Cato 클라이언트로 라우팅 (분할 터널 정책)

이 문서는 분리 터널 정책을 사용하여 Cato 클라이언트 트래픽 라우팅 규칙을 중앙에서 관리하는 방법을 설명합니다.

개요

Cato 클라이언트는 사용자 트래픽을 Cato 클라우드에 DTLS 터널을 설정하여 보호합니다. 분할 터널 정책은 어떤 트래픽이 이 안전한 터널을 통해 보내지고 어떤 트래픽이 우회하여 로컬 네트워크 인터페이스를 통해 직접 라우팅되는지 제어합니다. 정책은 라우팅 동작의 유연하고 중앙집중적인 관리를 지원합니다.

Cato 클라우드를 통해 라우팅된 트래픽은 전체 보안 검사 및 강제 적용, 그리고 Cato 백본을 통한 경로 최적화의 혜택을 받습니다. 그러나 실시간 미디어 서비스의 성능 최적화나 서드파티 벤더와 함께 운용할 때 적응 라우팅이 필요한 상황이 있을 수 있습니다.

규칙은 사용자 신원, 지리적 위치, 운영 체제 및 소스 네트워크를 포함한 여러 기준에 따라 일치됩니다. 포괄적이거나 예외 기반 규칙을 정의할 수 있습니다. 예시:

  • 신원 - 특정 사용자 또는 사용자 그룹에 선택적으로 라우팅 규칙을 적용합니다.
  • 장치 - 라우팅 규칙이 적용될 운영 체제와 국가를 선택합니다.
  • 소스 네트워크 - 관리 또는 비관리 네트워크에 기반하여 트래픽을 라우팅합니다.

라우팅 구성 지원:

  • 사용자 트래픽:

    • 모든 트래픽을 Cato 클라우드로 전달하고, 내부 애플리케이션이나 벤더 호스팅 자원에 대한 특정 제외 항목을 설정합니다.
    • 선택된 트래픽만 라우팅하여 기존 VPN 솔루션을 대체합니다.
    • 웹 연결 트래픽만 Cato 클라우드를 통해 라우팅하고 다른 트래픽은 로컬로 종료되도록 허용합니다.

  • DNS 트래픽:

    • 지정된 도메인에 대해 로컬 DNS 서버로 DNS 확인을 지원합니다.
    • DNS 충돌을 방지하기 위해 제3자 VPN이 요구하는 도메인에 대해 로컬 DNS 확인을 지원합니다.

이 수준의 제어는 보안 범위를 최적화하면서 지연 시간을 최소화하고 신뢰할 수 있는 리소스에 대한 직접 액세스를 유지할 수 있게 해줍니다.

필수 조건

다음 기능은 현재 Windows 클라이언트 v5.16 이상에서만 사용할 수 있습니다.

  • DNS 제외

    • 로컬 방화벽에서 액세스가 허용되는지를 확인하십시오:

      • IP 주소 127.0.0.253
      • Cato 네트워크 DNS 서비스
      • DNS 릴레이 프로세스, dns-relay.exe

  • 웹 전용 라우팅

    • Cato 클라이언트가 시스템 PAC 파일에 기록할 수 있는 권한이 있는지를 확인하세요.

다수의 관리자가 동시에 정책을 편집하고 수정하는 정책 개정 및 병렬 편집

분리 터널 정책은 서로 다른 관리자가 정책을 병렬로 수정할 수 있도록 합니다. 각 관리자는 규칙을 편집하고 자신의 개인 개정을 저장할 수 있으며, 이후 계정 정책(공개 개정)으로 이를 게시할 수 있습니다. 정책 수정 관리에 대한 자세한 내용은 정책 수정 작업을 참조하십시오.

사용 사례

원격 사설 액세스를 통한 Cato 인터넷 보안

ABC 회사는 항상 적용된 상태에서 사용자에게 Cato 클라이언트를 제공했습니다. 이는 사무실에서 서드파티 벤더 뒤에 있을 때도 연결된 상태를 의미합니다. 관리자로서 귀하는 사무실의 사용자 트래픽이 서드파티 벤더에 의해 안전하게 보호되고 Cato 클라우드에서 제외되었음을 확신합니다. 모든 기타 트래픽은 보안을 위해 Cato 클라우드로 전송됩니다.

split_tunnel.png

분할 터널 정책에서 이 동작을 구현하기 위해 두 개의 규칙을 구성합니다:

managed_network_exclude.png
  • 규칙 1은 모든 관리 네트워크 뒤에서 시작되는 사용자 트래픽, 모든 포트 및 프로토콜에 해당합니다. 제외된 DNS 및 목적지가 정의됩니다. 이것은 트래픽이 Cato 클라우드로 라우팅되지 않도록 제외합니다.
  • 규칙 2은 모든 비관리 네트워크 뒤에서 시작되는 사용자 트래픽, 모든 포트 및 프로토콜에 해당합니다. 제외가 없으며, 이 트래픽은 Cato 클라우드로 라우팅됩니다.

경량 인터넷 보안

ABC 회사는 Cato가 SaaS 애플리케이션과 공공 인터넷을 향한 웹 트래픽만을 보호하게 하려고 합니다. 이는 사용자들이 관리 및 비관리 네트워크에서 연결할 때 서드파티 벤더와 함께 운용하도록 Cato가 필요합니다. 이것은 프록시 기반 아키텍처에서 Cato로 점차적으로 온보딩하기에 적합한 경량 모드입니다.

참고: Cato의 필수 조건을 준수하는 3자 VPN은 웹 전용 모드에서 Windows 클라이언트가 중단하지 않아야 합니다.

Diagram2.png

분할 터널 정책에서 모든 웹 트래픽을 Cato 클라우드로 보내고 다른 모든 트래픽은 관리 네트워크를 통해 전송되는 규칙을 생성합니다.

분할 터널 정책 구성하기

분할 터널 정책은 순서가 있는 규칙 기반으로, 규칙이 충족되면 해당 규칙보다 하위 우선순위의 규칙은 무시됩니다. 사용자가 규칙을 충족할 때, 해당 규칙에 기반한 트래픽 라우팅 설정이 적용됩니다. 규칙이 충족되지 않으면 트래픽은 Cato 클라우드를 통해 라우팅되고, LAN 접근이 허용됩니다.

분할 터널 설정에 대한 예외로 IP 범위를 포함하려면, IP 범위를 전역 IP 범위 엔터티에 추가하십시오.

Split_Tunnel_Policy.png

분할 터널 정책의 고급 개요

분할 터널 정책에서 규칙에 대해 정의할 수 있는 설정은 다음과 같습니다.

  1. 일반적인 설정 (예: 이름, 설명).
  2. 규칙이 적용되는 대상 (사용자 & 그룹, 플랫폼, 국가, 및 소스 네트워크).
  3. 규칙이 적용되는 트래픽의 범위 예를 들어, 모든 트래픽 또는 웹 전용
  4. 트래픽 범위에 대한 라우팅 정책.

기본 분할 터널 규칙 생성

이 섹션에서는 분할 터널 정책의 기본 규칙을 구성하는 방법을 설명합니다. 거의 모든 트래픽을 Cato 클라우드로 라우팅하려고 한다고 가정합니다.

분할 터널 규칙을 맞춤화하는 방법에 대한 정보는 참조하세요.

분할 터널 정책을 구성하려면:

  1. 네비게이션 메뉴에서 액세스 > 분할 터널 정책을 클릭합니다.

  2. 새로운을 클릭합니다.

    새로운 분할 터널 정책 규칙 패널이 열립니다.

  3. 다음의 일반 설정을 구성합니다:

    • 이름
    • 설명
    • 규칙 위치

    규칙이 적용되도록 활성화하세요

  4. 규칙이 적용되는 대상을 정의하여:

    • 사용자 및 사용자 그룹
    • 플랫폼
    • 국가

  5. 구성 아래에 다음을 구성합니다.

    • 연결 모드 선택 섹션에서 이 규칙에 포함될 트래픽 범위를 선택합니다.

    • 라우팅 정책 아래에 범위가 어떻게 라우팅될지를 결정합니다. 옵션 포함

      • 모든 트래픽을 Cato로 라우팅: 트래픽은 Cato Cloud를 통해 라우팅됩니다. 인터넷으로 직접 라우팅할 예외를 정의할 수 있습니다.

        참고: 아웃바운드 LAN 액세스를 차단하려면 이 옵션은 Windows 클라이언트 v5.6 이상에서만 지원됩니다.

      • Cato로 선택된 트래픽만 라우팅: 트래픽은 인터넷에 직접 액세스하고 Cato 클라우드를 우회합니다. Cato Cloud를 통해 라우팅할 예외를 정의할 수 있습니다. LAN 액세스 차단은 이 옵션과 충돌하며 선택할 수 없습니다.
      • 최종 사용자 정의: 사용자들은 트래픽이 Cato 클라우드를 통해 라우팅될 것인지 아니면 Cato 클라우드에서 제외될 것인지를 구성하기 위해 클라이언트에 텍스트 파일을 업로드할 수 있습니다. LAN 액세스 차단은 이 옵션과 함께 선택할 수 없습니다.
    • 목적지 제외 아래에 라우팅 정책이 적용되지 않는 앱 또는 IP 범위를 구성합니다.

