします。

変更は未公開の改訂に保存され、公開または破棄されるまで編集可能です。

フロータイムアウトのカスタマイズ

ソケットおよび vSocket のサイトのために、デフォルトのフロータイムアウトは 60 秒です。この時間後、トラフィックフローのアイドルタイムアウトが発生し、ソケットがバイパスされたフローを閉じます。

ソケット WebUI を使用してフロータイムアウトをカスタマイズできます。ただし、このカスタム設定は永続的ではなく、新しいバージョンへのアップグレードを含むソケットの再起動時にはデフォルトの 60 秒のフロータイムアウトに戻ります。カスタムフロータイムアウトを恒久的に設定するには、サポートにお問い合わせください。

バイパスフロータイムアウトをカスタマイズする方法:

ソケット WebUI にログインします。
1. ナビゲーションメニューから ネットワーク > サイト を選択し、サイトを選択します。
2. ナビゲーションメニューから サイト設定 > ソケット を選択します。
3. ソケットの アクション メニューから ソケット WebUI を選択します。
クラウド接続設定 タブから、フロータイムアウト（バイパスフローのみ） セクションで新しいタイムアウト値を入力します。
更新をクリックします。

既知の制限事項

FQDN ベースのバイパスは、CDN の背後でホスティングされるサービスに対して不正確である可能性がある DNS と IP の相関に依存しています。複数のホスト名が同じ共有 CDN IP に解決されると、ルールへの誤検知が発生し、他のホスト名のトラフィックが意図せずバイパスされることがあります。