إدارة مركزية لتوجيه حركة المرور عن بُعد (سياسة النفق المنقسم)

تشرح هذه المقالة كيفية تكوين وإدارة قواعد توجيه حركة مرور عميل Cato عن طريق إنشاء قواعد النفق المنقسم.

نظرة عامة

أعلى مستوى من الأمان لحركة المرور عن بُعد هو توجيه الحركة عبر سحابة Cato. ومع ذلك، قد تكون هناك مواقف تتطلب توجيهًا محددًا. تتيح لك سياسة النفق المنقسم تحديد ما إذا كان يتم توجيه حركة المرور المحددة عبر سحابة Cato أو الوصول إلى الإنترنت مباشرة.

يوفر لك سياسة النفق المنقسم إدارة مركزية لقواعد التوجيه لحركة مرور العميل. يمكنك إنشاء قواعد توجيه حركة المرور لتطبيقها على مستخدمين محددين أو منصات أو مواقع.

تكوينات لسياسة النفق المنقسم

تسمح لك سياسة النفق المنقسم بتخصيص قواعد توجيه حركة مرور العميل عبر حسابك. يتم تكوينها عن طريق تحديد إعدادات النفق المنقسم والوصول إلى الشبكة المحلية LAN.

فهم إعدادات النفق المنقسم

يتم توجيه كل حركة المرور من المستخدمين البعيدين عبر سحابة Cato بشكل افتراضي. يمكنك استخدام إعدادات النفق المنقسم لتخصيص توجيه حركة المرور للمستخدمين البعيدين في حسابك. على سبيل المثال، يمكنك تغيير التوجيه الافتراضي بحيث يتم توجيه الحركة إلى الإنترنت مباشرة.

خيارات توجيه حركة المرور الافتراضية هي:

  • توجيه كل الحركة إلى Cato: يتم توجيه الحركة عبر سحابة Cato. يمكنك تحديد استثناءات يتم توجيهها مباشرة إلى الإنترنت.

    ملاحظة: إذا كنت تحظر الوصول إلى LAN الصادر، فإن هذا الخيار مدعوم فقط من Windows Client v5.3 وما فوق.

  • توجيه كل الحركة خارج النفق: تصل حركة المرور مباشرة إلى الإنترنت وتجاوز سحابة Cato. يمكنك تحديد استثناءات يتم توجيهها عبر سحابة Cato. حجب الوصول الخارج للشبكة المحلية يتعارض مع هذا الخيار ولا يمكن تحديده.

  • تعريف المستخدم النهائي: يمكن للمستخدمين تحميل ملف نصي إلى العميل لتكوين حركة المرور التي يتم توجيهها عبر سحابة Cato والتي يتم استبعادها منها. لا يمكن تحديد حجب الوصول الخارج للشبكة المحلية مع هذا الخيار.

تعريف استثناءات التوجيه

ضمن كل قاعدة، يمكنك تحديد استثناءات لسياسة التوجيه.

تعريف استثناءات التوجيه بنطاقات IP

يمكنك تعريف استثناءات باستخدام كيان نطاق IP العالمي. الترافيك إلى نطاقات IP المحددة مستبعدة من سياسة التوجيه المختارة.

تعريف استثناءات التوجيه لتطبيقات محددة

يمكنك تحديد استثناءات لتطبيقات محددة لاستبعادها من سياسة التوجيه المختارة. التطبيقات المدعومة هي:

  • تطبيقات Google (على سبيل المثال، Play Store، Google Drive، Google Meet)

  • Outlook

  • SharePoint و OneDrive للأعمال

  • Skype و MS Teams

  • Zoom

فهم إعدادات الوصول إلى LAN

ملاحظة

ملاحظة: مدعوم لإصدار العميل Windows v5.3 وما فوق

لتجنب تعارض توجيهات حركة المرور بين الشبكات الفرعية التي لها نفس عنوان IP، في حالة التعارض، يمكنك حجب الوصول الخارج للشبكة المحلية. مع هذا الخيار، يتم توجيه كل حركة المرور إلى سحابة Cato، مما يوفر أمانًا متزايدًا. يتم حظر العميل من الاتصال بمضيف في الشبكة المحلية.

قيود معروفة

  • إعداد النفق المنقسم بتعريف المستخدم النهائي غير مدعوم في macOS إذا كان موقع محدد مدرج في السياسة

  • النفق المنقسم غير مدعوم مع NAT64

  • تحديد استثناءات التوجيه لتطبيقات Google يشمل أيضًا حركة المرور الموجهة إلى موارد GCP

حالات الاستخدام

أولوية حركة المرور - الشبكات الفرعية المتداخلة

توجد شركة ABC في شيكاغو وتعمل مع مقاولين في نيويورك. يحتاج المقاولون إلى الوصول إلى خادم في المكتب الرئيسي للشركة، لكن لديهم شبكة فرعية متداخلة مع طابعة محلية في مكتب المقاول.

لضمان تمكين المقاولين من الاتصال بالخادم، أنشأ فريق تقنية المعلومات مجموعة مستخدمين للمقاولين. قاموا بتكوين قاعدة سياسة للنفق المنقسم التي تحجب الوصول الخارج للشبكة المحلية.

توجيه حركة المرور الافتراضية - اختبار ميزات أمان Cato

تستخدم شركة ABC نظام Cato لدعم متطلباتها الشبكية. يرغب فريق تقنية المعلومات في اختبار ميزات أمان Cato دون التأثير على توجيه حركة المرور لبقية الشركة.

