Для одного и того же потока трафика создаётся несколько событий CMA

Проблема

Множественные события CMA, такие как Интернет/Межсетевой экран WAN, IPS, RPF или Защита от вредоносных программ, создаются для одного и того же потока трафика. Наличие нескольких событий для одного и того же трафика может вызывать путаницу при устранении неполадок разрешённых или заблокированных действий в Cato Cloud.

Поиск и устранение неисправностей

Это поведение может наблюдаться в различных типах событий CMA. Ниже приведены некоторые возможные сценарии, которые могут возникнуть:

Действия одинаковых событий

В этом сценарии поток трафика был заблокирован движком Брандмауэр, так как он был классифицирован как "Botnet", что является заблокированной категорией в правиле Межсетевого экрана. Одновременно движок IPS также блокировал трафик, поскольку он совпадает с сигнатурой IPS "cid_heur_suspicious", которая также основана на категории веб-сайта. 

Различные действия событий

В этом сценарии поток трафика изначально блокируется движком IPS из-за политики географического ограничения. Однако соединение TLS/HTTP устанавливается с клиентом, чтобы получить информацию о трафике, чтобы движок Брандмауэр мог принять решение, в этом случае позволить (Действие: Мониторинг) поток трафика. Трафик в конечном итоге блокируется движком IPS, и пакеты не достигают IP-адреса назначения.

Объяснение

Как объяснено в Understanding Packet Flow with Cato, Cato Cloud включает множество сетевых устройств и движков безопасности, которые работают параллельно. Это означает, что нет приоритета для одного движка, чтобы оценить трафик по сравнению с другим.

Кроме того, решения о блокировке/разрешении не принимаются мгновенно. PoP ждёт, пока не будет достигнута определённая стадия запроса/реакции (например, запрос HTTP), и каждый движок выполняет окончательное действие блокировки или разрешения. Поэтому мы можем наблюдать несколько событий, созданных в CMA с одинаковыми или различными заключениями о блокировке/разрешении.

Когда в различных событиях наблюдаются разные действия, действие блокировки будет иметь приоритет над действием разрешения.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев