네트워크 규칙 구성

이 문서에서는 네트워크 규칙 화면을 사용하여 계정에서 트래픽을 관리하고 우선 순위를 지정하는 방법을 설명합니다.

네트워크 규칙과 Cato에 대한 더 자세한 내용은 Cato 네트워크 규칙베이스란?를 참조하세요.

단일 규칙에서 여러 객체 작업

소스, 앱/카테고리, 목적지 열은 그리고 관계를 형성합니다: 규칙은 트래픽이 세 가지 열 모두에 정의된 기준을 충족할 때만 트리거됩니다.

열에 여러 항목이 있는 경우, 또는 관계가 있습니다: 트래픽이 항목 중 하나에 대해 정의된 기준을 충족하면 규칙이 적용됩니다. 예를 들어, 앱/카테고리TCP포트 443으로 정의한 규칙은 모든 TCP 트래픽 또는 포트 443을 사용하는 트래픽(TCP 및 UDP 모두)을 일치시킵니다.

네트워크 규칙 만들기

네트워크 규칙은 네트워크 규칙 목록에서 나타나는 순서에 따라 평가되며, 모범 사례는 단순히 새로운 규칙의 필요한 위치로 목록을 스크롤하여 기존 규칙 위나 아래에 추가하는 것입니다. 또한, 새 규칙을 목록 끝에 추가하고 필요한 위치로 이동할 수 있습니다.

네트워크 규칙에 대한 소스(트래픽 유형)를 구성할 때 애플리케이션 카테고리 또는 글로벌 범위와 같은 전역 객체를 사용하여 규칙과 일치하는 트래픽 유형을 정의할 수 있습니다.

NetworkRules.png

WAN 또는 인터넷 네트워크 규칙을 생성하려면:

  1. 네비게이션 메뉴에서 네트워크 > 네트워크 규칙을 클릭합니다.

  2. 새로운을 클릭합니다. 네트워크 규칙 추가 패널이 열립니다.

  3. 일반 섹션에서 규칙에 대한 다음 설정들을 구성합니다:

    1. 규칙에 대한 규칙 이름을 입력합니다.

    2. 규칙 유형 드롭다운 메뉴에서 이 규칙이 WAN 또는 인터넷 트래픽에 대한 것인지 선택합니다.

    3. 슬라이더를 사용하여 규칙을 활성화하거나 비활성화합니다 (녹색은 활성화, 회색은 비활성화).

    4. 네트워크 규칙 베이스에서 규칙이 나타나는 위치를 정의하는 규칙 순서를 구성합니다.

      새 규칙은 규칙베이스 하단에 추가됩니다. 이 규칙이 적용되는 순서를 변경할 수 있습니다.

  4. 소스 섹션을 확장하고 이 규칙에 대한 트래픽 소스로 사용할 하나 이상의 객체를 선택합니다 (또는 IP 주소를 입력할 수 있습니다).

    1. 유형(예: 호스트, 네트워크 인터페이스, IP, IP 범위 또는 모두)을 선택합니다. 기본값은 아무나입니다.

    2. 필요한 경우, 해당 유형의 드롭다운 목록에서 특정 객체를 선택합니다.

  5. WAN 트래픽 규칙의 경우, 목적지 섹션을 확장하고 이 규칙에 대한 트래픽 목적지로 사용할 하나 이상의 객체를 선택합니다.

  6. 앱/카테고리 섹션을 확장하고 규칙에 대한 하나 이상의 애플리케이션을 선택합니다.

    규칙에 두 개 이상의 앱/카테고리 객체가 있는 경우, 그들 사이에는 OR 관계가 있습니다. 기본값은 아무나입니다.

    앱/카테고리 섹션의 각 옵션에 대한 자세한 설명은 객체 참고를 참조하십시오.

  7. 구성 섹션에서 네트워크 규칙에 대한 다음 설정을 구성할 수 있습니다 (아래 설명 참조):

  8. 적용을 클릭하십시오. 패널이 닫히고 설정이 규칙 기반에 업데이트됩니다.

