Este artigo discute como configurar um site para ignorar o Cato Cloud e direcionar o tráfego para a Internet diretamente.
A política de Ignorar permite definir regras de ignorar para tráfego de Internet que sairão diretamente para a Internet em vez de serem roteados para a Cato Cloud. Esta é uma política em nível de conta que se aplica globalmente a todos os sites de Socket na sua conta. Os PoPs na Cato Cloud não inspecionam tráfego da Internet ignorado nem aplicam políticas de segurança. Além disso, regras de tráfego baseadas em aplicativos ou categorias aplicadas na Cato Cloud não são aplicadas. O Socket continua a aplicar Perfis de Largura de Banda e QoS ao tráfego ignorado na direção enviada. QoS não é aplicado na direção de tráfego recebido porque os Pops são ignorados.
O tráfego de Internet ignorado é enviado por uma interface WAN de Socket. Um mecanismo interno de Socket gera uma Pontuação de Risco para cada interface WAN, que é calculada a cada segundo com base em um conjunto de parâmetros, como perda de pacotes, variação, latência e congestionamento.
O comportamento padrão é que o Socket escolha automaticamente a porta WAN para o tráfego ignorado com base na melhor Pontuação de Risco. O Socket pode selecionar diferentes portas WAN para diferentes fluxos.
O tráfego do Windows Update pode consumir largura de banda significativa e não requer sempre inspeção pela Cato Cloud. Para otimizar o desempenho, administradores configuram uma regra de Ignorar com a aplicação predefinida Windows Update configurada como destino. Os dispositivos Windows então baixam atualizações diretamente da Microsoft através da conexão local com a Internet.
Para facilitar a configuração do tráfego de aplicações em sites de Socket para sair diretamente para a Internet, você pode definir regras usando aplicações predefinidas que incluam todos os endereços IP de destino relevantes para a aplicação. A Cato mantém essas aplicações predefinidas para que, quando os endereços IP da aplicação forem atualizados, sua Política de Implantação seja automaticamente aplicada aos novos endereços IP. Por exemplo, em vez de ter que configurar e acompanhar todos os IPs Públicos do Zoom, você pode simplesmente selecionar a aplicação predefinida Zoom, e a Cato garante que os destinos corretos sejam ignorados.
Você pode criar regras de ignorar com base em FQDNs, domínios e aplicações personalizadas para controle granular sobre quais destinos de Internet saem diretamente do Socket. Ao corresponder tráfego em identificadores baseados em DNS em vez de endereços IP individuais, você evita rastreamento manual de faixas de IP em mudança e reduz a manutenção contínua. Aplicações Personalizadas permitem agrupar múltiplos FQDNs, domínios, ou intervalos de IP em um único objeto reutilizável, tornando sua política mais fácil de gerenciar, mais legível e consistente entre as regras.
Tráfego que corresponde a uma regra de política de Ignorar não é aplicado pelas políticas de firewall da Cato. Como o tráfego ignorado não é enviado para a Cato Cloud, regras de Firewall de Internet e WAN não são aplicadas a ele. Embora tanto a política de Ignorar quanto o Next Gen LAN Firewall de Socket sejam aplicados localmente no Socket, eles servem propósitos diferentes e se aplicam a tipos de tráfego diferentes. O Next Gen LAN Firewall de Socket controla o tráfego leste-oeste e a segmentação dentro do site, enquanto a política de Ignorar se aplica apenas ao tráfego que sai diretamente para a Internet.
A política de Ignorar permite que diferentes administradores editem a política em paralelo. Cada administrador pode editar regras e salvar as alterações na base de regras em sua própria revisão privada, e então publicá-las na política de conta (a revisão publicada). Para mais informações sobre como gerenciar revisões de Política de Implantação, veja Trabalhando com Revisões de Política de Implantação.
Crie uma regra de ignorar e configure as configurações da regra para gerenciar que tráfego sai diretamente para a Internet.
