Эта статья объясняет, как определить Управляемые Сети в Cato Networks. Управляемые сети могут быть использованы как параметр, на основе которого можно строить Политику доступа.
Cato предоставляет вам детальный контроль над тем, как маршрутизируется пользовательский трафик и когда включается функция "Всегда включено", исходя из типа сети, к которой подключен пользователь.
Эта классификация сети позволяет вам интегрироваться с существующими архитектурами безопасности, обеспечивая стабильную обработку трафика в доверенной, управляемой и неуправляемой среде.
Клиент Cato определяет конфигурацию во время выполнения с использованием определенных критериев, таких как:
-
Определяет ли он, что находится за сайтом Cato (Socket, IPsec, vSocket)
-
Успешно ли он получает ответ от заранее заданного зонда к определенной цели
На основе этих условий Клиент применяет одно из следующих поведений:
-
Позади Cato Socket (Режим Офис) - Если Клиент определяет, что находится за Cato Socket, Режим Офис включен и весь трафик маршрутизируется через Cato.
-
За Управляемой Сетью - Если Клиент не находится за Socket, он проверяет, является ли сеть определенной как Управляемая. Если да:
-
Управляемая Сеть (не доверенная) - Туннель к Cato поддерживается, и применяется Политика Раздельного Туннеля. Только определенный трафик маршрутизируется через Cato (например, интернет-трафик), в то время как другой трафик проходит через файервол третьих сторон.
-
Доверенная Управляемая Сеть - Если сеть также отмечена как Доверенная, "Всегда включено" приостановлено, Клиент отключается от туннеля Cato, и весь трафик проходит через файервол третьих сторон.
-
-
Неуправляемая Сеть - Если сеть не находится под Socket и не определена как Управляемая (например, ваш домашний WiFi, аэропорт, отель, кофейня), она считается общедоступной сетью и рассматривается как Неуправляемая. Весь трафик маршрутизируется через Cato.
Компания ABC имеет 70 офисов и более 10 000 сотрудников. Они новый клиент Cato, который будет использовать Клиент Cato для сетевых и защитных решений с Всегда включено для обеспечения интернет-безопасности (в соответствии с лучшими практиками UZTNA компании). Во время процесса интеграции Cato, компания развернет Клиентов в течение нескольких недель, тогда как SD-WAN будет постепенно развернут в 20 офисах в течение следующих нескольких месяцев. Офисы защищены сторонним поставщиком до этого времени.
Компания назначает диапазоны сети для физических офисов как Управляемые сети. Администратор создает правило в Политике Раздельного Туннеля для маршрутизации трафика на основе источника сети:
-
Управляемая сеть - Пользователи подключены за сайтом, который еще не был подключен к Cato. Только интернет-трафик маршрутизируется в Облака Cato для дополнительной безопасности.
-
Неуправляемая сеть - Удаленные пользователи, весь трафик маршрутизируется в Облака Cato
Вы можете настроить проверки сети, чтобы определить, что является управляемой сетью. Клиент использует заранее определенные зонды, чтобы определить, является ли сеть, к которой подключен Клиент, Управляемой. Эта проверка происходит каждый раз при подключении Клиента, после каждого изменения сети и каждые 30 секунд в процессе подключения.
Клиент отправляет зонды для проверки связи с различными типами внутренних ресурсов:
-
Запрос ресурса HTTPS: Определите URL, который доступен только при подключении к управляемой сети. После доступа к URL Клиент проверяет, что ответ является либо HTTP 200, либо HTTP 300, и затем проверяет, что сертификат является доверенным на основе хранилища сертификатов локальной машины.
-
Запрос DNS: Определите имя хоста, чтобы Клиент отправил запрос DNS, и IP-адрес, который является ожидаемым ответом
-
Ping к IP-адресу или URL: Определите IP-адрес или URL для Клиента для отправки пинга. Клиент проверяет наличие ответа по протоколу ICMP
Если одно из проверок выполнено, исходная сеть считается Управляемой. Если все проверки завершаются неудачно, сеть считается Неуправляемой.
Когда за сайтом Cato, Клиент плавно переходит в Режим Офис, как раньше.
Например, внутренний DNS-сервер компании использует имя хоста companyabc.local, и он разрешает на 10.10.10.26. Таким образом, вы бы определили Управляемую сеть как DNS-запрос, который разрешается на хост companyabc.local с этим IP-адресом.
Чтобы обозначить сеть как управляемую, сначала создайте объект Управляемая Сеть в Приложении Управления Cato (CMA). Этот объект представляет сеть, такую как офис или известное корпоративное местоположение. Клиент также должен определить зонд, который Клиент Cato использует для определения, находится ли он в этой сети. Эти зонды могут включать DNS, HTTP или Ping (ICMP пакеты). Когда Клиент обнаруживает совпадение на основе определенных зондов, он классифицирует сеть как управляемую и применяет соответствующие политики.
Чтобы настроить управляемые сети:
-
Из меню навигации нажмите Доступ к облаку > Управляемые Сети.
-
Нажмите Новый и настройте следующее:
-
Имя зонда
-
(Опционально) Описание зонда
-
Тип зонда, т.е. HTTPs, DNS-запрос или ping
-
Имя хоста или IP-адрес зонда
-
-
Нажмите Сохранить.
-
Повторите шаги 2 для каждой Управляемой Сети.
-
Включите Управляемые Сети и нажмите Сохранить.
Ползунок зеленый, когда Управляемые Сети включены, и серый, когда Доверенные Сети отключены.
Для сценариев, где вы маршрутизируете весь трафик к назначению, а не в Облака Cato, вы можете определить все ваши Управляемые Сети как Доверенные. Когда устройство-хост подключается к Доверенной Сети:
-
Клиент идентифицирует сеть как Доверенную Сеть, Подключаться при загрузке отключено, Всегда Включено обходится, и Клиент не пытается подключиться (или переподключиться) к Облаку Cato
-
Пока хост-устройство подключено к Доверенной Сети, Клиент остается отключенным, и Политика Раздельного Туннеля не применяется
-
Пользователи все еще могут нажать Подключиться в Клиенте, и устройство будет подключено к Облаку Cato
Например, разработчики, которым необходимо получить доступ к среде разработки, защищенной Облаком Cato
0 комментариев
Войдите в службу, чтобы оставить комментарий.