Эта статья обсуждает, как настроить сайт для обхода Cato Cloud и исходящей маршрутизации трафика непосредственно в Интернет.
Политика Обхода позволяет определять правила обхода для интернет-трафика, который будет направлен непосредственно в Интернет, вместо маршрутизации в Cato Cloud. Это политика уровня учетной записи, которая применяется глобально ко всем сайтам Socket в вашей учетной записи. Точки присутствия в Cato Cloud не инспектируют обходной интернет-трафик или применяют политики безопасности. Кроме того, правила трафика, основанные на приложениях или категориях, не применяются в Cato Cloud. Socket продолжает применять профили пропускной способности и QoS к обходному трафику в направлении вверх. QoS не применяется в направлении вниз, так как обходятся точки присутствия.
Обходной Интернет-трафик отправляется через интерфейс WAN Socket. Внутренний механизм Socket генерирует оценку для каждого WAN-интерфейса, которая рассчитывается каждую секунду на основе набора параметров, таких как потеря пакетов, джиттер, задержка и перегрузка.
По умолчанию, Socket автоматически выбирает WAN-порт для обходного трафика на основе лучшей оценки. Socket может выбирать разные WAN-порты для разных потоков.
Трафик обновлений Windows может потреблять значительную пропускную способность и не всегда требует инспектирования Cato Cloud. Для оптимизации производительности администраторы настраивают правило Обхода с предопределенным приложением Обновление Windows, настроенным в качестве назначения. Устройства Windows затем загружают обновления непосредственно от Microsoft через местное интернет-соединение.
Чтобы упростить настройку трафика приложений на сайтах Socket для прямого исхода в Интернет, вы можете определить правила, используя предопределенные приложения, включающие все соответствующие IP-адреса назначения для приложения. Cato поддерживает эти предопределенные приложения таким образом, что, когда IP-адреса приложения обновляются, ваша политика автоматически применяется к новым IP-адресам. Например, вместо того чтобы настраивать и отслеживать все публичные IP-адреса для Zoom, вы можете просто выбрать предопределенное приложение Zoom, и Cato гарантирует обход правильных пунктов назначения.
Вы можете создавать правила обхода на основе FQDN, доменов и пользовательских приложений для более точного контроля над тем, какие интернет-назначения будут напрямую выходить из Socket. Сопоставляя трафик с идентификаторами на основе DNS вместо отдельных IP-адресов, вы избегаете ручного отслеживания изменения IP-диапазонов и снижаете текущие затраты на сопровождение. Пользовательские приложения позволяют группировать несколько FQDN, доменов или диапазонов IP в единый переиспользуемый объект, упрощая управление политикой, делая ее более читабельной и согласованной между правилами.
Трафик, который совпадает с правилом обхода политики, не применяются по политикам файервола Cato. Поскольку обходной трафик не отправляется в Cato Cloud, правила межсетевого экрана Интернета и WAN не применяются к нему. Хотя и политика обхода, и Socket Next Gen LAN Firewall применяются локально на Socket, они служат разным целям и применяются к разным типам трафика. Socket Next Gen LAN Firewall контролирует трафик восток-запад и сегментацию внутри сайта, тогда как политика обхода применяется только к трафику, который направляется напрямую в Интернет.
Политика Обхода позволяет разным администраторам редактировать политику параллельно. Каждый администратор может редактировать правила и сохранять изменения в базе своих частных редакций, а затем публиковать их в политике учетной записи (опубликованная редакция). Для получения дополнительной информации о том, как управлять редакциями политики, смотрите Работа с ревизиями политики.
Создайте правило обхода и настройте параметры для управления тем, какой трафик будет направлен напрямую в Интернет.
Предпочтительный порт сокета
По умолчанию, Socket автоматически выбирает WAN-интерфейс с лучшей оценкой. При необходимости вы можете установить Предпочтительный порт сокета (например, WAN2). Если оценки WAN схожи, Socket предпочитает выбранный WAN-интерфейс (пока есть подключение). Если подключение теряется, Socket выбирает другую роль WAN.
Для получения более подробной информации о пунктах Источник и Назначение для правила, см. Справочник по объектам правил.
Чтобы определить правило обхода для интернет-трафика:
-
В меню навигации выберите Сеть > Обход.
-
Нажмите Новое, а затем в выпадающем меню выберите Новое правило.
-
Введите Имя для правила.
-
Включите или отключите правило с помощью ползунка (зеленый - включен, серый - отключен).
-
Настройте Позицию для правила в базе правил.
-
Разверните раздел Сайт и выберите сокеты сайтов и/или группы, к которым применяется правило. Значение по умолчанию - Любой.
-
Разверните раздел Источник и выберите один или несколько объектов для источника трафика для этого правила.
Если в правиле более одного объекта Источник, между ними существует связь ИЛИ. Значение по умолчанию - Любой.
-
Разверните раздел Назначение и выберите одно или несколько назначений трафика для этого правила.
Если в правиле более одного объекта Назначение, между ними существует связь ИЛИ. Значение по умолчанию - Любой.
-
Разверните раздел Сервис/Порт и определите простые и/или пользовательские услуги, к которым применяется правило:
-
Для Простого сервиса выберите сервис из выпадающего меню.
-
Для Пользовательского сервиса введите протокол и порт в формате protocol/port. Например, TCP/80 для одного порта, TCP/80-88 для диапазона портов.
Если в правиле более одного Сервиса/Порта, между ними существует связь ИЛИ. Значение по умолчанию - Любой.
-
-
Разверните раздел Действия и определите Предпочтительный порт сокета и настройки Отслеживания.
-
(Опционально) В разделе Предпочтительный порт сокета выберите WAN порт, который будет использовать сокет в качестве предпочитаемого WAN порта для обходного трафика. Если выбрано Автоматически, сокет определяет оптимальный порт для обходного трафика.
-
(Опционально) Выберите опцию Событие для правила, чтобы генерировать события, когда оно совпадает с трафиком.
-
-
Нажмите Сохранить для сохранения изменений.
Изменения сохраняются в неопубликованной версии и доступны для редактирования до тех пор, пока они не будут опубликованы или удалены.
Для сайта Socket и vSocket время ожидания потока по умолчанию составляет 60 секунд. После этого времени наступает таймаут бездействия для потока трафика, и сокет закрывает обходной поток.
Вы можете использовать веб-интерфейс сокета для настройки времени ожидания потока. Однако эта пользовательская настройка не является стойкой, и если сокет перезагружается, включая обновление до новой версии, то она возвращается к времени ожидания потока по умолчанию в 60 секунд. Чтобы навсегда настроить пользовательское время ожидания потока, пожалуйста, свяжитесь с поддержкой.
Чтобы настроить время ожидания обходного потока:
-
Войдите в веб-интерфейс сокета:
-
В меню навигации выберите Сеть > Сайты и выберите сайт.
-
В меню навигации выберите Конфигурация сайта > Socket.
-
В меню Действия сокета выберите Socket WebUI.
-
-
На вкладке Настройки подключения к облаку в разделе Время ожидания потока (только для обходных потоков) введите новое значение времени ожидания.
-
Нажмите Обновить.
-
Обход на основе FQDN опирается на корреляцию DNS-и-IP, которая может быть неточной, когда услуги размещены за CDN. Если несколько имен хостов разрешаются до одного общего IP-адреса CDN, это может привести к ложноположительным срабатываниям правил, и трафик для других имен хостов может быть случайно обойден.
0 комментариев
Статья закрыта для комментариев.