문제

동일한 트래픽 흐름에 대해 인터넷/WAN 방화벽, IPS, RPF 또는 안티멀웨어와 같은 여러 이벤트가 생성됩니다． Cato Cloud를 통해 허용되거나 차단된 작업을 문제 해결할 때 동일한 트래픽의 여러 이벤트는 혼란을 줄 수 있습니다．

문제 해결

이 행동은 다양한 유형의 이벤트에서 관찰될 수 있습니다． 다음은 발생 가능한 몇 가지 시나리오입니다：

동일한 이벤트 작업

이 시나리오에서 트래픽 흐름은 "Botnet"으로 분류되어 인터넷 방화벽 규칙에서 차단된 범주이기 때문에 방화벽 엔진에 의해 차단되었습니다． 동시에 IPS 엔진도 웹사이트의 카테고리를 기반으로 한 "cid_heur_suspicious" IPS 서명과 일치하므로 트래픽을 차단했습니다． 

다른 이벤트 작업

이 시나리오에서 트래픽 흐름은 지리적 제한 정책으로 인해 초기에는 IPS 엔진에 의해 차단됩니다． 그러나 트래픽 정보를 얻기 위해 클라이언트와 TLS/HTTP 연결이 설정되어 방화벽 엔진이 이 경우 트래픽 흐름을 허용(작업: 모니터링)하기로 결정합니다． 트래픽은 결국 IPS 엔진에 의해 차단되고, 패킷이 목적지 IP에 도달하지 않습니다．

설명

Cato와 함께하는 패킷 흐름 이해하기에서 설명한 바와 같이, Cato Cloud는 병렬로 작동하는 여러 네트워킹 및 보안 엔진을 포함합니다． 이는 한 엔진이 다른 엔진보다 우선하여 트래픽을 평가할 우선순위가 없음을 의미합니다．

또한 차단/허용 결정은 즉시 수행되지 않습니다． PoP은 특정 요청/응답 단계(예: HTTP 요청)에 도달할 때까지 기다리고, 각 엔진이 최종 차단 또는 허용 작업을 수행합니다． 이것이 동일하거나 다른 차단/허용 결론을 가진 여러 이벤트가 CMA에서 생성되는 이유입니다．

다양한 이벤트에서 다른 작업이 관찰되면 차단 작업이 허용 작업보다 우선시 됩니다．