绕过 Cato 云(账户级别访问权限策略)

本文讨论如何配置一个站点,以绕过Cato Cloud并直接将流量出口到互联网。

概述

绕过访问权限策略允许您定义互联网流量的绕过规则,该流量将直接出口到互联网,而不是路由到Cato云。 这是一个账户级别的访问权限策略,适用于您账户中的所有Socket站点。 Cato Cloud 中的 PoPs 不会检查被绕过的互联网流量或应用安全策略。 此外,在Cato云中实施的基于应用程序或类别的流量规则未应用。 Socket在上行方向继续将带宽配置文件和QoS应用于绕过的流量。 由于绕过了PoPs,QoS未在下行方向上应用。

绕过的互联网流量通过Socket WAN接口发送。 内部Socket机制为每个WAN接口生成一个得分,每秒基于一组参数进行计算,例如丢包率、抖动、延迟和拥堵。

默认行为是Socket自动根据最佳得分选择用于绕过流量的WAN端口。 Socket可以为不同的流选择不同的WAN端口。

绕过访问权限策略账户级别.png

使用案例 - 绕过Windows更新流量

Windows更新流量可能会消耗大量带宽,并不总是需要Cato云的检查。 为了优化性能,管理员将Windows更新预定义的应用程序配置为目标,配置绕过规则。 Windows 设备随后直接通过本地互联网连接从 Microsoft 下载更新。

先决条件

  • 支持 Socket 和 vSocket 站点,需 Socket v25 或更高版本

  • 对于基于 FQDN、域名或自定义应用程序的绕过规则,将 Cato DNS 配置为相关流量的 DNS 服务器。

账户级别绕过如何工作

基于预定义应用程序的绕过规则

为了更容易配置Socket站点中的应用程序流量直接出口到互联网,您可以使用预定义的应用程序定义规则,包括应用程序的所有相关目标IP地址。 Cato维护这些预定义的应用程序,以便在更新应用程序的IP地址时,您的访问权限策略自动应用于新的IP地址。 例如,您可以简单地选择Zoom预定义应用程序,而Cato确保正确的目的地被绕过,而不必配置和跟踪Zoom的所有公共IP。

基于FQDNs、域名和自定义应用程序的绕过规则

您可以基于FQDNs、域名和自定义应用程序创建绕过规则,以便细粒度控制哪些互联网目的地从Socket直接出口。 通过匹配基于DNS的标识符而不是单个IP地址,您可以避免手动跟踪变化的IP范围,并减少正在进行的维护。 自定义应用程序让您将多个FQDNs、域名或IP范围组合成一个可重用对象,使您的访问权限策略更易于管理、易于阅读,并在规则中保持一致。

绕过访问权限策略与Cato防火墙访问权限策略的关系

匹配绕过访问权限策略规则的流量不会由Cato防火墙访问权限策略强制执行。 由于绕过的流量未发送到 Cato Cloud,因此未对其应用互联网防火墙和 WAN防火墙规则。 虽然绕过访问权限策略和Socket下一代局域网(LAN)防火墙都在Socket上本地实施,但它们在功能上不同且应用于不同类型的流量。 Socket下一代局域网(LAN)防火墙控制站点内的东西向流量和分段,而绕过访问权限策略仅适用于直接出口到互联网的流量。

访问权限策略修订和多个管理员的并发编辑

绕过访问权限策略允许不同管理员并行编辑访问权限策略。 每个管理员可以编辑规则并将变更保存到他们自己的私有修订中,然后将其发布到账户访问权限策略(发布后的修订)。 有关如何管理访问权限策略修订的更多信息,请参阅Working with Policy Revisions

定义绕过规则

创建一个绕过规则,并配置设置以管理哪些流量直接出口到互联网。

首选Socket端口

默认情况下,Socket会自动选择得分最佳的WAN接口。 (可选)您可以设置一个首选Socket端口(例如,WAN2)。 如果WAN得分相似,Socket将优先选择选定的WAN接口(只要它有连接性)。 如果失去连接性,Socket会选择不同的WAN角色。

有关规则的来源目的地项的更多信息,请参阅规则对象参考

Bypass_Policy_Account_Level_new_rule.png

定义互联网流量的绕过规则:

  1. 从导航菜单中选择网络 > 绕过

  2. 点击新建,然后从下拉菜单中选择新建规则

  3. 输入规则的名称

  4. 使用滑块启用或禁用规则(绿色为启用,灰色为禁用)。

  5. 为规则在规则库中配置位置

  6. 展开站点部分,选择规则适用的Socket站点和/或组。 默认值是任何

  7. 展开来源部分,选择一个或多个流量来源的对象。

    当规则中有多个来源对象时,它们之间存在 OR 关系。 默认值是任何

  8. 展开目的地部分,选择一个或多个该规则的流量目的地。

    当规则中有多个目的地对象时,它们之间存在 OR 关系。 默认值是任何

  9. 展开服务/端口部分,并定义规则应用的简单和/或自定义服务:

    • 对于一个简单服务,从下拉菜单中选择服务。

    • 对于一个自定义服务,以协议/端口格式输入协议和端口。 例如,对于单个端口使用TCP/80,对于端口范围使用TCP/80-88

    当规则中有多个服务/端口对象时,它们之间存在 OR 关系。 默认值是任何

  10. 展开操作部分,定义首选 Socket 端口跟踪设置。

    • (可选)首选 Socket 端口中,选择 Socket 作为该绕过流量的首选 WAN 端口。 选择自动时,Socket 将确定绕过流量的最佳端口。

    • (可选) 选择规则的事件选项,以便在规则被流量匹配时生成事件。

  11. 点击保存以保存更改。

    更改将保存到未发布的修订中,并可在发布或丢弃之前进行编辑。

自定义流量超时时间

对于 Socket 和 vSocket 站点,默认的流量超时时间为60秒。 在此时间之后,流量流将有一个空闲超时,Socket 将关闭绕过的流量。

您可以使用 Socket WebUI 来自定义流量超时时间。 但此自定义设置不会持久化,如果 Socket 重新启动,包括升级到新版本,它将恢复到默认的60秒流量超时。 要永久配置自定义流量超时时间,请联系支持

自定义绕过流量超时时间:

  1. 登录到 Socket WebUI:

    1. 从导航菜单中选择网络 > 站点,然后选择站点。

    2. 从导航菜单中选择站点配置 > Socket

    3. 从 socket 的操作菜单中选择Socket WebUI

  2. 云连接设置选项卡中的流量超时(仅适用于绕过流量)部分,输入新的超时值。

  3. 点击更新

已知限制

  • 基于 FQDN 的绕过依赖于 DNS 到 IP 的关联,当服务托管在 CDN 后时可能不准确。 如果多个主机名解析为相同的共享 CDN IP,则可能会导致规则匹配产生误报,并且其他主机名的流量可能被无意中绕过。

这篇文章有帮助吗?

4 人中有 1 人觉得有帮助

0 条评论