  6. LAN 접근을 허용할지 차단할지를 결정합니다.

    동일한 IP 주소를 가진 서브넷 간의 트래픽 라우팅 충돌을 피하기 위해, 충돌이 발생할 경우 아웃바운드 LAN 액세스를 차단할 수 있습니다. 이 옵션을 사용하면 모든 트래픽이 Cato Cloud로 라우팅되어 보안이 강화됩니다. 클라이언트가 원격 사용자의 홈 네트워크에서 LAN 호스트에 연결하는 것이 차단되었습니다.

  7. 적용을 클릭합니다.
  8. 분할 터널 정책의 각 규칙에 대해 단계 2-5를 반복합니다.

  9. 분할 터널 정책을 활성화한 후 저장을 클릭합니다.

    규칙이 활성화되면 슬라이더가 녹색으로 변하고 비활성화되면 회색으로 변합니다.

소스 네트워크 사용자 정의

분할 터널 규칙을 생성할 때, 소스 네트워크에 따라 다른 라우팅 정책을 결정할 수 있습니다. 즉, 네트워크가 관리 또는 비관리인지 여부를 구분합니다.

트래픽이 비관리 네트워크에 있을 때 처음에는 항상 Cato를 통해 이동합니다. 관리 네트워크의 트래픽에 대해서는 트래픽이 Cato를 통해 라우팅될지 또는 목적지로 바로 전송될지를 결정할 수 있습니다.

참고: 규칙을 적용하려면 관리 네트워크를 활성화하고 구성해야 합니다.

소스 네트워크를 맞춤화하려면:

  1. 내비게이션 메뉴에서 접근 > 분할 터널 정책을 클릭하세요.
  2. 새 규칙을 생성하고 의 단계 2-4에서 설정을 구성합니다.

  3. 소스 네트워크 섹션에서 이 규칙이 적용되는지를 결정합니다.

    • 모든 네트워크
    • 모든 비관리 네트워크
    • 모든 관리 네트워크
  4. 연결 모드, 라우팅 정책 및 의 단계 5-7에서 제외된 목적지를 정의하세요.

어떤 트래픽이 Cato에서 제외되는지 사용자 정의

분할 터널 규칙을 생성할 때 모든 트래픽이 추가적인 보안 혜택을 위해 Cato로 라우팅되고 특정 트래픽은 예외가 되도록 라우팅 정책을 결정할 수 있습니다. 예를 들어, 로컬 DNS 서버로 가는 트래픽은 검사할 필요가 없습니다.

참고: 제외 규칙을 생성할 때 운영 체제를 Windows로 명확히 지정해야 합니다.

다음 절차는 로컬 DNS 트래픽을 제외하고 모든 트래픽을 Cato로 보내는 규칙을 구성하는 방법을 개략적으로 설명합니다.

참고: 소스 네트워크에 대한 맞춤화를 이 규칙에도 적용할 수 있습니다.

off-ramp_cato.png

Cato 클라우드에서 제외된 트래픽을 맞춤화하려면:

  1. 내비게이션 메뉴에서 접근 > 분할 터널 정책을 클릭하세요.
  2. 새 규칙을 생성하고 의 단계 2-4에서 설정을 구성합니다.
  3. 구성 섹션에서 연결 모드 선택 아래에 모든 포트 및 프로토콜을 선택합니다.
  4. 라우팅 정책에서 Cato로 모두 라우트를 선택하십시오.

  5. 라우팅 예외 정의 섹션에서 DNS 제외 아래에 도메인을 입력하여 로컬 DNS 서버로 해결합니다.

    이 도메인으로의 트래픽은 Cato를 거치지 않고 직접 목적지로 이동합니다.

  6. 적용을 클릭한 다음 저장을 클릭하십시오.

특정 (포함된) 목적지에 대해서만 보안 설정

분할 터널 규칙을 생성할 때 특정 트래픽만 검사를 위해 Cato로 라우팅되도록 라우팅 정책을 결정할 수 있습니다. 예를 들어, 대부분의 네트워크 트래픽이 타사 솔루션으로 이동하더라도 특정 트래픽을 Cato를 통해 원격 데이터 센터로 라우팅하고자 할 경우입니다.

