تكوين خدمة RBI لجلسات التصفح

هذه المقالة توضح كيفية تكوين خدمة عزل المتصفح عن بُعد (RBI) لحماية ضد التهديدات المستندة إلى الويب.

نظرة عامة

تحمي RBI الأجهزة من التهديدات المستهدفة عبر الويب والمحتوى الضار الذي يمكن تضمينه في المواقع والخدمات الإنترنتية. تعمل RBI كخدمة معزولة من كاتو تحاكي نشاط التصفح للمستخدمين ثم تبث الحركة المحاكية إلى جهاز المستخدم. هذا يحافظ على أمان الجهاز من تهديدات البرامج الضارة من خلال التأكد من أن جميع التعليمات البرمجية ضمن المتصفح تُنفذ عن بعد ولا تُنفذ أبدًا على الجهاز.

في الحالات التي لا يمكن فيها لخدمة RBI محاكاة الحركة، يمكنك تكوين إجراء بديل يحدد كيفية التعامل مع الحركة. على سبيل المثال، إذا قمت بتعطيل خدمة RBI مؤقتًا، أو إذا كانت الخدمة غير قابلة للوصول لحظيًا.

لمزيد من المعلومات حول خدمة RBI، انظر تأمين جلسات التصفح من خلال العزل في المتصفح عن بعد (RBI).

ملاحظة: وظيفة RBI غير متاحة لنقاط Presence الخاصة بكاتو الموجودة في الصين. ستقوم هذه النقاط دائمًا بتطبيق الإجراء البديل للحركة ذات الصلة.

فهم ملفات تعريف RBI

يمكنك تخصيص إعدادات الأمان لجلسات RBI باستخدام ملفات تعريف دقيقة تمكنك من تكوين إعدادات عزل التصفح المختلفة. تحدد هذه الإجراءات التي يمكن للمستخدم تنفيذها على موقع. على سبيل المثال، يمكنك منع المستخدمين من كتابة أو لصق النص في النماذج عبر الإنترنت ومنعهم من تسريب المعرفات أو البيانات الحساسة الأخرى.

كل ملف تعريف RBI يتضمن:

الإجراءات المسموح بها أو المحظورة

لكل ملف تعريف، يمكنك تحديد الإجراءات الدقيقة التي يجب السماح بها أو حظرها:

  • التحميل - تحميل أي ملف (التحميل باستخدام وظيفة السحب والإفلات غير مدعوم)

  • التنزيل - تنزيل أي ملف

  • الطباعة - طباعة محتوى الويب

  • نسخ/لصق - نسخ البيانات من الموقع أو لصق البيانات في الموقع

  • الكتابة - كتابة النص في الموقع

ضوابط.png

ملاحظة: القيود الخاصة ب-RBI تنطبق فقط داخل جلسة المتصفح المعزولة. الإجراءات التي يتم بدءها خارج حاوية RBI (مثل قوائم المتصفح المضيف أو الاختصارات على مستوى نظام التشغيل) تتجاوز ضوابط RBI. لتطبيق هذه الضوابط بشكل كامل، ينبغي تطبيق سياسات المستوى المتصفح أو مستوى النهايات الطرفية (مثل أدوات مسؤولي Chrome، وأدوات DLP) بجانب إعدادات RBI.

نص شعار RBI

في جلسة RBI، يتم عرض شعار للمستخدم النهائي لإخباره بأنه في جلسة RBI. يمكن تحديد الشعار على مستوى عالمي عبر حسابك. للمزيد من المعلومات، انظر تخصيص تجربة المستخدم.

في كل ملف تعريف RBI يمكنك تعديل نص الشعار وإنشاء نص مخصص للملف الشخصي.

نص_الشعار.png

جلسات RBI المستمرة

لتحسين أمان التصفح وتحسين تجربة المستخدم النهائي، يمكنك تكوين ملف تعريف للسماح للمستخدمين بمواصلة التصفح إلى وجهات متعددة ضمن نفس جلسة RBI. يضمن هذا أن الوجهات التي تحددها لا يتم فتحها في جلسة غير معزولة أو في جلسة RBI مختلفة. هذه هي الحالات المثال لجلسات RBI المستمرة:

  • منع التصفح غير المعزول إلى النطاقات الخطرة - إنشاء قائمة واسعة من النطاقات باستخدام الرموز النائبة لضمان أن تكون جلسة التصفح بأكملها في بيئة معزولة، حتى إذا تم التنقل بعيدًا عن النطاقات غير المصنفة أو غير المحددة

  • توثيق لموقع - تكوين قائمة من النطاقات، بما في ذلك جميع النطاقات الفرعية لتطبيق مشاركة الملفات، للسماح للمستخدمين بتسجيل الدخول عند تحويلهم إلى نطاق مختلف للتحقق من صحة

استمر_في_التصفح.png

إجراء تجاوز الفشل

الإجراء الاحتياطي يحدد ما يحدث عندما لا يمكن تنفيذ إجراء RBI. في هذا السيناريو، يمكنك اختيار حظر الإجراء أو عرض صفحة المطالبة.

تحويل_الطلب.png

استخدام RBI مع جدار الحماية للإنترنت

يتم فرض جلسات RBI من خلال جدار الحماية عبر الإنترنت باستخدام إجراء RBI كقاعدة. عندما يتطابق حركة المرور مع القاعدة، تبدأ جلسة RBI تلقائيًا. افتراضيًا، يتم تطبيق ملف التعريف الافتراضي RBI. يمكنك تعيين ملف تعريف RBI مختلف لتلبية متطلبات الأمان والولوج الخاصة بك.

صورة لجدار الحماية

يمكن تكوين القواعد فقط لفئات التطبيقات غير المصنفة أو غير المحددة، أو الفئة المخصصة للتصفح عن بعد. تتم حماية كل الحركة الأخرى بواسطة مجموعة واسعة من خدمات الأمان الإضافية من كاتو.

Note: أنواع المحتوى هذه مدعومة من قبل RBI. فئة مخصصة تحتوي على أنواع أخرى من المحتوى غير مدعومة:

  • محولات الهوية

  • بوتنتات

  • النشاط الإجرامي

  • المخدرات

  • القمار

  • الاختراق

  • النطاقات المتوقفة

  • البرامج الضارة الخاصة بالتجسس

  • الغش

  • الاحتيال المشبوه

  • البرمجيات الخبيثة المشبوهة

  • الإباحية

  • غير مصنف

  • غير محدد

  • مشاركة الملفات

  • التخزين عبر الإنترنت

المتطلبات الأساسية لخدمة RBI

  • تفعيل خدمة RBI يتطلب ترخيص RBI. لمزيد من المعلومات حول شراء ترخيص RBI، يُرجى الاتصال بممثل Cato الخاص بك.

  • يجب تفعيل فحص TLS لحركة المرور المُعدة لـ RBI.

  • لكي تعمل خدمة RBI بشكل صحيح، يجب أن يسمح جدار حماية الإنترنت بالوصول إلى هذه الروابط. إذا كان جدار حماية الإنترنت لديك يحتوي على قاعدة حظر ANY-ANY في الأسفل، أضف قاعدة صريحة بأولوية أعلى تسمح بمرور الحركة إلى هذه الروابط:

    • http://securebrowsing.catonetworks.com/

    • https://authentic8.com/

  • إذا كنت لا تستخدم Cato كخادم DNS الخاص بك، أضف سجلًا إلى خادم DNS المحلي الخاص بك لـ http://rbi.catonetworks.com/ ليحل إلى 10.254.254.161.

Known Limitations

  • عناوين URLs التي تحتوي على معرفات تجزئة ("#") غير مدعومة في إعادة توجيه RBI

تكوين RBI

يشرح هذا القسم كيفية تكوين خدمة RBI لتوفير تصفح ويب آمن للمستخدمين النهائيين.

RBI.png

هذا نموذج عمل لتطبيق RBI:

  1. تمكين خدمة RBI

  2. إنشاء ملف تعريف RBI

  3. تكوين قاعدة جدار الحماية عبر الإنترنت بالإجراء التصفح عن بعد

الخطوة 1: تمكين وتفعيل خدمة RBI

عند تمكين خدمة RBI، يصبح إجراء التصفح عن بُعد لجدار الحماية للإنترنت متاحًا، ويمكنك حينها إنشاء قواعد لتوجيه حركة المرور إلى الخدمة. افتراضيًا، يتم تعطيل RBI.

لتفعيل أو تعطيل RBI لحسابك:

  1. من لوحة التنقل، اختر الأمان > RBI.

  2. انقر على المنزلق للتفعيل (أخضر) أو التعطيل (رمادي) لخدمة RBI للحساب.

  3. انقر فوق جديد.

الخطوة 2: إنشاء ملف تعريف التصفح البعيد (RBI)

يحتوي كل ملف تعريف للتصفح البعيد (RBI) على تكوينات دقيقة يمكن تطبيقها على قاعدة جدار الحماية للإنترنت.

لإنشاء ملف تعريف للتصفح البعيد (RBI):

  1. من لوحة التنقل، اختر الأمان > RBI.

  2. انقر على جديد.

  3. قم بتكوين الملف الشخصي ليتناسب مع متطلباتك.

  4. انقر فوق تطبيق.

الخطوة 3: إنشاء قاعدة جدار حماية الإنترنت لتصفح بعيد.

استخدم قواعد جدار الحماية للإنترنت لتحديد متى يقوم Cato بتوجيه الحركة إلى خدمة التصفح البعيد (RBI). يجب تكوين القواعد مع تعيين فئة التطبيق كـ غير مصنف، غير محدد، أو فئة مخصصة بدون تطبيقات أو فئات أخرى مكونة. لمزيد من المعلومات حول تكوين قواعد جدار الحماية الإنترنتي، انظر إدارة سياسة جدار الحماية الإنترنتي.

لإنشاء قاعدة جدار الحماية الإنترنتي للتصفح عن بعد:

  1. من قائمة التنقل، اختر الأمان > جدار الحماية الإنترنتي.

  2. انقر على جديد.

  3. أدخل الاسم للقاعدة.

  4. يمكنك تمكين أو تعطيل القاعدة باستخدام شريط التمرير (أخضر ممكّن، رمادي معطل).

  5. قم بتكوين ترتيب القاعدة لهذه القاعدة.

    تضاف القواعد الجديدة في الجزء السفلي من قاعدة القواعد. يمكنك تغيير الترتيب الذي تُطبق به هذه القاعدة.

  6. قم بتوسيع المصدر واختر نوع المصدر.

    • حدد النوع (على سبيل المثال: المضيف، واجهة الشبكة، IP، المستخدم، مجموعة المستخدم، أي). القيمة الافتراضية هي أي.

    • عند الحاجة، اختر كائنًا معينًا من القائمة المنسدلة لهذا النوع.

  7. قم بتوسيع قسم App/Category وحدد Application Category.

    اختر واحدًا أو أكثر من Uncategorized وUndefined أو Custom Category من قائمة Application Category المنسدلة. عندما يكون هناك أكثر من كائن App/Category في القاعدة، يوجد علاقة OR بينهما.

  8. حدد الإجراء لهذه القاعدة كـ تصفح بعيد (RBI) واختر الملف الشخصي المطلوب.

  9. (اختياري) قم بتكوين خيارات التتبع لإنشاء Events وإرسال Send Notification. يبدأ حساب التردد بعد إرسال الإشعار الأول.

    لمزيد من المعلومات حول الإشعارات، راجع المقالة ذات الصلة بمجموعات الاشتراك، قوائم البريد، ودمج التنبيهات في قسم التنبيهات.

  10. انقر على Apply. تم إضافة القاعدة الجديدة إلى قاعدة القواعد.

  11. انقر على حفظ.

    تم حفظ القاعدة.

Best Practices for Implementing RBI with the Internet Firewall

نوصي بتنفيذ سياسة RBI الخاصة بك تدريجيًا مع نطاقات محددة، لتجنب سوء تكوين قواعد السياسة الذي يمكن أن يؤدي إلى استخدام RBI للمرور الذي يجب أن يكون لديه وصول مباشر إلى الوجهات. هذه أمثلة على أفضل الممارسات الموصى بها لتنفيذ RBI.

أفضل الممارسات لتنفيذ RBI للوجهات غير المصنفة وغير المعرفة:

  • إذا كان هناك بالفعل قاعدة جدار حماية الإنترنت مكونة لفئات التطبيقات Uncategorized وUndefined:

    1. ابدأ بتتبع الأحداث للقاعدة المكونة لتحديد وجهات Uncategorized أو Undefined المحددة التي تكون ضرورية للمستخدمين لديك.

    2. أضف قاعدة ذات أولوية أعلى مع الإجراء Remote Browsing المحدد لنطاق محدد من المواقع الهامة Uncategorized وUndefined.

  • إذا لم يكن هناك قاعدة مكونة للفئات Uncategorized وUndefined:

    1. أضف قاعدة تغطي الوجهات Uncategorized وUndefined بالإجراء Allow أو Prompt، وقم بضبطها لتتبع Events.

    2. ابدأ بتتبع الأحداث لتحديد وجهات Uncategorized أو Undefined المحددة التي تكون ضرورية للمستخدمين لديك.

    3. قم بإنشاء قاعدة ذات أولوية أعلى مع الإجراء Allow أو Prompt، وأضف تدريجيًا الوجهات الهامة المحددة التي تحددها، حتى يتم إضافة جميع الوجهات الهامة.

    4. اضبط القاعدة ذات الأولوية الأعلى على الإجراء Remote Browsing.

  • بما أن RBI مدعوم فقط للمتصفحات، إذا كنت قلقًا بشأن المرور غير المتصفح إلى Uncategorized وUndefined domains ، نوصي بإنشاء قاعدة Block لجدار الحماية الإنترنت لـ Uncategorized وUndefined المرور. ضع هذه القاعدة في مرتبة أقل من قاعدة RBI لهذه النطاقات.