  9. 저장을 클릭하십시오. 새 네트워크 규칙이 저장됩니다.

규칙에 대한 대역폭 우선순위 (QoS) 변경

기본적으로 새로운 규칙은 기본 우선순위가 할당되며, 네트워크의 QoS 요구에 따라 변경할 수 있습니다.

우선순위 숫자가 낮을수록 규칙에 대한 QoS 우선순위가 높습니다. 예를 들어, 우선순위가 10인 규칙은 우선순위가 40인 규칙보다 높은 QoS 우선순위를 가집니다.

계정에 대한 대역폭 정책 정의에 대한 자세한 내용은 대역폭 관리 프로필 구성을 참조하십시오.

규칙의 대역폭 우선순위를 변경하려면:

  1. 탐색 메뉴에서 네트워크 > 네트워크 규칙을 클릭합니다.

  2. 네트워크 규칙을 클릭하십시오. 네트워크 규칙 편집 패널이 열립니다.

  3. 구성 섹션을 확장하십시오.

  4. 대역폭 관리 섹션에서 대역폭 우선순위 드롭다운 메뉴를 통해 이 규칙에 대한 QoS 우선순위를 선택하십시오.

  5. 적용을 클릭하십시오. 패널이 닫히고 설정이 규칙 기반에 업데이트됩니다.

  6. 저장을 클릭하십시오. 규칙의 대역폭 우선순위가 저장됩니다.

전송 및 라우팅 옵션 구성

이 섹션에서는 네트워크 규칙의 전송 옵션을 구성하고 특정 위치 또는 IP 주소로 트래픽을 송신하는 방법을 설명합니다.

규칙에 대한 전송 옵션 사용자 정의

네트워크 규칙은 전역적으로 구성됩니다. 특정 사이트에 지정된 전송이 없으면, 카토 소켓은 이를 자동 구성으로 취급합니다.

명시적 전송/NIC를 선택하면 QoS 엔진이 패킷 손실, 지터 및 지연 시간을 모니터링합니다. 혼잡이 발생하면 패킷이 삭제됩니다. 자동 전송을 선택하면 QoS 엔진이 혼잡을 모니터링하는 것 외에도 패킷 손실, 지터 및 지연 시간을 모니터링합니다.

대체 WAN은 보조 전송으로 클라우드 외부에 대해 지원되지 않습니다. 네트워크 규칙을 대체 WAN을 기본 전송으로 구성하고 클라우드 외부로 전환할 수 없습니다.

TransportOptions.png

  • WAN 규칙의 기본 설정은 다음과 같습니다:

    • 기본 전송: Cato.

    • 보조 전송: 자동 (MPLS 등의 추가 전송이 적용될 경우).

    • 기본 인터페이스 역할: 자동.

    • 보조 인터페이스 역할: 없음 (기본 NIC의 자동 설정으로 처리됨).

    • 라우팅/NAT: - (WAN 규칙에는 적용되지 않음).

  • 인터넷 규칙의 기본 설정은 다음과 같습니다:

    • 기본 전송: Cato.

    • 보조 전송: 없음 (현재 다른 전송을 사용할 수 없음).

    • 기본 인터페이스 역할: 자동.

    • 보조 인터페이스 역할: 없음 (기본 NIC의 자동 설정으로 처리됨).

    • 라우팅/NAT: 없음.

네트워크 규칙에 대한 전송 옵션을 사용자 지정하려면:

  1. 네비게이션 메뉴에서 네트워크 > 네트워크 규칙을 클릭합니다.

  2. 네트워크 규칙을 클릭하십시오. 네트워크 규칙 편집 패널이 열립니다.

  3. 구성 섹션을 확장합니다.

  4. 필요에 따라 전송 필드를 구성하십시오: 특정 전송을 통해 트래픽을 라우팅하려면 기본 및 보조 전송을 구성할 수 있습니다.

    기본 전송은 Cato QoS 엔진에 의해 결정된 대로 사용 가능하고 활성 상태로 유지되는 한 사용됩니다. 기본 전송을 사용할 수 없는 경우 보조 전송이 사용됩니다.

