Поддержка Полного доменного имени (FQDN) и Домена для Политики Раздельного Туннеля (ЕА)

Для получения дополнительной информации о маршрутизации трафика для удаленных пользователей, см. Маршрутизация с Клиентом Cato (Политика Раздельного Туннеля).

Примечание

Примечание: Это функция Ранней Доступности (ЕА), доступная только для ограниченного выпуска. Для получения дополнительной информации о включении функции, свяжитесь с представителем Cato Networks или отправьте электронное письмо на ea@catonetworks.com.

Обзор Маршрутизации Раздельного Туннеля, основанной на назначении

Политика Раздельного Туннеля предлагает гибкость, чтобы помочь вам балансировать покрытие безопасности, производительность и совместимость с другими сетевыми или безопасностными решениями. Вы можете выбрать:

Маршрутизировать весь трафик через Облако Cato, исключая определенные назначения (например, доверенные SaaS-сервисы)
Маршрутизировать большинство трафика непосредственно в Интернет, включая только выбранные назначения для проверки

Правила, основанные на назначении, поддерживают приложения, диапазоны IP, домены и FQDN, предоставляя вам точный контроль над тем, какой трафик защищен Облаком Cato, а какой трафик обходит туннель.

Домены и Полные доменные имена (FQDN) как назначения

Когда вы используете домен и Полное доменное имя (FQDN) для определения трафика для удаленных пользователей, подключенных через Клиент, который включен или исключен из Облака Cato:

Домен - Используйте объекты Домен для сопоставления домена и всех его поддоменов (например, example.com сопоставляется с app.example.com и login.example.com)
Полное доменное имя (FQDN) - Используйте объекты FQDN для нацеливания на конкретные хосты (например, только app.example.com)

Предварительные требования

Реле DNS должно быть включено на устройствах
Поддерживается с Клиента для Windows версии v6.1 или выше

Настройте, какой трафик исключается из Cato (ЕА - Домен & FQDN)

Для конфигураций, где вы маршрутизируете весь трафик удаленного пользователя в Облако Cato, вы можете определить исключения для обхода туннеля Cato и прямого соединения с назначением. Это позволяет вам сохранять проверку безопасности в Облаке Cato, оптимизируя доступ к доверенным службам.

Например, вы можете пожелать, чтобы трафик к SaaS-сервису, такому как office.com, обходил туннель по причинам производительности. DNS-запросы для домена все равно проверяются Облаком Cato. После разрешения домена трафик подключается напрямую к назначению.

Исключения Раздельного Туннеля включают следующие опции:

DNS Исключения – Определите домены, разрешаемые локальным DNS-сервером вместо Облака Cato, например внутренние приложения, к которым вы хотите получать доступ напрямую
Назначение Исключения – Определите приложения, домены, FQDN (ЕА) или диапазоны IP, которые обходят туннель, например приложения или услуги, к которым пользователи будут получать доступ, обходя туннель

Примечание: При создании правила с исключением вы должны явно указать операционную систему как Windows

Следующая процедура описывает, как настроить правило для отправки всего вашего трафика в Облако Cato, исключая локальный DNS-трафик и назначения с использованием FQDN.

Чтобы настроить трафик, исключаемый из Облака Cato:

Из меню навигации выберите Доступ > Политика Раздельного Туннеля.
Создайте новое правило и настройте параметры для: Общих настроек, Пользователей/Групп, Платформ, Источников сети и Стран.

Для получения дополнительной информации, см. Маршрутизация с Клиентом Cato (Политика Раздельного Туннеля).
В разделе Конфигурация под Выбор режима соединения выберите Все порты & протоколы.
В разделе Политика маршрутизации выберите Маршрутизировать все в Cato.
В разделе Определить исключения маршрутизации определите трафик, который обходит туннель:
1. В разделе DNS Исключения, введите один или несколько доменов, которые будут разрешаются вашим локальным DNS-сервером.
2. В разделе Назначение Исключения, настройте одно или несколько назначений и типов, которые пойдут непосредственно к назначению.
  
  Трафик к этим доменам будет идти непосредственно к их назначению и не через Cato
Нажмите Сохранить.

Защищайте только конкретные (включенные) назначения (EA - Домен & FQDN)

При создании правила Раздельного Туннеля вы можете определить политику маршрутизации так, чтобы по умолчанию трафик не маршрутизировался в Cato. Затем определите только конкретный трафик, который маршрутизируется в Cato для проверки. Например, когда большая часть вашего сетевого трафика идет к решению от третьей стороны, но вы хотите маршрутизировать конкретный трафик в удаленный дата-центр через Cato.

В настоящее время включение трафика на основе DNS не поддерживается. Эта функция будет поддерживаться в будущем.

Примечание: При создании правила для включения трафика вы должны явно указать операционную систему как Windows.

Следующая процедура описывает, как настроить правило для отправки только конкретных назначений трафика в Облако Cato, а остальная часть маршрутизируется в ваше решение от третьей стороны.

Чтобы настроить, какой трафик маршрутизируется в Cato:

Из меню навигации выберите Доступ > Политика Раздельного Туннеля.
Создайте новое правило и настройте параметры для: Общих настроек, Пользователей/Групп, Платформ, Источников сети и Стран.

Для получения дополнительной информации, см. Маршрутизация с Клиентом Cato (Политика Раздельного Туннеля).
В разделе Конфигурация под Выбор режима соединения выберите Все порты & протоколы.
В разделе Выбор политики маршрутизации выберите Маршрутизировать только выбранные в Cato.
В разделе Определить Выбор Маршрутизации, под Назначение Включений, добавьте элементы, которые маршрутизируются в Cato для дополнительных проверок безопасности.
Нажмите Сохранить.

Известное Ограничение

Вы можете определить до 100 элементов Доменов и FQDN для одного правила (общее количество символов менее 3.5 КБ)