Маршрутизация с Клиентом Cato (Политика Раздельного Туннеля)

Эта статья объясняет, как централизованно управлять правилами маршрутизации трафика Cato Client с помощью политики разделенного туннеля.

Обзор

Клиент Cato защищает пользовательский трафик, устанавливая DTLS-туннель в облако Cato. Политика Раздельного Туннеля контролирует, какой трафик отправляется через этот безопасный туннель, а какой трафик обходит его и направляется непосредственно через локальный сетевой интерфейс. Политика поддерживает гибкое централизованное управление поведением маршрутизации.

Трафик, маршрутизируемый через облако Cato, получает преимущества полной инспекции безопасности и применения, а также оптимизации пути через магистраль Cato. Однако могут возникнуть ситуации, требующие адаптивной маршрутизации, например, для оптимизации производительности услуг реального времени или при работе вместе с внешними производителями.

Правила сопоставляются на основе нескольких критериев, включая идентификацию пользователя, геолокацию, операционную систему и сеть источника. Вы можете определить либо инклюзивные, либо основанные на исключении правила. Например:

  • Идентификация - Применить правила маршрутизации выборочно к определенным пользователям или группам пользователей
  • Устройство - Выберите, к каким ОС и странам применяются правила маршрутизации
  • Сеть источника - Маршрутизировать трафик на основе управляемых или неуправляемых сетей

Конфигурация маршрутизации поддерживает:

  • Трафик пользователя:

    • Направляйте весь трафик в облако Cato, с конкретными исключениями для внутренних приложений или ресурсов, размещенных поставщиками
    • Маршрутизировать только выбранный трафик в рамках замещения устаревших решений VPN
    • Маршрутизируйте только веб-трафик через Cato Cloud, разрешая другому трафику выходить локально

  • DNS-трафик:

    • Поддержка разрешения DNS локальным DNS-сервером для указанных доменов
    • Поддержка локального разрешения DNS для доменов, требуемых сторонним VPN, чтобы предотвратить конфликты DNS

Такой уровень контроля позволяет оптимизировать покрытие безопасности, минимизируя задержку и сохраняя прямой доступ к доверенным ресурсам.

Предварительные условия

Следующие функции доступны только с Клиентом Windows версии 5.16 и выше

  • DNS исключения

    • Убедитесь, что для следующих элементов разрешен доступ в вашем локальном файерволе:

      • IP-адрес 127.0.0.253
      • служба DNS Cato Networks
      • процесс релэй DNS, dns-relay.exe

  • Только веб-маршрутизация

    • Убедитесь, что Клиент Cato имеет права на запись в файл автоматической настройки прокси (PAC) системы

Ревизии политики и одновременное редактирование несколькими администраторами

Политика разделенного туннеля позволяет разным администраторам редактировать политику параллельно. Каждый администратор может редактировать правила и сохранять изменения в своей собственной приватной ревизии, а затем публиковать их в учетной политике (опубликованная ревизия). Для получения дополнительной информации о том, как управлять ревизиями политики, смотрите Working with Policy Revisions.

Примеры Использования

Безопасность Интернета Cato с Удаленным Приватным Доступом

Компания ABC предоставляет Клиент Cato для своих пользователей с всегда включенным режимом. Это означает, что они подключены даже находясь в офисе за свои проекты. Как администратор, вы уверены, что трафик для ваших внутренних приложений защищен третьим производителем и исключен из Cato Cloud для пользователей в офисе. Весь другой трафик отправляется в Cato Cloud для безопасности.

split_tunnel.png

Вы настраиваете два правила в Политике Раздельного Туннеля, чтобы реализовать это поведение:

managed_network_exclude.png
  • Правило 1 предназначено для пользовательского трафика, который исходит из-за Любой Управляемой Сети, для всех портов и протоколов. Исключенные DNS и назначения определены. Это исключает трафик из маршрутизации в Cato Cloud.
  • Правило 2 предназначено для пользовательского трафика, который исходит из-за Любой Неуправляемой Сети, для всех портов и протоколов. Нет исключений, этот трафик направляется в Cato Cloud.