  5. 필요에 따라 인터페이스 역할 필드를 구성하십시오 (Cato 클라우드를 통해 라우팅된 트래픽에만 적용됨).

    특정 링크를 통해 트래픽을 라우팅하려면 기본 및 보조 NIC를 구성할 수 있습니다. Cato QoS 엔진에 의해 결정된 대로 사용 가능하고 활성 상태로 유지되는 한 기본 인터페이스 역할이 사용됩니다. 기본 인터페이스 역할을 사용할 수 없는 경우 보조 인터페이스 역할이 사용됩니다.

  6. 적용을 클릭하십시오. 패널이 닫히고 설정이 규칙베이스에 업데이트됩니다.

  7. 저장을 클릭하십시오. 규칙의 전송 옵션은 계정에 저장됩니다.

인터넷 네트워크 규칙을 위한 라우팅 방식 설정

인터넷 네트워크 규칙을 다양한 옵션으로 구성하여 트래픽을 송신할 수 있습니다.

모범 사례: 트래픽을 송신하는 인터넷 네트워크 규칙의 경우 (NAT 또는 경로 지정 옵션 포함), 특정 출처 또는 앱/카테고리를 규칙에 정의하는 것이 좋습니다. 모든출처 또는 앱/카테고리로 선택하면 모든 인터넷 트래픽이 라우팅되고, 예측할 수 없는 성능을 초래할 수 있습니다.

  • 경로 지정 - 트래픽을 인터넷에 송신할 PoP 위치 선택 가능
    참고: 트래픽을 도쿄로 송신할 때, 하나의 도쿄 PoP 위치(예: Tokyo_DC2)를 선택하면 모든 도쿄 PoP 위치가 네트워크 규칙에 자동으로 추가됩니다. IP 범위는 도쿄 PoP 위치 간에 공유되어 계정에 끊김 없는 경험을 제공합니다.

  • NAT - 특정 할당된 IP 주소 및 그 PoP 위치를 통해 트래픽을 송신하도록 합니다. 이 규칙에 일치하는 트래픽은 해당 IP로 변환되어 관련 PoP를 통해 송신됩니다. NAT 및 경로 지정은 특정 PoP를 통해 트래픽을 라우팅하지만, NAT는 트래픽이 변환될 IP를 지정할 수 있도록 합니다.

  • 백홀 경로 - 한 개 또는 여러 개의 백홀링 게이트웨이 사이트를 통해 인터넷 트래픽을 송신합니다

    자세한 내용은 인터넷 트래픽 백홀링에 대한 이 문서를 참조하세요.

경로 지정NAT의 경우, 여러 송신 IP를 구성할 때 트래픽은 소스에 가장 가까운 PoP 위치의 송신 IP를 사용합니다.

라우팅 방식 NAT - 소스 포트 유지

기본적으로 PoP가 인터넷 트래픽에 대해 NAT를 수행할 때, 소스 포트와 소스 IP를 IP 헤더에서 수정합니다. 일부 경우, 애플리케이션은 IP 헤더의 원래 소스 포트를 유지해야 하며, 예를 들어 SIP 트래픽의 경우입니다. 소스 포트 유지 옵션을 선택하면, PoP는 변환된 패킷의 IP 헤더에서 원래 소스 포트를 유지합니다.

Routing_Method_Preserve_Source_Port.png

참고

참고: 동일한 소스 포트를 가지는 흐름이 두 개 이상 있을 경우, NAT 번역 중에 두 흐름의 소스 포트를 유지하는 데 충돌이 발생합니다. 이러한 시나리오에서는 PoP가 첫 번째 흐름의 소스 포트를 유지하고 나중에 오는 흐름에 대해 무작위 포트를 할당합니다.

인터넷 네트워크 규칙에 대한 라우팅 방식을 설정하려면:

  1. 네비게이션 메뉴에서 네트워크 > 네트워크 규칙을 클릭합니다.