يقوم فريق تقنية المعلومات بإنشاء مجموعة مستخدمين لأنفسهم ويضعون قاعدة مع إعداد النفق المنقسم استبعاد عناوين IP محددة. يقومون بإنشاء قاعدة ذات أولوية أقل لحركة المرور لبقية الشركة مع إعداد النفق المنقسم تضمين عناوين IP محددة.

يتم توجيه حركة المرور فقط من أجهزة فريق تقنية المعلومات عبر سحابة Cato لتمكينهم من إجراء اختبار ميزات أمان Cato.

تكوين سياسة النفق المنقسم

سياسة النفق المنقسم هي قاعدة مرتبة تتحقق بشكل متتابع مما إذا تم تلبية قاعدة معينة. عندما يلتزم المستخدم بقاعدة معينة، تُطبق إعدادات توجيه حركة المرور بناءً على تلك القاعدة. إذا لم يتم تلبية أي قاعدة، يتم توجيه الحركة عبر سحابة Cato ويتم السماح بالوصول إلى الشبكة المحلية.

لتضمين نطاقات IP التي تعد استثناءات لإعدادات النفق المنقسم، أضف نطاقات IP إلى كيان نطاق IP العالمي.

Split_Tunnel_Policy.png

لتكوين سياسة النفق المنقسم:

  1. من قائمة التنقل، انقر على الوصول > سياسة النفق المنقسم.

  2. اضغط جديد.

    يفتح لوحة قواعد سياسة النفق المنقسم الجديدة.

  3. أدخل اسم للقاعدة

  4. تحديد المستخدمين & المجموعات، المنصات، الدول، و إعدادات النفق المنقسم.

  5. (اختياري) إضافة استثناءات إلى القاعدة

    ملاحظة: يتم تعريف نطاقات IP باستخدام كيان نطاق IP العالمي

  6. (اختياري) تعريف إعدادات الوصول إلى الشبكة المحلية

  7. اضغط تطبيق.

  8. كرر الخطوات 2-7 لكل قاعدة في سياسة النفق المنقسم.

  9. قم بتمكين سياسة النفق المنقسم ثم انقر على حفظ.

    يكون الشريط أخضر عندما تكون القاعدة مفعلة، ورمادي عندما تكون القاعدة موقوفة.

استخدام عميل Cato مع Microsoft Defender

تتطلب ميزة "العزل" في Microsoft Defender أن تقوم بإرسال الحركة مباشرة إلى عناوين IP الخاصة بالسحابة Windows Defender. بشكل افتراضي، يرسل العميل Cato الحركة عبر محول شبكة Cato. ومع ذلك، تتوقع Microsoft Defender أن تنشأ الحركة من محول Microsoft Defender، مما يتسبب في فشل الاتصال بين Microsoft Defender و Windows Defender Cloud.

لتكوين Microsoft Defender للعمل مع عميل Cato، حدد قاعدة في سياسة النفق المنقسم لإرسال الحركة إلى عناوين Microsoft Defender.

إعدادات النفق المنقسم المعرفة من قبل المستخدم

يمكنك إعدادات النفق المنقسم لتكوينها بواسطة المستخدمين. في العميل، يمكن للمستخدمين تحميل ملفات تحتوي على نطاقات IP المضمنة أو المستبعدة من النفق.

لتحديد إعدادات النفق المنقسم:

  1. إنشاء ملف نصي يحتوي على عناوين IP للتوجيه عبر النفق المشفر أو استبعادها منه.

    يمكنك تكوين القواعد التالية داخل الملف النصي:

    • تضمين: يتم توجيه الحركة إلى نطاق IP عبر النفق المشفر. يتم توجيه كافة الحركة الأخرى مباشرة إلى الإنترنت. في الملف النصي، أضف قائمة عناوين IP وقناع الشبكة للتوجيه عبر النفق المشفر كما يلي:

      /تعليق
include
<IP>,<netmask>
<IP>,<netmask>

      على سبيل المثال:

      /splittunnel
include
198.51.100.0,255.255.255.255

    • استبعاد: يتم توجيه الحركة إلى نطاق IP مباشرة إلى الإنترنت. يتم توجيه كافة الحركة الأخرى عبر النفق المشفر. في الملف النصي، أضف قائمة عناوين IP وقناع الشبكة للتوجيه مباشرة إلى الإنترنت كما يلي:

      ؛تعليق
استبعاد
<IP>,<netmask>
<IP>,<netmask>

      على سبيل المثال:

      /splittunnel
exclude
198.51.100.0,255.255.255.255

    يمكنك استخدام الشرطة المائلة (/) أو الفاصلة المنقوطة (;) للتعليقات.

  2. على عميل Windows، على شاشة الإعدادات، اضغط تحميل ملف وقم بتحميل الملف النصي.

    على عميل macOS، على شاشة الإعدادات، حدد تمكين النفق المنقسم.

  3. على عميل Windows، على شاشة الإعدادات، حدد تمكين النفق المنقسم.

    على عميل macOS، اضغط تحميل تكوين النفق المنقسم وقم بتحميل الملف النصي.

هل كان هذا المقال مفيداً؟

3 من 3 وجدوا هذا مفيداً

لا توجد تعليقات