이 기사에서는 사이트를 Cato 클라우드를 우회하여 직접 인터넷으로 트래픽을 보내는 방법을 설명합니다.
우회 정책을 통해 인터넷 트래픽이 Cato Cloud로 라우팅되는 대신 직접 송신되는 우회 규칙을 정의할 수 있습니다. 이 정책은 모든 소켓 사이트에 전 세계적으로 적용되는 계정 수준 정책입니다. Cato 클라우드의 PoP은 우회된 인터넷 트래픽을 검사하지 않거나 보안 정책을 적용하지 않습니다. 또한, Cato Cloud에서 강제되는 앱 또는 카테고리 기반 트래픽 규칙은 적용되지 않습니다. 소켓은 상향 경로의 우회된 트래픽에 대역폭 프로필과 QoS를 계속 적용합니다. PoP가 우회되므로 하향 경로에서는 QoS가 적용되지 않습니다.
우회된 인터넷 트래픽은 소켓 WAN 인터페이스를 통해 전송됩니다. 내부 소켓 메커니즘은 패킷 손실률, 지터, 지연 시간, 혼잡 등의 매개변수를 기반으로 WAN 인터페이스마다 점수를 생성하여 매 초마다 계산합니다.
기본 동작은 소켓이 우회 트래픽을 위해 최상의 점수를 기반으로 WAN 포트를 자동으로 선택하는 것입니다. 소켓은 서로 다른 흐름에 대해 다양한 WAN 포트를 선택할 수 있습니다.
Windows 업데이트 트래픽은 상당한 대역폭을 소비할 수 있으며 항상 Cato Cloud의 검사를 필요로 하지 않습니다. 성능을 최적화하기 위해 관리자들은 목적지로서 Windows 업데이트 사전 정의 애플리케이션이 구성된 우회 규칙을 구성합니다. Windows 장치는 로컬 인터넷 연결을 통해 Microsoft에서 직접 업데이트를 다운로드합니다.
소켓 사이트에서 애플리케이션 트래픽을 인터넷으로 직접 송신하도록 설정하기 쉽게 하기 위해, 애플리케이션의 모든 관련 대상 IP 주소를 포함하는 사전 정의된 애플리케이션을 사용하여 규칙을 정의할 수 있습니다. Cato는 이러한 사전 정의된 애플리케이션을 유지 관리하여 애플리케이션의 IP 주소가 업데이트될 때 정책이 자동으로 새로운 IP 주소에 적용되도록 합니다. 예를 들어, Zoom의 모든 공용 IP를 구성하고 추적할 필요 없이, Zoom 사전 정의 애플리케이션을 간단히 선택하면 Cato가 올바른 목적지가 우회되도록 보장합니다.
정규화된 도메인 이름 (FQDN), 도메인 및 사용자 정의 애플리케이션에 기반한 우회 규칙을 생성하여 인터넷 목적지가 소켓에서 직접 송신되도록 세부 제어할 수 있습니다. 개별 IP 주소 대신 DNS 기반 식별자에서 트래픽을 매칭하여 변경되는 IP 범위를 수동으로 추적하는 것을 피하고 지속적인 유지 보수를 줄일 수 있습니다. 사용자 정의 애플리케이션을 통해 다수의 FQDN, 도메인 또는 IP 범위를 단일 재사용 가능한 객체로 그룹화하여 정책을 관리하기 더 쉽고, 규칙 간에 더 읽기 쉽게 하고 일관성을 유지할 수 있습니다.
우회 정책 규칙과 일치하는 트래픽은 Cato 방화벽 정책에 의해 강제되지 않습니다. 우회된 트래픽은 Cato 클라우드로 전송되지 않으므로 인터넷 방화벽 및 WAN 방화벽 규칙이 적용되지 않습니다. 우회 정책과 소켓 차세대 LAN 방화벽은 소켓에서 지역적으로 강제되지만, 서로 다른 목적과 유형의 트래픽에 적용됩니다. 소켓 차세대 LAN 방화벽은 사이트 내의 광역 트래픽 및 세분화를 제어하며, 우회 정책은 인터넷으로 직접 송신되는 트래픽에만 적용됩니다.
