التعامل مع الشبكات المدارة

تشرح هذه المقالة كيفية تعريف الشبكات المدارة في Cato Networks. يمكن استخدام الشبكات المدارة كمعامل يمكنك من خلاله بناء سياسات الوصول الخاصة بك.

نظرة عامة

يوفر لك Cato تحكمًا دقيقًا في كيفية توجيه حركة المرور للمستخدمين ومتى يتم فرض التشغيل الدائم، وذلك بناءً على نوع الشبكة التي يتصل بها المستخدم.

تسمح لك هذه التصنيفات الشبكية بالتكامل مع البنى الأمنية الحالية مع ضمان معالجة حركة المرور بشكل متسق عبر البيئات المدارة وغير المدارة.

يحدد Cato Client تكوينه أثناء وقت التشغيل باستخدام معايير محددة مثل:

  • ما إذا كان يحدد أنه وراء موقع Cato (Socket, IPsec, vSocket)

  • ما إذا كان يمكنه استقبال استجابة بنجاح من مسبار محدد مسبقًا إلى وجهة معينة

بناءً على هذه الشروط، يطبق العميل واحدًا من السلوكيات التالية:

  • خلف Socket Cato (وضع المكتب) - إذا حدد العميل أنه موجود خلف Socket Cato، يتم تفعيل وضع المكتب وكل حركة المرور موجهة عبر Cato.

  • خلف شبكة مدارة - إذا لم يكن العميل خلف Socket، فإنه يتحقق مما إذا كانت الشبكة معرفة كشبكة مدارة. إذا كان كذلك:

    • شبكة مدارة (غير موثوقة) - يتم الحفاظ على النفق إلى Cato، وتطبيق سياسة النفق المقسم. يتم توجيه حركة مرور معينة فقط عبر Cato (مثل حركة المرور الموجهة للإنترنت)، في حين يتم توجيه حركة المرور الأخرى عبر جدار الحماية الخارجي.

    • شبكة مدارة موثوقة - إذا تم تعيين الشبكة أيضًا كمحصنة، يتم تعليق التشغيل الدائم، ويتصل العميل من النفق Cato، وجميع حركة المرور موجهة عبر الجدار الناري الخارجي.

  • شبكة غير مدارة - إذا لم تكن الشبكة موجودة خلف Socket أو معرفة كإدارة (مثل شبكة WiFi في المنزل، أو المطار، أو الفندق، أو الكوفي شوب)، فإنها تعتبر شبكة عامة ويتم التعامل معها على أنها غير مدارة. يتم توجيه كل حركة المرور عبر Cato.

حالة الاستخدام - إلحاق تدريجي بـ Cato

تمتلك شركة ABC 70 مكتبًا وأكثر من 10,000 موظف. إنهم عميل جديد لـ Cato سيستخدم Cato Client لحلول الشبكات والأمن مع التشغيل الدائم لتوفير أمان الإنترنت (وفقًا لأفضل الممارسات الخاصة بالشركة لـ UZTNA). خلال عملية الإلحاق بـ Cato، ستقوم الشركة بنشر العملاء على مدى عدة أسابيع، بينما سيتم نشر SD-WAN تدريجيًا في 20 مكتبًا على مدار الأشهر القادمة. تحمي المكاتب من قبل بائع طرف ثالث حتى ذلك الوقت.

تحدد الشركة نطاقات الشبكة للمكاتب الفعلية على أنها شبكات مدارة. يقوم المسؤول بإنشاء قاعدة في سياسة النفق المقسم لتوجيه حركة المرور بناءً على مصدر الشبكة:

  • شبكة مُدارة - المستخدمون متصلون خلف موقع لم يتم إلحاقه بـ Cato. يتم توجيه حركة مرور الإنترنت فقط إلى Cato Cloud لإضافة الأمان.

  • شبكة غير مدارة - المستخدمون عن بعد، يتم توجيه كل حركة المرور إلى Cato Cloud

المتطلبات المسبقة

  • مدعوم من عميل Windows v5.17 وما فوق

  • مدعوم من عميل macOS v5.11 وما فوق (EA)

كيف نكتشف شبكة مُدارة

يمكنك تكوين فحوصات الشبكة لتعريف ما هي الشبكة المدارة. يستخدم العميل مسبارات معرفة مسبقًا لتحديد ما إذا كانت الشبكة المتصل بها العميل هي شبكة مُدارة. يحدث هذا التحقق في كل مرة يتصل فيها العميل، بعد كل تغيير في الشبكة، وكل 30 ثانية أثناء الاتصال.