    يؤمن هذا المرور إلى هذه النطاقات المشبوهة التي تنشأ من العملاء غير المتصفح (على سبيل المثال، سكريبتات cURL).

Customizing the User Experience

في جلسة تصفح بعيد معزولة، يظهر شريط للمستخدم. لتلبية متطلبات العلامات التجارية الخاصة بك، يمكنك تخصيص التصميم عن طريق تغيير لون الخلفية العامة، النص، ولون النص.

167e948476380c.png

لتخصيص تجربة المستخدم:

  1. من القائمة التنقل, انقر< span class="bold">الحساب > العلامة التجارية للتصفح البعيد (RBI).

  2. لتغيير لون الخلفية، انقر على لون الشريط واختر اللون.

  3. لتغيير لون النص، انقر على لون النص واختر اللون.

  4. لتغيير النص، انقر فوق تخصيص نص التنبيه وقم بتحديث النص.

  5. انقر فوق حفظ.

Reviewing RBI Events

يمكنك مراجعة أحداث الأمان في Home > Events والعثور على السجلات المتعلقة بجلسات محاكاة RBI التي تم تنفيذها للاتصال الذي تطابق مع قاعدة جدار حماية بالإجراء Remote Browsing. يتم تصنيف هذه الأحداث بالفئة الفرعية Internet Firewall والإجراء RBI.

عندما لا يمكن تنفيذ جلسة RBI ويتم تنشيط Fallback Action ، تكون الأحداث المعنية بالإجراء Block أو Prompt اعتمادًا على تكوينك.

هذا مثال لفلتر يمكنك إنشاؤه لعرض الأحداث المتعلقة بـ RBI:

RBI_Event_Filter.png

هذا مثال لحدث يتعلق بجلسة RBI:

RBI_Event.png

Troubleshooting the RBI Service

يمكنك استخدام محاكي مدير RBI للمساعدة في تشخيص المشكلات التي يواجهها المستخدمون النهائيون عند محاولة تصفح الوجهات المُهيأة لمحاكاة RBI. يمكن أن تساعد الأداة في عزل سبب المشكلة، وتساعدك في توفير معلومات مفيدة للدعم لإيجاد حل.

ملاحظة: بعد 5 دقائق من عدم النشاط، تنتهي جلسة RBI تلقائيًا وتغلق علامة تبويب المتصفح. لمتابعة التصفح، يجب على المستخدم إعادة فتح الموقع في متصفحه.

Troubleshooting the RBI Service for a URL

إذا واجه المستخدم مشكلة في تصفح عنوان URL معين ، يمكنك إنشاء جلسة محاكاة RBI اختبارية للعنوان باستخدام Administrator RBI Simulator. أدخل عنوان URL صالحًا لـ HTTPS أو HTTP ثم اتبع الرابط الناتج لعرض الموقع في جلسة RBI. ترسل الأداة هذه الحركة مباشرة إلى خدمة RBI دون المرور عبر سحابة Cato. يمكن أن يساعد هذا في تحديد ما إذا كانت مشكلة المستخدم تتعلق بخدمة RBI نفسها ، أو ناجمة عن مشاكل أخرى مثل تكوين الحساب أو الاتصال بالبنية التحتية لـ Cato. على سبيل المثال ، المستخدم المتصل بـ Cato لا يمكنه تصفح موقع Uncategorized مكون لـ RBI ، ولكن يمكن للمسؤول الوصول إلى الموقع باستخدام الأداة. قد يشير هذا إلى أن خدمة RBI تعمل بشكل صحيح وأن المشكلة تتعلق بالاتصال بين PoP والخدمة.

يطبق Administrator RBI Simulator الضوابط الأمنية لـ RBI المعرفة في RBI Account Preferences.

بعد تشغيل جلسة RBI من الأداة ، يمكنك الإبلاغ عن النتائج إلى الدعم لمساعدتهم في حل المشكلة.

RBI_Admin_Utility.png

لاستكشاف الأخطاء باستخدام Administrator RBI Simulator:

  1. من لوحة التنقل، اختر الأمان > RBI.

  2. تحت Administrator RBI Simulator ، أدخل عنوان URL صالحًا لـ HTTP أو HTTPS. على سبيل المثال: https://maps.google.com

  3. اختر ملف التعريف لمحاكاته.

  4. انقر على Generate. تم إنشاء عنوان URL لجلسة RBI.

  5. انقر على الرابط بجوار عنوان URL. تفتح جلسة RBI في المتصفح الافتراضي لديك.

القيود المعروفة

  • خدمة RBI لديها دعم محدود للتوطين

هل كان هذا المقال مفيداً؟

4 من 7 وجدوا هذا مفيداً

لا توجد تعليقات