توجيه باستخدام Cato Client (سياسة النفق المنقسم)

توضح هذه المقالة كيفية إدارة قواعد توجيه حركة مرور عميل Cato Centrally باستخدام سياسة النفق المنفصل.

نظرة عامة

يؤمّن Cato Client حركة المستخدم من خلال إنشاء نفق DTLS إلى Cato Cloud. تتحكم سياسة النفق المنقسم في أي حركة يتم إرسالها عبر هذا النفق الآمن وأي حركة تتجنبه وتوجه مباشرة عبر واجهة الشبكة المحلية. تدعم السياسة الإدارة المركزية والمرنة لسلوك التوجيه.

الحركة الموجهة عبر Cato Cloud تستفيد من فحص أمني كامل وفرض القواعد، وتحسين المسار عبر العمود الفقري لـ Cato. ومع ذلك، قد تكون هناك حالات تتطلب التوجيه التكيفي، على سبيل المثال، لتحسين أداء خدمات الوسائط في الوقت الحقيقي أو عند التشغيل جنبًا إلى جنب مع موردين من جهات خارجية.

تتم مطابقة القواعد بناءً على معايير متعددة، بما في ذلك هوية المستخدم والموقع الجغرافي ونظام التشغيل والشبكة المصدر. يمكنك تعريف إما القواعد الشاملة أو المستندة إلى الاستثناء. على سبيل المثال:

  • الهوية - تطبيق قواعد التوجيه بشكل انتقائي على مستخدمين أو مجموعات مستخدمين محددة.
  • الجهاز - تحديد أي نظام تشغيل وأي بلدان تنطبق عليها قواعد التوجيه.
  • شبكة المصدر - توجيه الحركة بناءً على الشبكات المدارة أو غير المدارة.

يدعم تكوين التوجيه:

  • حركة مرور المستخدمين:

    • توجيه جميع الحركة إلى Cato Cloud، مع استثناءات محددة للتطبيقات الداخلية أو الموارد المستضافة لدى الموردين.
    • توجيه الحركة المحددة فقط كجزء من استبدال حلول VPN القديمة.
    • توجيه حركة المرور المقيدة بالويب فقط من خلال Cato Cloud بينما يُسمح لبقية الحركة بالخروج محليًا

  • حركة مرور DNS:

    • دعم حل مشكلات DNS بواسطة خادم DNS محلي للنطاقات المحددة.
    • دعم حل مشكلات DNS المحلية للنطاقات المطلوبة بواسطة VPN طرف ثالث لمنع تعارضات DNS.

يسمح لك هذا المستوى من التحكم بتحسين التغطية الأمنية مع تقليل التأخير والحفاظ على الوصول المباشر إلى الموارد الموثوقة.

المتطلبات الأساسية

الميزات التالية متوفرة حاليًا فقط مع Windows Client v5.16 والأحدث

  • استثناءات DNS

    • تأكد من أن ما يلي مسموح به في جدارك الناري المحلي:

      • عنوان IP 127.0.0.253
      • خدمة DNS الخاصة بشبكات Cato
      • عملية ترحيل DNS, dns-relay.exe

  • التوجيه للأغراض الويب فقط

    • تأكد من أن Cato Client لديه أذونات الكتابة على ملف نظام PAC

مراجعات السياسة والتحرير المتزامن من قبل مدراء متعددين

تتيح سياسة النفق المنفصل لمدراء مختلفين تحرير السياسة بالتوازي. يمكن لكل مدير تحرير القواعد وحفظ التغييرات في قاعدته الخاصة ثم نشرها في سياسة الحساب (المراجعة المنشورة). للحصول على مزيد من المعلومات حول كيفية إدارة مراجعات السياسة، انظر العمل مع مراجعات السياسة.

حالات الاستخدام

أمن الإنترنت من Cato مع الوصول الخاص عن بُعد

توفر شركة ABC Cato Client لمستخدميها مع تمكين خيار التشغيل الدائم. هذا يعني أنهم متصلون حتى عند التواجد في المكتب خلف مورد الجهات الخارجية. باعتبارك مسؤولًا، أنت واثق من أن حركة المرور للتطبيقات الداخلية الخاصة بك مؤمنة من قبل مورد الجهات الخارجية ويتم استبعادها من Cato Cloud للمستخدمين في المكتب. يتم إرسال كل حركة المرور الأخرى إلى Cato Cloud للأمان.

split_tunnel.png

تقوم بتكوين قاعدتين في سياسة النفق المنقسم لتنفيذ هذا السلوك:

managed_network_exclude.png
  • القاعدة 1 مخصصة لحركة المرور الخاصة بالمستخدم التي تنشأ من وراء أي شبكة مدارة، لجميع المنافذ والبروتوكولات. تم تعريف DNS والوجهات المستثناة. هذا يستثني توجيه المرور إلى Cato Cloud.
  • القاعدة 2 مخصصة لحركة المرور الخاصة بالمستخدم التي تنشأ من وراء أي شبكة غير مدارة، لجميع المنافذ والبروتوكولات. لا توجد استثناءات، يتم توجيه هذه الحركة إلى Cato Cloud.