  2. 네트워크 규칙을 클릭합니다. 네트워크 규칙 편집 패널이 열립니다.

  3. 구성 섹션을 확장합니다.

  4. 라우팅/NAT 드롭다운 메뉴에서 규칙에 맞는 트래픽의 라우팅 옵션을 선택합니다.

    • 경로 지정 - 특정 Cato Cloud PoP 위치를 통해 트래픽을 라우팅하려면, 클릭하여 Domain_plus.png 트래픽을 송신할 위치를 선택하십시오.

    • NAT - 이 규칙에 대한 트래픽을 특정 IP를 통해 송신하려면, 클릭하여 Domain_plus.png 송신할 할당된 IP를 선택하십시오.

  5. (선택사항) 변환된 트래픽에 대해 원래 소스 포트를 사용하려면 소스 포트 유지를 선택합니다.

  6. 적용을 클릭합니다. 패널이 닫히고 설정이 규칙 기반에 업데이트됩니다.

  7. 저장을 클릭합니다. 규칙에 대한 라우팅 옵션이 저장됩니다.

규칙의 이벤트 보기

규칙 이벤트 보기를 사용하여 특정 네트워크 규칙에 대한 이벤트를 표시할 수 있습니다. 이 작업을 선택하면 이벤트 페이지가 열리며, 해당 규칙에 맞는 모든 이벤트에 대해 사전 필터링됩니다.

규칙의 이벤트를 보려면:

  1. 네이게이션 메뉴에서 네트워크 > 네트워크 규칙을 클릭하세요.

  2. 오른쪽에서 more.png을 클릭하고 이벤트 규칙 보기를 선택합니다.

관련 규칙의 이벤트가 이미 필터링된 상태로 이벤트 페이지가 표시됩니다.

rule-event.png

규칙에 대한 활성화 & 최적화를 사용자 정의

  • TCP 가속은 네트워크 규칙의 일부인 비TCP 트래픽 (UDP 기반 트래픽)에 영향을 미치지 않습니다.

  • 라우팅/NAT 설정 또는 TLS 검사가 적용될 때, 이는 카토가 트래픽에 TCP 프록시를 활성화함을 의미합니다.

  • 카토 클라우드에 대한 암묵적 네트워크 기본 규칙은 TCP 프록시로 작동하는 것입니다. 따라서 이전 규칙이 트래픽과 일치하지 않으면 TCP 프록시가 적용됩니다.

  • 대체 WAN을 주요 또는 보조 전송으로 사용하는 규칙에는 TCP 가속이 비활성화되어 있습니다 (회색).

카토 클라우드에서 트래픽을 가속화하는 방법에 대한 자세한 내용은 트래픽 가속 및 최적화를 참조하세요.

패킷 손실 완화에 대한 자세한 정보는 다중 터널 링크에 대한 패킷 손실 완화를 참조하세요.

규칙에 대한 가속과 최적화를 설정하려면:

  1. 네이게이션 메뉴에서 네트워크 > 네트워크 규칙을 클릭하세요.

  2. 네트워크 규칙을 클릭하세요. 네트워크 규칙 편집 패널이 열립니다.

  3. 구성 섹션을 확장하세요.

  4. 활성 TCP 가속을 선택하여 이 규칙에 해당하는 트래픽에 대한 TCP 프록시 서버로 PoP가 작동하도록 합니다.

  5. 패킷 손실 완화를 선택하여 이 규칙에 해당하는 트래픽의 패킷 손실 영향을 완화하는 데 도움이 되도록 패킷 중복을 활성화합니다.

  6. 적용을 클릭하세요. 패널이 닫히고 설정이 규칙베이스에 업데이트됩니다.

  7. 저장을 클릭하세요. 가속 및 최적화 설정이 저장됩니다.

예외 추가

네트워크 규칙에 대한 예외 트래픽을 정의하면 규칙은 예외에 적용되지 않습니다. 소스, 앱/카테고리 및 목적지에 대한 객체(엔터티)로 트래픽 예외를 정의하세요. 여러 객체를 가진 예외는 네트워크 규칙과 동일한 동작을 합니다. 위의 단일 규칙에서 여러 객체 작업을 참조하십시오.

