Problema

Múltiplos eventos CMA, como Firewall de Internet/WAN, IPS, RPF ou Anti-Malware, são gerados para o mesmo fluxo de tráfego. Ter múltiplos eventos para o mesmo tráfego pode ser confuso ao solucionar problemas de ações permitidas ou bloqueadas no Cato Cloud.

Solução de Problemas

Esse comportamento pode ser observado em vários tipos de eventos CMA. Abaixo estão alguns cenários possíveis que podem ocorrer:

Mesmas Ações de Evento

Neste cenário, o fluxo de tráfego foi bloqueado pelo motor de Firewall porque foi categorizado como "Botnet", que é uma categoria bloqueada em uma Regra de Firewall de Internet. Simultaneamente, o motor de IPS também bloqueou o tráfego, pois corresponde à assinatura do IPS "cid_heur_suspicious", que também é baseada na categoria do website. 

Diferentes Ações de Evento

Neste cenário, o fluxo de tráfego é inicialmente bloqueado pelo motor de IPS devido a uma política de restrição geográfica. No entanto, a conexão TLS/HTTP é estabelecida com o Cliente para obter informações de tráfego para que o motor de Firewall possa tomar uma decisão, que neste caso é permitir (Ação: Monitorar) o fluxo de tráfego. O tráfego é finalmente bloqueado pelo motor de IPS e nenhum pacote chega ao IP de Destino.

Explicação

Como explicado em Understanding Packet Flow with Cato, o Cato Cloud inclui múltiplos motores de rede e segurança que operam em paralelo. Isso significa que não há priorização para que um motor avalie o tráfego em relação a outro.

Além disso, as decisões de bloquear/permitir não são executadas imediatamente. O PoP espera até que um estágio específico de requisição/resposta seja alcançado (por exemplo, solicitação HTTP), e cada motor executa uma ação definitiva de bloquear ou permitir. É por isso que podemos observar múltiplos eventos gerados no CMA com as mesmas ou diferentes conclusões de bloquear/permitir.

Quando diferentes ações são vistas em vários eventos, a ação de bloquear terá precedência sobre uma ação de permitir.