أمن الإنترنت الخفيف الوزن

تبحث شركة ABC عن Cato لتأمين حركة المرور على الويب فقط نحو تطبيقات SaaS والإنترنت العام. يتطلب هذا التعايش مع الموردين من الجهات الخارجية عندما يتصل المستخدمون من شبكات مدارة وغير مدارة. هذه وضعية خفيفة الوزن مناسبة للانتقال التدريجي من بنية قائمة على الوكيل إلى Cato.

ملحوظة: يجب أن تكون شبكات VPN من الجهات الخارجية التي تتوافق مع متطلبات Cato غير مضطربة من قبل Cato Client لنظام Windows في وضع الويب فقط.

Diagram2.png

أنت تنشئ قاعدة في سياسة النفق المنقسم التي ترسل كل حركة مرور الويب إلى Cato Cloud، وجميع حركة المرور الأخرى ترسل عبر الشبكة المدارة.

تكوين سياسة النفق المنقسم

سياسة النفق المقسّم هي قاعدة ترتيبية تفحص بشكل متسلسل ما إذا كانت القاعدة متوافقة، وعند توافق إحدى القواعد يتم تجاهل القواعد ذات الأولوية الأقل. عندما يلتزم المستخدم بقاعدة معينة، تُطبق إعدادات توجيه حركة المرور بناءً على تلك القاعدة. إذا لم يتم تلبية أي قاعدة، يتم توجيه الحركة عبر سحابة Cato، ويسمح بالوصول إلى LAN.

لتضمين نطاقات IP التي تعد استثناءات لإعدادات النفق المنقسم، أضف نطاقات IP إلى كيان نطاق IP العالمي.

Split_Tunnel_Policy.png

نظرة عامة عالية المستوى على سياسة النفق المنقسم

هذه هي الإعدادات التي يمكنك تعريفها للقواعد في سياسة النفق المنقسم:

  1. الإعدادات العامة (مثل الاسم، الوصف).
  2. على من تنطبق القاعدة ( المستخدمون والمجموعات، المنصات، البلدان، و الشبكة المصدر).
  3. نطاق الحركة التي تنطبق عليها القاعدة، على سبيل المثال، كل الحركة أو الويب فقط
  4. سياسة التوجيه لنطاق الحركة.

إنشاء قاعدة نفق منقسم أساسية

يشرح هذا القسم كيفية تكوين قاعدة أساسية في سياسة النفق المنقسم. يفترض أنك تريد توجيه كل الحركة تقريبًا إلى Cato Cloud.

للحصول على معلومات حول تخصيص قواعد النفق المنقسم، انظر

لتكوين سياسة النفق المنقسم:

  1. من قائمة التنقل، انقر على الوصول > سياسة النفق المنقسم.

  2. اضغط جديد.

    يفتح لوحة قواعد سياسة النفق المنقسم الجديدة.

  3. قم بتكوين الإعدادات العامة التالية:

    • الاسم
    • الوصف
    • الموضع

    تأكد من تمكين القاعدة ليتم تطبيقها

  4. قم بتحديد من تنطبق عليه القاعدة عن طريق تحديد:

    • المستخدمون ومجموعات المستخدمين
    • المنصات
    • البلدان

  5. تحت التكوين، قم بتكوين ما يلي:

    • في قسم تحديد وضع الاتصال، حدد نطاق الحركة الذي سيتم تضمينه في هذه القاعدة.

    • تحت سياسة التوجيه، حدد كيفية توجيه النطاق. تشمل الخيارات

      • توجيه كل الحركة إلى Cato: يتم توجيه الحركة عبر سحابة Cato. يمكنك تحديد استثناءات يتم توجيهها مباشرة إلى الإنترنت.

        ملحوظة: إذا قمت بحظر الوصول إلى LAN الخارج، فإن هذا الخيار مدعوم فقط من Windows Client v5.6 وما فوق.