우회 정책을 통해 여러 관리자가 정책을 병렬로 편집할 수 있습니다. 각 관리자는 규칙을 편집하고 개인 수정본에 규칙 기반으로 변경 사항을 저장한 후 이를 계정 정책에 게시할 수 있습니다(게시된 수정본). 정책 수정본을 관리하는 방법에 대한 자세한 정보는 Working with Policy Revisions를 참조하세요.
우회 규칙을 생성하고 규칙의 설정을 구성하여 인터넷으로 직접 송신되는 트래픽을 관리하십시오.
선호하는 소켓 포트
기본적으로 소켓은 최상의 점수를 가진 WAN 인터페이스를 자동으로 선택합니다. 옵션으로, 선호하는 소켓 포트 (예: WAN2)를 설정할 수 있습니다. WAN 점수가 비슷하다면, 소켓은 선택된 WAN 인터페이스를 선호합니다 (연결성이 있을 경우). 연결을 잃으면, 소켓은 다른 WAN 역할을 선택합니다.
규칙에 대한 소스 및 목적지 항목에 대한 자세한 내용은 규칙 객체 참조를 참조하십시오.
인터넷 트래픽을 위한 우회 규칙 정의 방법:
-
네비게이션 메뉴에서 네트워크 > 우회를 선택합니다.
-
새로운을 클릭하고 드롭다운에서 새 규칙을 선택합니다.
-
규칙의 이름을 입력합니다.
-
슬라이더를 사용하여 규칙을 활성화 또는 비활성화합니다(녹색이 활성화, 회색이 비활성화됨).
-
규칙 기반에서 규칙의 위치를 구성합니다.
-
사이트 섹션을 확장하고 규칙이 적용되는 소켓 사이트 및/또는 그룹을 선택합니다. 기본값은 모든입니다.
-
소스 섹션을 확장하고 규칙에 적용되는 트래픽 출처로 하나 이상의 객체를 선택합니다.
규칙에 여러 소스 객체가 있는 경우, 그들 사이에는 OR 관계가 있습니다. 기본값은 모든입니다.
-
목적지 섹션을 확장하고 규칙에 대한 하나 이상의 트래픽 목적지를 선택합니다.
규칙에 여러 목적지 객체가 있는 경우, 그들 사이에는 OR 관계가 있습니다. 기본값은 모든입니다.
-
서비스/포트 섹션을 확장하고 규칙이 적용되는 간단하고/또는 사용자 정의 서비스를 정의합니다:
-
간단한 서비스의 경우, 드롭다운 메뉴에서 서비스를 선택하십시오.
-
사용자 정의 서비스의 경우, 프로토콜/포트 형식으로 프로토콜과 포트를 입력하십시오. 예를 들어, 단일 포트의 경우 TCP/80, 포트 범위의 경우 TCP/80-88입니다.
규칙에 여러 서비스/포트 객체가 있는 경우, 그들 사이에는 OR 관계가 있습니다. 기본값은 모든입니다.
-
-
작업 섹션을 확장하여 선호 소켓 포트 및 추적 설정을 정의합니다.
-
(선택 사항) 선호 소켓 포트에서 우회 트래픽을 위한 선호 WAN 포트로 사용할 소켓의 WAN 포트를 선택합니다. 자동이 선택되면 소켓은 우회 트래픽에 대해 최적의 포트를 결정합니다.
-
(선택 사항) 규칙이 트래픽에 의해 일치될 때 이벤트를 생성하기 위한 이벤트 옵션을 선택합니다.
-
-
변경 사항을 저장하려면 저장을 클릭하십시오.
변경 사항은 게시되지 않은 수정본에 저장되며, 게시되거나 삭제되기 전까지 편집 가능합니다.
소켓 및 vSocket 사이트의 기본 플로우 타임아웃은 60초입니다. 이 시간 이후 트래픽 흐름에 대해 유휴 타임아웃이 발생하며 소켓은 우회된 흐름을 닫습니다.
소켓 WebUI를 사용하여 플로우 타임아웃을 사용자 지정할 수 있습니다. 그러나 이 사용자 지정 설정은 영구적이지 않으며 소켓이 재부팅되거나 새로운 버전으로 업그레이드되면 기본 플로우 타임아웃 60초로 되돌아갑니다. 사용자 지정 플로우 타임아웃을 영구적으로 구성하려면 지원에 문의하십시오.
댓글 0개
이 문서에는 댓글을 달 수 없습니다.