يحدد العميل مسبارات لفحص الاتصال بأنواع مختلفة من الموارد الداخلية:

  • طلب مورد HTTPS: حدد عنوان URL يكون متاحًا فقط عند الاتصال بالشبكة المدارة. بعد الوصول إلى عنوان URL، يتحقق العميل من أن الاستجابة هي إما HTTP 200 أو HTTP 300 ثم يتحقق من أن الشهادة موثوقة بناءً على مخزن شهادات الجهاز المحلي

  • استعلام DNS: تحديد اسم مضيف للعميل لإرسال طلب DNS إليه، وعنوان IP المتوقعة كاستجابة

  • اختبار اتصال إلى عنوان IP أو عنوان URL: تحديد عنوان IP أو عنوان URL لكي يقوم العميل بالاختبار. يتحقق العميل مما إذا كان هناك استجابة باستخدام بروتوكول ICMP

Managed_Network.png

إذا تم استيفاء أي من الفحوصات، يعتبر مصدر الشبكة مُداراً. إذا فشلت جميع الفحوصات، تعتبر الشبكة غير مُدارة.

Unmanaged_Network2.png

عند التواجد خلف موقع Cato، ينتقل العميل بسلاسة إلى وضع المكتب كما كان من قبل.

على سبيل المثال، يستخدم خادم DNS الداخلي للشركة الاسم المضيف companyabc.local، ويتم حلّه إلى 10.10.10.26. لذلك ستقوم بتعريف الشبكة المدارة كاستعلام DNS يتم حله إلى المضيف companyabc.local مع ذلك العنوان IP.

تهيئة الشبكات المدارة

لتعيين شبكة كمدارة، قم أولاً بإنشاء كائن شبكة مُدارة في تطبيق إدارة Cato (CMA). يمثل هذا الكائن شبكة مثل مكتب أو موقع شركة معروف. يجب على العميل أيضًا تعريف المسبار الذي يستخدمه Cato Client لتحديد متى يعمل ضمن هذه الشبكة. قد تتضمن هذه المسبارات DNS، HTTP، أو Ping (حزم ICMP). عندما يكتشف العميل تطابقًا بناءً على المسبارات المعروفة، فإنه يصنف الشبكة على أنها مُدارة ويطبق السياسات ذات الصلة وفقًا لذلك.

Trusted_Networks.png

لتكوين الشبكات المدارة:

  1. من قائمة التنقل، انقر فوق الوصول > الشبكات المدارة.

  2. انقر فوق جديد وتهيئة ما يلي:

    • اسم المسبار

    • (اختياري) وصف المسبار

    • نوع المسبار، أي HTTPs، استعلام DNS، أو ping

    • اسم المضيف أو عنوان IP للمسبار

  3. انقر فوق حفظ.

  4. كرر الخطوات 2 لكل شبكة مُدارة.

  5. قم بتمكين الشبكات المُدارة وانقر فوق حفظ.

    يكون شريط التمرير أخضر عند تمكين الشبكات المُدارة، ورمادي عند تعطيل الشبكات الموثوقة.

تكوين الشبكات الموثوقة

للسيناريوهات التي تقوم فيها بتوجيه كل حركة المرور إلى الوجهة وليس إلى Cato Cloud، يمكنك تعريف كل شبكاتك المدارة كموثوقة. عند اتصال جهاز مضيف بشبكة موثوقة:

  • يحدد العميل الشبكة كشبكة موثوقة، يتم تعطيل التشغيل عند التمهيد، ويتم تجاوز التشغيل الدائم، ولا يحاول العميل الاتصال (أو إعادة الاتصال) بـ Cato Cloud

  • طالما أن جهاز المضيف متصل بالشبكة الموثوقة، يظل العميل مفصولاً، ولا يتم تطبيق سياسة النفق المقسم

  • لا يزال لدى المستخدمين الخيار للنقر الاتصال في العميل، ويتصل الجهاز بـ Cato Cloud

    على سبيل المثال، المطورين الذين يحتاجون إلى الوصول إلى بيئة تطوير محمية بـ Cato Cloud

لتكوين جميع الشبكات المدارة كموثوقة:

  1. من قائمة التنقل، انقر فوق الوصول > الشبكات المدارة.

  2. انتقل إلى علامة تبويب الإعدادات.

  3. حدد خانة الاختيار تعريف جميع الشبكات المدارة كشبكات موثوقة.

  4. انقر فوق حفظ.

هل كان هذا المقال مفيداً؟

2 من 2 وجدوا هذا مفيداً

لا توجد تعليقات