      • التوجيه فقط للمحددين إلى Cato: حركة المرور تصل إلى الإنترنت مباشرة وتتجاوز Cato Cloud. يمكنك تحديد استثناءات يتم توجيهها عبر سحابة Cato. حجب الوصول الخارج للشبكة المحلية يتعارض مع هذا الخيار ولا يمكن تحديده.
      • تعريف المستخدم النهائي: يتمكن المستخدمون من تحميل ملف نصي إلى العميل لتكوين الحركة التي يتم توجيهها عبر Cato Cloud والتي يتم استثناؤها من Cato Cloud. لا يمكن تحديد حجب الوصول الخارج للشبكة المحلية مع هذا الخيار.
    • تحت استثناءات الوجهات، قم بتكوين تطبيق أو نطاق IP لا تنطبق عليه سياسة التوجيه

  6. حدد ما إذا كنت ستسمح أو تمنع وصول LAN

    لتجنب تعارض توجيهات حركة المرور بين الشبكات الفرعية التي لها نفس عنوان IP، في حالة التعارض، يمكنك حجب الوصول الخارج للشبكة المحلية. مع هذا الخيار، يتم توجيه كل حركة المرور إلى سحابة Cato، مما يوفر أمانًا متزايدًا. تم حظر العميل من الاتصال بمضيف شبكي في شبكة المنزل للمستخدم البعيد.

  7. اضغط تطبيق.
  8. كرر الخطوات 2-5 لكل قاعدة في سياسة النفق المنقسم.

  9. قم بتمكين سياسة النفق المنقسم ثم انقر على حفظ.

    يكون الشريط أخضر عندما تكون القاعدة مفعلة، ورمادي عندما تكون القاعدة موقوفة.

تخصيص شبكة المصدر.

عند إنشاء قاعدة نفق منقسم، يمكنك تحديد سياسات توجيه مختلفة بناءً على شبكة المصدر، أي ما إذا كانت مدارة أو غير مدارة.

عندما تكون الحركة على شبكة غير مدارة، فإنها ستذهب دائمًا أولاً عبر Cato. لحركة المرور على الشبكات المدارة، يمكنك تحديد ما إذا كانت الحركة تمر عبر Cato أو مباشرة إلى الوجهة.

ملاحظة: يجب تمكين الشبكات المدارة وتكوينها لتطبيق القواعد وفقًا لذلك.

لتخصيص الشبكة المصدر:

  1. من قائمة التنقل، انقر فوق وصول > سياسة النفق المنقسم.
  2. قم بإنشاء قاعدة جديدة وقم بتكوين الإعدادات في الخطوات 2-4 أعلاه.

  3. تحت قسم الشبكة المصدر، حدد ما إذا كانت هذه القاعدة تنطبق على:

    • جميع الشبكات
    • جميع الشبكات غير المدارة
    • جميع الشبكات المدارة
  4. حدد وضع الاتصال، سياسة التوجيه، والوجهات التي يتم استبعادها في الخطوات 5-7 أعلاه.

تخصيص الحركة المستثناة من Cato.

عند إنشاء قاعدة نفق منقسم، يمكنك تحديد سياسة التوجيه بحيث يتم توجيه كل الحركة إلى Cato للحصول على فوائد أمان إضافية، باستثناء حركة مرور معينة. على سبيل المثال، ليس من الضروري فحص الحركة التي تتجه إلى خادم DNS محلي.

ملحوظة: عند إنشاء قاعدة مع استثناء، يجب تحديد نظام التشغيل صراحة على أنه Windows

تحدد الإجراء التالي كيفية تكوين قاعدة لإرسال كل حركة المرور إلى Cato مع استثناء حركة المرور المحلية لـ DNS.

ملحوظة: يمكنك تطبيق التخصيص لشبكة المصدر في هذه القاعدة أيضًا.

off-ramp_cato.png

لتخصيص حركة المرور المستثناة من Cato Cloud:

  1. من قائمة التنقل، انقر فوق وصول > سياسة النفق المنقسم.
  2. قم بإنشاء قاعدة جديدة وقم بتكوين الإعدادات في الخطوات 2-4 أعلاه.
  3. في قسم التكوين، تحت تحديد وضع الاتصال، حدد جميع المنافذ والبروتوكولات.
  4. تحت سياسة التوجيه، اختر توجيه الجميع إلى Cato.

  5. في قسم تعريف استثناءات التوجيه، تحت استثناءات DNS، أدخل النطاق أو النطاقات ليتم حلها بواسطة خادم DNS المحلي الخاص بك.

    سيتم توجيه الحركة إلى هذه النطاقات مباشرة إلى وجهتها ولن تمر عبر Cato

  6. انقر على تطبيق ثم انقر على حفظ.

تأمين وجهات محددة (مشمولة) فقط.

عند إنشاء قاعدة نفق منقسم، يمكنك تحديد سياسة التوجيه بحيث يتم توجيه حركة مرور معينة فقط إلى Cato للتفتيش. على سبيل المثال، عندما تكون معظم حركة الشبكة الخاصة بك موجهة إلى حل طرف ثالث، ولكنك ترغب في توجيه حركة مرور معينة إلى مركز بيانات بعيد عبر Cato.