참고: 제외 규칙을 생성할 때 운영 체제를 Windows로 명시해야 합니다.

다음 절차는 특정 트래픽 목적지를 Cato Cloud로 보내고 나머지를 타사 솔루션으로 라우트하는 규칙을 구성하는 방법을 설명합니다.

참고: 이 규칙에서도 소스 네트워크에 대한 사용자 지정을 적용할 수 있습니다.

on-ramp_cato.png

어떤 트래픽이 Cato로 라우팅되는지를 사용자 지정하려면:

  1. 네비게이션 메뉴에서 클라우드 액세스 > 분할 터널 정책을 클릭하십시오.
  2. 새 규칙을 생성하고 위에서 2-4단계의 기본 분할 터널 규칙의 설정을 구성합니다.
  3. 구성 섹션에서 연결 모드 선택 아래에 모든 포트 & 프로토콜을 선택하십시오.
  4. 라우팅 정책에서 선택된 것만 Cato로 라우트를 선택하십시오.

  5. 라우팅 예외 정의 섹션에서 목적지 제외 아래에:

    • 애플리케이션 또는 IP 범위를 선택하십시오.
    • 제외로 추가할 항목을 선택하십시오.

    이러한 항목은 추가 보안 검사를 위해 Cato로 라우팅됩니다.

  6. 적용을 클릭한 다음 저장을 클릭하십시오.

Cato 클라이언트를 Microsoft Defender와 함께 사용

Microsoft Defender의 '격리' 기능은 트래픽을 Windows Defender Cloud IP 주소로 직접 전송해야 합니다. 기본적으로, Cato 클라이언트는 트래픽을 Cato 네트워크 어댑터를 통해 전송합니다. 하지만, Microsoft Defender는 트래픽이 Microsoft Defender 어댑터에서 시작되는 것으로 예상하여 Microsoft Defender와 Windows Defender Cloud 간의 통신이 실패합니다.

Microsoft Defender가 Cato 클라이언트와 함께 작동할 수 있도록 설정하려면, 분할 터널 정책에서 Microsoft Defender 주소로 트래픽을 보내는 규칙을 정의하십시오.

사용자 정의 분할 터널 설정

사용자가 클라이언트에서 분할 터널 설정을 구성할 수 있도록 허용할 수 있습니다. 사용자는 터널에서 포함되거나 제외된 IP 범위 파일을 업로드할 수 있습니다.

참고: 이 옵션은 프로덕션 환경에서는 권장되지 않으며, 중앙 정책 관리가 필요하지 않는 특별한 경우에만 사용해야 합니다.

클라이언트에서 분할 터널 설정을 위한 IP 범위를 정의하려면:

  1. 암호화된 터널을 통해 라우팅하거나 제외할 IP 주소로 텍스트 파일을 생성합니다.

    다음 규칙을 텍스트 파일 내에서 구성할 수 있습니다:

    • 포함: IP 범위로의 트래픽이 암호화된 터널을 통해 라우팅됩니다. 기타 모든 트래픽은 인터넷으로 직접 라우팅됩니다. 텍스트 파일에 암호화된 터널을 통해 라우팅할 IP 주소 및 서브넷 마스크 목록을 다음과 같이 추가합니다:

      /comment
include
<IP>,<netmask>
<IP>,<netmask>

      예시:

      /splittunnel
include
198.51.100.0,255.255.255.255

    • 제외: IP 범위로의 트래픽이 인터넷으로 직접 라우팅됩니다. 기타 모든 트래픽은 암호화된 터널을 통해 라우팅됩니다. 텍스트 파일에서 인터넷으로 직접 라우팅할 IP 주소 및 서브넷 마스크 목록을 다음과 같이 추가합니다:

      ;코멘트
제외
<IP>,<netmask>
<IP>,<netmask>

      예를 들어:

      /splittunnel
exclude
198.51.100.0,255.255.255.255

    댓글에 슬래시 (/) 또는 세미콜론 (;)을 사용할 수 있습니다.

  2. Windows 클라이언트의 설정 화면에서 파일 업로드를 클릭하고 텍스트 파일을 업로드합니다.

    macOS 클라이언트의 설정 화면에서 분할 터널 사용됨을 선택합니다.

  3. Windows 클라이언트의 설정 화면에서 분할 터널 활성화를 선택합니다.

    macOS 클라이언트에서 분할 터널 구성 업로드를 클릭하고 텍스트 파일을 업로드합니다.

도움이 되었습니까?

3명 중 3명이 도움이 되었다고 했습니다.

댓글 0개