インターネットトラフィックのバックホールの設定

この記事では、バックホールゲートウェイとしてサイトを設定し、そのサイトへのトラフィックをルートするためのネットワークルールを作成する方法を説明します。

インターネットトラフィックのバックホールの概要

デフォルトでは、CatoはインターネットトラフィックをCato Cloud内のPoPから出力します。特定のサイトを経由してインターネットトラフィックをバックホールし、オンプレミスのアプライアンスで処理したり、サイトのローカルISPの公開IPを使用して出力したりしたい場合もあります。

Catoのインターネットトラフィックのバックホーリングにより、これらのサイトをインターネットトラフィックのゲートウェイとして指定し、関連するトラフィックをこれらのサイトにバックホールするためのネットワークルールを使用できます。

バックホールゲートウェイサイトを定義した後、ゲートウェイサイトに関連するトラフィックをバックホールするためのインターネットネットワークルールを作成してください。ネットワークルールの全機能を利用して、特定のニーズに応じてトラフィックをルーティングするための詳細を提供できます。例えば、特定のアプリケーションや特定のユーザーのトラフィックをゲートウェイサイトにバックホールするネットワークルールを作成できます。

任意の種類のサイトまたはSDPユーザーは、バックホールインターネットトラフィックのソースとしてネットワークルールに定義できます。

冗長性のために、追加のバックアップサイトをバックホールゲートウェイとして定義することもできます。この場合、プライマリゲートウェイサイトが使用できない場合は、ネットワークルール内のゲートウェイサイトの順序に従って、トラフィックがバックアップサイトにルーティングされます。

すべてのゲートウェイサイトがCato Cloudから切断されると、トラフィックはCato Cloudから直接インターネットへ出力されます。

注意

注意: Catoはバックホーリングのために受動FTPをサポートしますが、アクティブFTPはサポートされていません。

インターネットトラフィックのバックホールオプション

これらはCatoがサポートするバックホーリングオプションです：

ソケットの背後にあるLANデバイスへインターネットトラフィックをバックホールする - オンプレミスのアプライアンスを使用して一部のインターネットトラフィックを検査する必要がある場合、このオプションを利用できます。
- 詳細については、ソケットの背後にあるLANデバイスへトラフィックをバックホーリングを参照してください
ソケットのWAN IPアドレスを介してバックホールする - ソケットが使用する公開IPを介して一部のインターネットアプリケーションを出力する必要がある場合、このオプションを利用できます。例えば、既にこの公開IPをホワイトリストに登録したSaaSアプリケーションへのアクセス。
- Socket v16.0以上をサポート
- 詳細については、ソケットのWANインタフェースIPアドレスを介したトラフィックのバックホーリングを参照してください
同じソケットサイトへのトラフィックのヘアピン - インターネットトラフィックをソケットサイトからPoP（カトセキュリティサービス用）に送信し、さらなる処理のために同じサイトに戻す必要がある場合は、このオプションを使用できます。
- ソケット v16.0以上からサポートされています
- 詳細については、同じサイトへのトラフィックのヘアピンを参照してください
IPsecサイトを介したバックホール - サードパーティクラウド/プロキシベースのセキュリティサービス（セキュアWebゲートウェイなど）にインターネットトラフィックを出力する必要がある場合は、このオプションを使用できます。これはEAの機能です。
- 詳細については、IPsecサイトを介したトラフィックのバックホーリングを参照してください

バックホール設定例

これは、ソケットサイトを使用してトラフィックをLANデバイス（ファイアウォールアプライアンス）にバックホーリングし、IPsecサイトを使用してトラフィックをセキュアWebゲートウェイにバックホーリングするサンプルの設定です

アカウントのためのインターネットバックホールの設定

このセクションでは、ゲートウェイサイトにインターネットトラフィックをバックホールするためのアカウント設定の概要を示します。

1つ以上のバックホールゲートウェイサイトを定義します。
インターネットトラフィックをゲートウェイサイトへバックホールするインターネットネットワークルールを作成します。

インターネットバックホールのサンプルネットワーキングルール

このセクションでは、インターネットバックホール用の詳細なネットワークルールのサンプル設定（ネットワークルールポリシー内のルール#8 - 10）を示します。

ルーティングオプションに関する詳細情報については、このビデオチュートリアルもご覧ください。

ネットワークルール #8 (Bloomberg-app-Backhaul) は、SDPユーザーに対して特定のインターネットアプリケーショントラフィックをバックホールするネットワークルールの例です：
- インターネットトラフィックのソースはSDPユーザーSample Adminです
- 一致するトラフィックはBloomberg Professionalアプリケーション (ルールのアプリ/カテゴリとして定義されています)。
- このトラフィックは帯域優先度 P20が割り当てられています。
- トラフィックは、プライマリゲートウェイサイトBERLIN-DC2を経由してバックホールされます。プライマリゲートウェイサイトが到達不能な場合、トラフィックはセカンダリゲートウェイサイトMILAN (ルールのルーティングとして定義されています) を経由してバックホールされます。
ネットワークルール #9 (US-Backhaul) は地域別バックホーリングの例です。このルールは、以下のようにサイトのグループからゲートウェイサイトへのHTTP(S)トラフィックをバックホールします：
- インターネットトラフィックのソースはグループ米国であり、このグループのメンバーは米国内のサイトです。
- 一致するトラフィックは、すべてのHTTPとHTTPSトラフィックです (ルールのアプリ/カテゴリとして定義されています)
- このトラフィックは帯域優先度 P30が割り当てられています。
- トラフィックは、プライマリゲートウェイサイトNYC-DC1を経由してバックホールされます。プライマリゲートウェイサイトが到達不能な場合、トラフィックはセカンダリゲートウェイサイトBOSTON-DC2 (ルールのルーティングとして定義されています) を経由してバックホールされます。
ネットワークルール #10は上記のルール #9 と似ており、EMEA地域のサイト群のトラフィックをバックホールします。
規則のソースとして、ソースサイト、SDPユーザー、グループの任意の組み合わせでネットワークルールを作成できます。さらに、すべてのインターネットトラフィックをバックホールするために、アプリ/カテゴリにすべてを使用することができます。
バックホールオプションを使用するネットワークルールの場合、1つのルールでソケットおよびIPsecバックホールゲートウェイとなる拠点の組み合わせを使用できます。