关于远程用户路由流量的更多信息,请参阅使用Cato客户端进行路由(分流策略)。
注意
注意:这是仅限于有限发布的早期可用性(EA)功能。 有关启用该功能的详细信息,请联系您的Cato Networks代表或发送电子邮件至ea@catonetworks.com。
分流策略提供灵活性,帮助你在安全覆盖、性能和与其他网络或安全解决方案的共存之间取得平衡。 你可以选择:
- 通过Cato Cloud路由所有流量,并排除特定目的地(如可信的SaaS服务)
- 将大多数流量直接路由到互联网,并仅选择目的地进行检查
基于目的地的规则支持应用程序、IP范围、域名和FQDN,为你提供精确控制,决定哪部分流量由Cato Cloud保护,哪部分流量绕过隧道。
当您使用域名和完全限定域名 (FQDN) 定义与客户端连接的远程用户流量时,包括或排除在Cato Cloud中:
-
— 使用域名对象匹配一个域名及其所有子域名(例如,
example.com匹配app.example.com和login.example.com) -
- 使用完全限定域名 (FQDN) 对象针对特定主机(例如,仅
app.example.com)
对于将所有远程用户流量路由到Cato Cloud的配置,您可以定义例外,绕过Cato Cloud隧道并直接连接到目的地。 这使你能够在Cato Cloud中进行安全检查,同时优化到可信服务的访问。
例如,你可能希望流向某个SaaS服务(如 office.com) 的流量为性能原因绕过隧道。 域名的DNS查询仍由Cato Cloud检查。 域名解析后,流量直接连接到目的地。
分流隧道例外包括以下选项:
- DNS排除项 - 定义域名,使用本地DNS服务器解析而不是通过Cato Cloud,例如,您希望直接访问的内部应用程序
- 目的地排除项 – 定义应用程序、域名、FQDN (EA) 或 IP 范围,绕过隧道,例如,用户将通过绕过隧道来访问的应用程序或服务
注意:当创建一个有排除规则时,必须明确指定操作系统为Windows
如下程序概述了如何配置一个规则,将所有流量发送到Cato,排除本地DNS流量及使用FQDN的目的地。
要自定义从Cato Cloud中排除的流量:
- 在导航菜单中,点击访问 > 分流策略。
-
创建新的规则并配置设置:常规、用户/组、平台、源网络和国家。
有关详细信息,请参阅使用Cato客户端进行路由(分流策略)。
- 在配置部分,选择选择连接模式,选择所有端口和协议。
- 在路由策略下,选择全部路由到Cato。
- 在定义路由例外部分下,定义绕过隧道的流量:
- 在DNS排除项下,输入一个或多个域名,由您的本地DNS服务器解析。
-
在目的地排除项下,配置一个或多个直接到目的地的目的地和类型。
指向这些域名的流量将直接到达目的地,而不是通过Cato
- 点击保存。
创建分流隧道规则时,可以确定路由策略,使流量默认不路由到Cato。 然后,定义仅路由到Cato进行检查的特定流量。 例如,当大部分网络流量流向第三方解决方案时,但您希望通过Cato将特定流量路由到远程数据中心。
目前,不支持基于DNS包含流量。 该功能将在未来得到支持。
注意:创建包含流量规则时,必须明确指定操作系统为Windows。
如下程序概述了如何配置一个规则,将仅特定流量目的地发送到Cato Cloud,其余流量路由到第三方解决方案。
要自定义路由到Cato的流量:
- 在导航菜单中,点击访问 > 分流策略。
-
创建新的规则并配置设置:常规、用户/组、平台、源网络和国家。
有关详细信息,请参阅使用Cato客户端进行路由(分流策略)。
- 在配置部分,选择选择连接模式,选择所有端口和协议。
- 在选择路由策略下,选择仅选择路由到Cato。
- 在定义路由选择部分中,在目的地包含项下,添加项目,路由到Cato进行额外的安全检查。
- 点击保存。
已知限制
- 单个规则可以定义最多约100个域名和FQDN项目(总字符少于3.5 KB)
0 条评论
请登录写评论。