Nome de domínio totalmente qualificado (FQDN) e Suporte a Domínio para a Política de Túnel Dividido (EA)

Para mais informações sobre o roteamento de tráfego para usuários remotos, consulte Roteamento com o Cliente Cato (Política de Túnel Dividido).

Nota

Nota: Este é um recurso de Disponibilidade Antecipada (EA) que está disponível apenas para lançamento limitado. Para mais informações sobre a ativação do recurso, entre em contato com seu representante da Cato Networks ou envie um e-mail para ea@catonetworks.com.

Visão geral do Roteamento de Túnel Dividido Baseado em Destino

A política de Túnel Dividido oferece flexibilidade para ajudá-lo a equilibrar cobertura de segurança, desempenho e coexistência com outras soluções de rede ou segurança. Você pode optar por:

  • Roteie todo o tráfego através da Nuvem Cato e exclua destinos específicos (como serviços SaaS confiáveis)
  • Roteie a maior parte do tráfego diretamente para a Internet e inclua apenas destinos selecionados para inspeção

As regras baseadas em destino suportam aplicativos, faixas de IP, domínios e FQDNs, dando a você controle preciso sobre qual tráfego é protegido pela Nuvem Cato e qual tráfego ignora o túnel.

Domínios e FQDN como Destinos

Quando você usa o domínio e o FQDN para definir o tráfego para usuários remotos conectados com o Cliente, que é incluído ou excluído da Nuvem Cato:

  • Domínio - Use objetos de Domínio para corresponder a um domínio e todos os seus subdomínios (por exemplo, example.com corresponde a app.example.com e login.example.com)
  • FQDN - Use objetos FQDN para direcionar hosts específicos (por exemplo, apenas app.example.com)

Pré-requisitos

  • O Relay DNS deve estar ativado nos dispositivos
  • Suportado a partir do Cliente Windows v6.1 ou superior

Personalize qual Tráfego é Excluído da Cato (EA - Domínio & FQDN)

Para configurações em que você roteia todo o tráfego do usuário remoto para a Nuvem Cato, você pode definir exceções para ignorar o túnel da Nuvem Cato e conectar-se diretamente ao destino. Isso permite que você mantenha a inspeção de segurança na Nuvem Cato enquanto otimiza o acesso a serviços confiáveis.

Por exemplo, você pode querer que o tráfego para um serviço SaaS como office.com ignore o túnel por motivos de desempenho. Consultas DNS para o domínio ainda são inspecionadas pela Nuvem Cato. Após a resolução do domínio, o tráfego se conecta diretamente ao destino.

As exceções de Túnel Dividido incluem as seguintes opções:

  • Exclusões DNS – Defina domínios que são resolvidos por um servidor DNS local em vez de pela Nuvem Cato, como aplicativos internos que você deseja acessar diretamente
  • Exclusões de Destino – Defina aplicativos, domínios, FQDNs (EA) ou intervalos de IP que ignoram o túnel, como aplicativos ou serviços que os usuários acessarão ignorando o túnel

Nota: Ao criar uma regra com uma exclusão, você deve especificar explicitamente o sistema operacional como Windows

Routing_Exceptions.png

O procedimento a seguir descreve como configurar uma regra para enviar todo o seu tráfego para a Cato enquanto exclui o tráfego DNS local e de destino usando um FQDN.

Para personalizar o tráfego que é excluído da Nuvem Cato:

  1. No menu de navegação, clique em Acesso > Política de Túnel Dividido.

  2. Crie uma nova regra e configure as opções de configuração para: Geral, Usuários/Grupos, Plataformas, Rede Origem e Países.

    Para mais informações, veja Roteamento com o Cliente Cato (Política de Túnel Dividido).

  3. Na seção Configuração, em Selecionar Modo de Conexão, selecione Todas as Portas & Protocolos.
  4. Em Política de Roteamento, selecione Roteamento total para Cato.
  5. Na seção Definir Exceções de Roteamento, defina o tráfego que ignora o túnel:
    1. Em Exclusões DNS, digite um ou mais domínios para serem resolvidos pelo seu servidor DNS local.

    2. Em Exclusões de Destino, configure um ou mais destinos e tipos que vão diretamente ao destino.

      O tráfego para esses domínios vai diretamente ao seu destino e não passa pela Cato

  6. Clique em Salvar.

Proteger Apenas Destinos Específicos (Incluídos) (EA - Domínio & FQDN)

Ao criar uma regra de Túnel Dividido, você pode determinar a política de roteamento para que, por padrão, o tráfego não seja roteado para a Cato. Em seguida, defina apenas o tráfego específico que é roteado para a Cato para inspeção. Por exemplo, quando a maior parte do seu tráfego de rede vai para uma solução de terceiros, mas você deseja rotear tráfego específico para um centro de dados remoto através da Cato.

Atualmente, incluir tráfego baseado em DNS não é suportado. Este recurso será suportado no futuro.

Nota: Ao criar uma regra para incluir tráfego, você deve especificar explicitamente o sistema operacional como Windows.

O procedimento a seguir descreve como configurar uma regra para enviar apenas destinos de tráfego específicos para a Nuvem Cato, e o restante é roteado para sua solução de terceiros.

routing_include.png

Para personalizar qual tráfego é roteado para a Cato:

  1. No menu de navegação, clique em Acesso > Política de Túnel Dividido.

  2. Crie uma nova regra e configure as opções de configuração para: Geral, Usuários/Grupos, Plataformas, Rede Origem e Países.

    Para mais informações, veja Roteamento com o Cliente Cato (Política de Túnel Dividido).

  3. Na seção Configuração, em Selecionar Modo de Conexão, selecione Todas as Portas & Protocolos.
  4. Em Escolher Política de Roteamento, selecione Somente rotas selecionadas para Cato.
  5. Na seção Definir Seleções de Roteamento, em Inclusões de Destino, adicione os itens que são roteados para a Cato para verificações adicionais de segurança.
  6. Clique em Salvar.

Limitação Conhecida

  • Você pode definir até cerca de 100 itens de Domínio e FQDN para uma única regra (o número total de caracteres é menor que 3,5 KB)

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 1

0 comentário