NetworkRuleExceptions.png

위의 예는 VoIP Video 카테고리에 해당하는 모든 트래픽에 대한 네트워크 규칙이 있습니다. 다음 조건을 모두 만족하는 트래픽에는 이 규칙에 대한 예외가 있습니다:

  • 소스는 예시 1500 사이트

  • 애플리케이션은 Skype와 MS Teams

네트워크 규칙에 예외를 추가하려면:

  1. 네비게이션 메뉴에서 네트워크 > 네트워크 규칙을 클릭하세요.

  2. 네트워크 규칙을 클릭하세요. 네트워크 규칙 편집 패널이 열립니다.

  3. 소스, 앱/카테고리 또는 목적지 섹션을 확장하고 예외 추가를 클릭합니다.

    네트워크_소스_예외.png

  4. 섹션의 예외를 정의합니다:

    1. 드롭다운 메뉴에서 예외에 대한 트래픽 유형을 선택합니다.

      위 스크린샷은 특정 호스트에 대한 예외를 추가하는 것을 보여줍니다.

    2. 해당 유형에 대해 드롭다운 목록에서 특정 객체를 선택합니다.

    3. 예외에 대한 추가 객체를 정의하려면 이전 두 단계를 반복합니다.

      하나의 섹션에서 여러 객체는 OR 관계를 가집니다.

  5. 필요한 경우, 다른 섹션에 대한 예외를 정의하기 위해 4단계를 반복합니다.

    여러 섹션의 객체는 AND 관계를 가집니다.

  6. 적용을 클릭합니다. 패널이 닫히고 설정이 규칙 기반에 업데이트됩니다.

  7. 저장을 클릭합니다. 규칙에 대한 예외가 저장됩니다.

네트워크 규칙을 CSV 파일로 내보내기

계정의 규칙 기반에 따른 모든 네트워크 규칙 데이터를 포함하는 CSV 파일을 생성할 수 있습니다.

참고

참고: 편집자 역할을 가진 Cato 관리 애플리케이션 관리자만이 CSV 파일로 내보낼 권한이 있습니다. 관리자 역할 구성을 자세히 알아보려면 관리자 관리를 참조하세요.

네트워크 규칙 정책을 내보내려면:

  1. 네비게이션 메뉴에서 네트워크 > 네트워크 규칙을 클릭합니다.

  2. 내보내기를 클릭하고, 팝업 창에서 확인을 클릭합니다.

  3. CSV 파일의 위치를 선택하고 파일을 저장합니다.

내보낸 파일의 내용 이해하기

내보낸 CSV 파일의 맨 위 행에는 관련 규칙 기반의 규칙에 대한 필드 이름과 옵션이 나열됩니다. 이어서 규칙 자체가 우선순위에 따라 나열되며, 가장 낮은 숫자 값부터 시작합니다.

CSV 파일에는 다음 열이 포함되어 있습니다:

항목

설명

우선순위

규칙 기반 내의 규칙 우선순위

규칙 상태

규칙이 활성화되어 있거나 비활성화됨

유형

규칙 유형은 WAN 또는 인터넷입니다

이름

네트워크 규칙의 이름

소스

이 규칙의 트래픽 소스

앱/카테고리

이 규칙에 적용되는 항목(앱, 카테고리, 서비스 등)

목적지

이 규칙의 트래픽 목적지

대역폭 우선순위

이 규칙에 대한 BW 관리 프로필

라우팅

이 규칙에 적용된 라우팅 유형(NAT, 백홀링 등). 인터넷 네트워크 규칙에만 관련 있음

전송

이 규칙의 전송 유형 (WAN 인터페이스 전송, 기본 및 보조 전송)

가속 & 최적화

최적화 설정이 활성화됨 또는 비활성화됨 (TCP 가속 및 패킷 손실 완화)

도움이 되었습니까?

2명 중 2명이 도움이 되었다고 했습니다.

댓글 0개