リモートユーザーのトラフィックルーティングについてさらに詳しくは、Catoクライアントを使用したルーティング(スプリットトンネルポリシー)をご覧ください。
注意
注: これは、限定的リリースのための早期利用可(EA)機能です。 この機能を有効にする方法について詳しくは、Cato Networksの担当者に連絡するか、ea@catonetworks.comにメールを送信してください。
スプリットトンネルポリシーは、ネットワークまたはセキュリティソリューションと共存させながら、セキュリティ範囲、パフォーマンス、共存性を調整する柔軟性を提供します。 次の選択が可能です:
- すべてのトラフィックをCato Cloud経由にルーティングし、特定の宛先(信頼できるSaaSサービスなど)を除外する
- ほとんどのトラフィックを直接インターネットにルーティングし、検査対象として選択された宛先のみを含める
宛先ベースのルールはアプリケーション、IPレンジ、ドメイン、FQDNをサポートしており、どのトラフィックがCato Cloudで保護され、どのトラフィックがトンネルをバイパスするかを正確に制御できます。
クライアントを介して接続されたリモートユーザー用のトラフィックを定義する際にドメインやFQDNを使用すると、Cato Cloudから含まれるか、除外されます。
-
ドメイン - ドメインオブジェクトを使用して、ドメインとそのすべてのサブドメインを一致させます(例:
example.comはapp.example.comおよびlogin.example.comと一致します) -
FQDN - 特定のホストをターゲットにするためにFQDNオブジェクトを使用します(例 、
app.example.comのみ)
すべてのリモートユーザートラフィックをCato Cloudにルーティングする設定の場合、Cato Cloudトンネルをバイパスして宛先に直接接続する例外を定義できます。 これにより、Cato Cloudにおけるセキュリティ検査を維持しつつ、信頼できるサービスへのアクセスを最適化できます。
例えば、office.comのようなSaaSサービスへのトラフィックを、パフォーマンスの理由でトンネルをバイパスさせたい場合があります。 そのドメインのDNSクエリはCato Cloudによって検査され続けます。 ドメインが解決された後、トラフィックは宛先に直接接続されます。
スプリットトンネル例外には以下のオプションが含まれます:
- DNS除外 – ローカルのDNSサーバーによって解決されるドメインを定義しますが、内部アプリケーションなどには直接アクセスしたい場合があります。
- 宛先除外 – トンネルをバイパスするアプリケーション、ドメイン、FQDN(EA)、またはIPレンジを定義します。これは、ユーザーがトンネルをバイパスしてアクセスするアプリケーションやサービスに使用されます。
注: 除外を含むルールを作成する際には、必ずオペレーティングシステムをWindowsとして明示的に指定してください
次の手順は、ローカルDNSトラフィックとFQDNを使用した宛先を除外して、すべてのトラフィックをCatoに送信するルールを構成する方法を示しています。
Cato Cloudから除外されるトラフィックをカスタマイズするには:
- ナビゲーションメニューから、アクセス > スプリットトンネルポリシーをクリックします。
-
新規ルールを作成し、一般設定、ユーザー/グループ、プラットフォーム、ソースネットワーク、および国の設定を構成します。
詳細については、Catoクライアントを使用したルーティング(スプリットトンネルポリシー)をご覧ください。
- 構成セクションで、接続モードを選択の下で、すべてのポートとプロトコルを選択します。
- ルーティングポリシーの下で、すべてをCatoにルートするを選択してください。
-
ルーティング例外の定義セクションで、トンネルをバイパスするトラフィックを定義します:
- DNS除外の下で、ローカルDNSサーバーにより解決される1つ以上のドメインを入力します。
-
宛先除外の下で、直接宛先に行く1つ以上の宛先とタイプを構成します。
これらのドメインへのトラフィックは、直接その宛先行き、Catoを通過しません。
- 保存をクリックしてください。
スプリットトンネルルールを作成するときに、既定でトラフィックがCatoにルーティングされないようなルーティングポリシーを決定できます。 次に、Catoでの検査のためにルーティングされる特定のトラフィックのみを定義します。 例えば、ほとんどのネットワークトラフィックがサードパーティソリューションに繋がる場合でも、特定のトラフィックをCatoを通じてリモートデータセンターにルーティングしたい場合です。
現在、DNSに基づいてトラフィックを含めることはサポートされていません。 この機能は将来的にサポートされる予定です。
注: トラフィックを含むルールを作成する際には、必ずオペレーティングシステムをWindowsとして明示的に指定してください。
次の手順は、特定のトラフィック目的地をCato Cloudに送信し、その他をサードパーティソリューションにルーティングする方法を示しています。
Catoにルーティングされるトラフィックをカスタマイズするには:
- ナビゲーションメニューから、アクセス > スプリットトンネルポリシーをクリックします。
-
新規ルールを作成し、一般設定、ユーザー/グループ、プラットフォーム、ソースネットワーク、および国の設定を構成します。
詳細については、Catoクライアントを使用したルーティング(スプリットトンネルポリシー)をご覧ください。
- 構成セクションで、接続モードを選択の下で、すべてのポートとプロトコルを選択します。
- ルーティングポリシーを選択の下で、選択されたもののみをCatoにルートを選択してください。
- ルーティング選択の定義セクションで、宛先の含有の下に、追加のセキュリティチェックのためにCatoにルートされるアイテムを追加します。
- 保存をクリックしてください。
既知の制限
- 1つのルールで最大約100のドメインとFQDNアイテムを定義できます(総文字数が3.5KB未満)。
0件のコメント
サインインしてコメントを残してください。