Catoの基本的なコンセプトとして、全ての通信をクラウド上でセキュリティ検査および管理を行うため、拠点/Catoクライアントでのローカルブレイクアウト（LBO）は行わないアーキテクチャとなっております。ただし、例外 LBOとして、Bypass、Split Tunnel 機能があります。

Cato Socket（拠点）

Bypass機能を使用することで、特定の外部サイトへCatoクラウド経由せず直接アクセスすることが可能です。
この機能を使用するためには通信先の指定は、原則IPアドレスで行いますが、2025年8月18日のアップデートで特定アプリケーションについては、Bypassポリシーから除外設定ができるようになりました。
Catoクラウドアップデート情報（2025年8月18日）
さらに、2026年3月現在 EA（早期提供）となっていますが、Windows Update等が特定アプリケーションに追加され、さらに FQDN、ドメイン、カスタムアプリケーションに基づいたBypassが行える予定です。

Catoクライアント（リモートアクセス）

Split Tunnel機能を使用することで、Cato VPN経由ではなく、特定の通信のみ直接インターネット接続させることができます。
通信先の指定は、原則IPアドレスとプロトコルで行いますが、2024年11月25日のアップデートで特定アプリケーションについては、Split Tunnelポリシーから除外設定ができるようになりました。
Catoクラウドアップデート情報（2024年11月25日）

以下のSCSKエンジニアブログ（TechHarmony）をご参照ください。
CatoのBypass、Split Tunnel、Backhauling等の経路制御機能を解説
CatoクライアントのSplit Tunnelを使用して複合機を利用する
Cato SocketのBypass機能が強化されました