Cato Cloudのバイパス（サイトレベルポリシー）

バイパス ページでは、インターネットトラフィック用のバイパスルールを定義し、カトクラウドへのルーティングではなく、直接インターネットに出力することができます。 Cato Cloudのポップは、バイパスされたインターネットトラフィックを検査したり、セキュリティポリシーを適用したりしません。さらに、アプリケーションまたはカテゴリーに基づくトラフィックルールも適用されません。 ソケットは、アップストリーム方向でバイパストラフィックに帯域幅プロファイルとQoSを適用し続けます。 PoPがバイパスされるため、ダウンストリーム方向にはQoSが適用されません。

バイパスされたインターネットトラフィックは、ソケットWANインターフェースを介して送信されます。 内部ソケットメカニズムは、各WANインタフェースに対するリスクスコアを生成します。このスコアは、パケットロス、ジッター、レイテンシー、輻輳などのパラメータに基づいて毎秒計算されます。

デフォルトの動作として、ソケットは最高スコアに基づいてバイパストラフィックのWANポートを自動的に選択します。 ソケットは、異なるフローに対して異なるWANポートを選択できます。

注意: インターネットトラフィックのバイパスは、ソケットおよびvSocketサイトのみにサポートされています。

優先Socketポート

サイトでPreferred Socket Portが有効になっている場合、バイパスルールに割り当てるための優先Socket WAN Roleを選択できます。 このオプションを使用することで、WANインターフェースのスコアが同様の場合、Socketはバイパストラフィックの優先WANポートとして指定されたWANロールを使用します。ただしインターネット接続がある場合に限ります。 もし優先WAN外部アクセスロールが接続性を失った場合、ソケットはトラフィックのために別の外部アクセスロールを選択します。

事前定義されたアプリケーションに基づくバイパスルール

Socketサイトでのアプリケーショントラフィックをインターネットに直接エグレスする設定を簡単にするために、アプリケーションの関連宛先IPアドレスを含む事前定義されたアプリケーションを使用してルールを定義できます。 Catoはこれらの事前定義されたアプリケーションを維持しており、アプリケーションのIPアドレスが更新された際には、ポリシーが新しいIPアドレスに自動的に適用されます。 例えば、全てのZoomのパブリックIPを設定して追跡する代わりに、Zoomの事前定義アプリケーションを選択するだけで、Catoが正しい宛先をバイパスするようにします。 サポートされている事前定義アプリケーションは次のとおりです:

• Microsoft Exchange

• Google Applications

• Microsoft Defender for Endpoint

• Zoom

• SkypeとMS Teams

• SharePointとOneDrive Business

送信元または宛先のバイパスルールを作成し、送信元または宛先のパラメーターを定義します。 宛先のバイパスルールは、アプリケーションまたはIP範囲とアドレスを使用して定義できます。 送信元のバイパスルールは、IP範囲またはアドレスを使用して定義されます。

SocketおよびvSocketサイトのデフォルトのフロータイムアウトは60秒です。 この時間後、トラフィックフローにはアイドルタイムアウトがあり、ソケットがバイパスされたフローを閉じます。

ソケットWebUIを使用してフロータイムアウトをカスタマイズできます。 ただし、このカスタム設定は持続性がなく、ソケットが再起動する場合、新しいバージョンにアップグレードを含め、デフォルトのフロータイムアウト60秒に戻ります。 カスタムフロータイムアウトを恒久的に設定するには、サポートにお問い合わせください。