Cato IP 블랙리스트 또는 지리적 차단으로 인해 웹사이트에 접근할 수 없습니다

문제

Cato Cloud를 통해 특정 웹사이트에 접근을 시도할 때 페이지가 로드되지 않고 결국 시간 초과됩니다. 그러나 Cato Cloud를 우회하면 동일한 사이트에 접근할 수 있습니다.

이 문제는 두 가지 주요 원인으로 발생할 수 있습니다:

1. 웹사이트에서 Cato IP가 블랙리스트에 올라감

Hulu, ESPN 또는 정부 사이트와 같은 일부 웹사이트는 Cato 공인 IP 주소를 차단하는 내부 제한 또는 분류로 인해 Cato를 통해 접근할 수 없을 수 있습니다.

Cato는 이 동작을 제어할 수 없지만 이 문제를 해결하고 극복할 몇 가지 방법이 있습니다.

2. 지리적 차단된 웹사이트

일부 정부 및 기타 조직은 자국 내 또는 관할 구역 내에서 등록된 IP 주소에서만 웹사이트에 접근을 허용할 수 있습니다. 이는 지리적 차단으로 알려져 있습니다.

Cato Networks는 전 세계에 PoPs를 배치했지만, 연결하는 PoP는 반드시 사용자가 거주하는 국가/주에 있지는 않을 것입니다. 만약 그것이 사실이라면, 사용자가 자신의 국가/주에 호스팅된 웹사이트를 방문할 때, 사이트는 사용자의 관할권 외부에 등록된 PoP의 외부 IP 주소에서 연결이 오는 것으로 볼 것입니다.

만약 웹사이트가 단지 국가/주의 IP 주소로 접근을 제한하기 위해 지리적 차단을 사용 중이라면, 웹사이트가 로드되지 않을 것입니다. 때때로 웹 서버로부터의 차단 페이지를 볼 수 있지만, 대부분의 경우 웹사이트는 단순히 시간 초과되고 아래와 같은 브라우저 오류가 표시될 것입니다.

크롬:

파이어폭스:

엣지:

문제 해결

  • PC에서 또는 소켓을 통해 로컬 패킷 캡처를 실행하여 웹사이트 서버의 응답이 없음을 확인합니다. SYN 패킷만 나가거나 애플리케이션 계층 교환이 없는 완전한 3방향 핸드셰이크만 볼 수 있습니다. RST 패킷이 웹사이트 서버에서 올 수도 있으며 이는 Cato IP가 차단되고 있다는 명확한 표시입니다.
  • 웹사이트의 일부가 완전히 로드되지 않는 경우가 있는데, 이는 Cato IP 범위를 차단하는 다른 서버로 리디렉션됨을 나타낼 수 있습니다. 브라우저의 개발자 도구를 통해 HAR 파일을 수집하여 추가 분석을 진행합니다.

해결책

  • 웹사이트 관리자에게 연락하여 Cato IP 범위가 차단되고 있는 이유를 문의하십시오. PoP 위치에 따라 이 가이드에 나열된 IP 범위를 화이트리스트에 추가하도록 관리자에게 요청합니다.
  • 영향을 받는 사용자가 특정 위치에서 온 것으로 판명된 경우, 기본 네트워크 규칙을 적용하고 경로 지정 방법을 선택한 다음, 웹사이트에 접근할 수 있는 다른 위치를 선택하십시오.

위의 방법으로 문제가 해결되지 않으면 영향을 받는 사용자가 위치한 곳에 따라 다음 단계를 계속 진행하십시오:

Cato SDP 클라이언트

  • 블랙리스트에 등록된 Cato IP의 경우: 네트워크 규칙에서 소켓을 통한 백홀을 활성화하고 해당 웹사이트에 접근할 수 있는 사이트를 선택할 수 있습니다. PoP는 여전히 보안 스캔을 수행하고 SDP 트래픽을 선택된 사이트로 라우팅하여 소켓의 WAN 포트를 통해 트래픽이 송출되도록 할 것입니다.
  • 지리적 차단된 웹사이트의 경우: VPN 클라이언트의 연결을 끊고 본인의 국가/주에 있을 때 웹사이트에 접근할 수 있어야 합니다. 클라이언트에 항상 적용이 강제 적용될 경우 이는 불가능합니다.
  • 대안으로 웹사이트의 IP 주소를 제외하도록 분할 터널링 구성을 생성할 수 있습니다. 제외된 IP 주소로 가는 모든 트래픽은 Cato로 전송되지 않습니다.

소켓

  • 네트워크 규칙에서 웹사이트를 도메인 객체 또는 애플리케이션으로 정의하고 백홀 헤어핀닝을 활성화합니다. 이렇게 하면, 네트워크 규칙에 맞는 트래픽이 보안 스캔을 위해 PoP로 이동할 수 있습니다. 트래픽은 그런 다음 정의된 사이트로 다시 라우팅되어 로컬 소켓의 WAN 포트를 통해 송신됩니다. 웹사이트/애플리케이션을 정확하게 식별하려면 FW 모범 사례를 따르고 QUIC 프로토콜을 차단해야 합니다.
  • 최후의 수단으로, 트래픽을 소켓의 WAN 포트를 통해 직접 타겟 웹사이트로 보내도록 로컬 우회를 수행할 수 있습니다.  이는 Cato PoP 인프라를 우회하고 이 트래픽에 대해 보안이 적용되지 않기 때문에 이상적인 솔루션이 아닙니다.  

IPsec 사이트 연결됨 Cato

  • 네트워크 규칙에서 웹사이트를 도메인 객체 또는 애플리케이션으로 정의하고 IPsec 경로를 통한 백홀 경로를 활성화합니다. 이렇게 하면, 네트워크 규칙에 맞는 트래픽이 보안 스캔을 위해 PoP로 이동할 수 있습니다. 트래픽은 그런 다음 IPsec 사이트로 다시 라우팅되어 로컬 방화벽의 WAN 포트를 통해 송신됩니다. 이 옵션이 작동하려면 방화벽에서 라우팅 구성이 필요합니다. 웹사이트/애플리케이션을 정확하게 식별하려면 FW 모범 사례를 따르고 QUIC 프로토콜을 차단해야 합니다.
  • 최후의 수단으로, 웹사이트의 IP 주소로 가는 트래픽이 Cato IPsec 터널을 통과하지 않도록 로컬 IPsec 장치에서 라우팅 정책을 변경할 수 있습니다. 이는 Cato PoP 인프라를 우회하고 이 트래픽에 대해 보안이 적용되지 않기 때문에 이상적인 솔루션이 아닙니다.  

도움이 되었습니까?

2명 중 2명이 도움이 되었다고 했습니다.

댓글 0개