ملاحظة: عند إنشاء قاعدة مع استثناء، يجب عليك تحديد نظام التشغيل بوضوح على أنه Windows

الإجراء التالي يوضح كيفية تكوين قاعدة لإرسال وجهات حركة مرور معينة فقط إلى سحابة Cato، بينما يتم توجيه الباقي إلى حلك الطرف ثالث.

ملاحظة: يمكنك تطبيق التخصيص لشبكة المصدر في هذه القاعدة أيضًا.

on-ramp_cato.png

لتخصيص أي حركة مرور يتم توجيهها إلى Cato:

  1. من قائمة التنقل، انقر على الوصول > سياسة النفق المنقسم.
  2. قم بإنشاء قاعدة جديدة وقم بتكوين الإعدادات في الخطوات من 2 إلى 4 أعلاه.
  3. في قسم التكوين، تحت اختر وضع الاتصال، اختر جميع المنافذ والبروتوكولات.
  4. تحت سياسة التوجيه، اختر توجيه المختارين فقط إلى Cato.

  5. في قسم تعريف استثناءات التوجيه، تحت استثناءات الوجهة:

    • اختر إما التطبيقات أو نطاقات IP.
    • اختر العناصر لإضافتها كاستثناءات

    سيتم توجيه هذه العناصر إلى Cato لإجراء فحوصات أمان إضافية

  6. انقر على تطبيق ثم انقر على حفظ.

استخدام عميل Cato مع Microsoft Defender

تتطلب ميزة "العزل" في Microsoft Defender أن تقوم بإرسال الحركة مباشرة إلى عناوين IP الخاصة بالسحابة Windows Defender. بشكل افتراضي، يرسل العميل Cato الحركة عبر محول شبكة Cato. ومع ذلك، تتوقع Microsoft Defender أن تنشأ الحركة من محول Microsoft Defender، مما يتسبب في فشل الاتصال بين Microsoft Defender و Windows Defender Cloud.

لتكوين Microsoft Defender للعمل مع Cato Client، حدد قاعدة في سياسة النفق المنقسم لإرسال الحركة إلى عناوين Microsoft Defender.

إعدادات النفق المنقسم المعرفة من قبل المستخدم

يمكنك السماح للمستخدمين بتكوين إعدادات النفق المنقسم في العميل. يمكن للمستخدمين تحميل ملفات تحتوي على نطاقات IP المدرجة أو المستبعدة من النفق.

ملاحظة: هذا الخيار غير موصى به لبيئات الإنتاج ويجب استخدامه فقط في الحالات الاستثنائية حيث لا يتطلب التحكم المركزي في السياسات.

لتعريف نطاقات IP لإعدادات النفق المنقسم في العميل:

  1. إنشاء ملف نصي يحتوي على عناوين IP للتوجيه عبر النفق المشفر أو استبعادها منه.

    يمكنك تكوين القواعد التالية داخل الملف النصي:

    • تضمين: يتم توجيه الحركة إلى نطاق IP عبر النفق المشفر. يتم توجيه كافة الحركة الأخرى مباشرة إلى الإنترنت. في الملف النصي، أضف قائمة عناوين IP وقناع الشبكة للتوجيه عبر النفق المشفر كما يلي:

      /تعليق
include
<IP>,<netmask>
<IP>,<netmask>

      على سبيل المثال:

      /splittunnel
include
198.51.100.0,255.255.255.255

    • استبعاد: يتم توجيه الحركة إلى نطاق IP مباشرة إلى الإنترنت. يتم توجيه كافة الحركة الأخرى عبر النفق المشفر. في الملف النصي، أضف قائمة عناوين IP وقناع الشبكة للتوجيه مباشرة إلى الإنترنت كما يلي:

      ؛تعليق
استبعاد
<IP>,<netmask>
<IP>,<netmask>

      على سبيل المثال:

      /splittunnel
exclude
198.51.100.0,255.255.255.255

    يمكنك استخدام الشرطة المائلة (/) أو الفاصلة المنقوطة (;) للتعليقات.

  2. على عميل Windows، على شاشة الإعدادات، اضغط تحميل ملف وقم بتحميل الملف النصي.

    على عميل macOS، على شاشة الإعدادات، حدد تمكين النفق المنقسم.

  3. على عميل Windows، على شاشة الإعدادات، حدد تمكين النفق المنقسم.

    على عميل macOS، اضغط تحميل تكوين النفق المنقسم وقم بتحميل الملف النصي.

هل كان هذا المقال مفيداً؟

3 من 3 وجدوا هذا مفيداً

لا توجد تعليقات