Porta de Socket Preferencial
Por padrão, o Socket seleciona automaticamente a interface WAN com a melhor Pontuação de Risco. Opcionalmente, você pode definir uma Porta de Socket Preferencial (por exemplo, WAN2). Se as Pontuações de Risco WAN forem semelhantes, o Socket prefere a interface WAN selecionada (desde que tenha conectividade). Se perder a conectividade, o Socket seleciona um papel WAN diferente.
Para mais informações sobre os itens Fonte e Destino para uma regra, veja Referência para Objetos de Regras.
Para definir uma regra de ignorar para tráfego da Internet:
-
No menu de navegação, selecione Rede > Ignorar.
-
Clique em Novo e, em seguida, na lista suspensa selecione Nova Regra.
-
Insira o Nome para a regra.
-
Ative ou desative a regra usando o botão deslizante (verde está ativado, cinza está desativado).
-
Configure a Posição para a regra na base de regras.
-
Expanda a seção Site e selecione os sites de Socket e/ou grupos aos quais a regra se aplica. O valor padrão é Qualquer.
-
Expanda a seção Fonte e selecione um ou mais objetos para a fonte de tráfego desta regra.
Quando há mais de um objeto Fonte em uma regra, há uma relação OU entre eles. O valor padrão é Qualquer.
-
Expanda a seção Destino e selecione um ou mais destinos de tráfego para esta regra.
Quando há mais de um objeto Destino em uma regra, há uma relação OU entre eles. O valor padrão é Qualquer.
-
Expanda a seção Serviço/Porta e defina os serviços simples e/ou personalizados aos quais a regra se aplica:
-
Para um Serviço Simples, selecione o serviço no menu suspenso
-
Para um Serviço Personalizado, insira o protocolo e a porta no formato protocolo/porta. Por exemplo, TCP/80 para uma única porta, TCP/80-88 para uma faixa de portas
Quando há mais de um objeto Serviço/Porta em uma regra, há uma relação OU entre eles. O valor padrão é Qualquer.
-
-
Expanda a seção Ações e defina a Porta de Socket Preferencial e as configurações de Rastreamento.
-
(Opcional) Na Porta de Socket Preferencial, selecione a porta WAN que o Socket usará como a porta WAN preferencial para o tráfego ignorado. Quando Automático é selecionado, o Socket determina a porta ideal para o tráfego ignorado.
-
(Opcional) Selecione a opção de Evento para a regra gerar eventos quando for correspondida por tráfego.
-
-
Clique em Salvar para salvar as alterações.
As alterações são salvas em sua revisão não publicada e estão disponíveis para edição até que sejam publicadas ou descartadas.
Para sites de Socket e vSocket, o tempo de expiração padrão do fluxo é de 60 segundos. Após esse tempo, há um tempo de inatividade para o fluxo de tráfego, e o Socket fecha o fluxo ignorado.
Você pode usar a Interface Web do Socket para personalizar o tempo de expiração do fluxo. No entanto, essa configuração personalizada não é persistente, e se o Socket reiniciar, incluindo a atualização para uma nova versão, ele retorna ao tempo de expiração do fluxo padrão de 60 segundos. Para configurar permanentemente um tempo de expiração de fluxo personalizado, por favor, contate o Suporte.
Para personalizar o tempo de expiração do fluxo ignorado:
-
Inicie sessão na Interface Web do Socket:
-
Do menu de navegação, selecione Rede > Sites, e selecione o site.
-
Do menu de navegação, selecione Configuração do Site > Socket.
-
Do menu de Ações do socket, selecione Interface Web do Socket.
-
-
Na aba Configurações de Conexão Cloud, na seção Tempo de Expiração do Fluxo (somente para fluxos ignorados), insira o novo valor de expiração.
-
Clique em Atualizar.
-
A ignorância baseada em FQDN depende de correlações DNS para IP, o que pode ser impreciso quando serviços são hospedados por trás de CDNs. Se múltiplos nomes de host resolvem para o mesmo IP de CDN compartilhado, isso pode resultar em correspondências falsas positivas para uma regra, e o tráfego para outros nomes de host pode ser ignorado involuntariamente.
0 comentário
Artigo fechado para comentários.