Легкая безопасность Интернета

Компания ABC стремится к тому, чтобы Cato защищало только веб-трафик к SaaS-приложениям и общественному Интернету. Это требует, чтобы Cato сосуществовал с внешними производителями, когда пользователи подключаются с управляемых и неуправляемых сетей. Это легкий режим, подходящий для постепенного подключения от архитектуры на основе прокси к Cato.

Примечание: VPN от сторонних производителей, соответствующие требованиям Cato, не должны прерываться Клиентом Cato для Windows в режиме исключительно веб.

Diagram2.png

Вы создаете правило в Политике Раздельного Туннеля, которое отправляет весь веб-трафик в Cato Cloud, а весь другой трафик направляется через управляемую сеть.

Настройка Политики Раздельного Туннеля

Политика Раздельного Туннеля — это упорядоченная база правил, которая последовательно проверяет, выполнено ли правило. Как только правило выполнено, правила с низким приоритетом игнорируются. Когда пользователь соответствует правилу, применяются настройки маршрутизации трафика, основывающиеся на этом правиле. Если ни одно правило не выполнено, трафик маршрутизируется через Cato Cloud, и доступ к LAN разрешен.

Чтобы включить диапазоны IP, которые являются исключениями для настроек раздельного туннеля, добавьте диапазоны IP в сущность Глобальный диапазон IP-адресов.

Split_Tunnel_Policy.png

Обзор высокого уровня Политики Раздельного Туннеля

Это настройки, которые вы можете определить для правил в Политике Раздельного Туннеля:

  1. Общие настройки (например, имя, описание).
  2. Для кого применяется правило ( Пользователи и Группы, Платформы, Страны, и Сетевой Источник).
  3. Область трафика, к которому применяется правило, например, весь трафик или только веб-
  4. Политика маршрутизации для области трафика.

Создание основного правила Раздельного Туннеля

Этот раздел объясняет, как настроить основное правило в Политике Раздельного Туннеля. Предполагается, что вы хотите маршрутизировать почти весь трафик в Cato Cloud.

Для информации о кастомизации правил Раздельного Туннеля, смотрите

Чтобы настроить политику раздельного туннеля:

  1. From the navigation menu, click Access > Split Tunnel Policy.

  2. Нажмите Новый.

    Откроется панель Новое правило политики Раздельного Туннеля.

  3. Настройте следующие Общие настройки:

    • Имя
    • Описание
    • Позиция

    Убедитесь, что включили правило, чтобы оно было применено

  4. Определите, к кому применяется правило, определив:

    • Пользователи и Группы пользователей
    • Платформы
    • Страны

  5. В разделе Конфигурация настройте следующее:

    • В разделе Выбор режима соединения выберите область трафика, который будет включен в это правило.

    • В разделе Политика маршрутизации определите, как маршрутизируется область. Варианты включают

      • Направить весь трафик в Cato: Трафик маршрутизируется через облако Cato. Вы можете задать исключения, направляемые напрямую в Интернет.

        Примечание: Если вы блокируете выходящий доступ к ЛВС, этот вариант поддерживается только с Клиентом для Windows версии 5.6 и выше.

      • Маршрутизировать только выбранное в Cato: Трафик напрямую выходит в Интернет и обходит Cato Cloud. Вы можете задать исключения, которые будут маршрутизироваться через облако Cato. Блокировка исходящего доступа к локальной сети конфликтует с этой опцией и не может быть выбрана.
      • Определено конечным пользователем: Пользователи могут загрузить текстовый файл в Клиент для настройки, какой трафик маршрутизируется через Cato Cloud и какой трафик исключается из Cato Cloud. Блокировка исходящего доступа к локальной сети не может быть выбрана с этой опцией.
    • В разделе Исключения назначения настройте приложение или диапазон IP, к которому не применяется политика маршрутизации

  6. Определите, разрешить или блокировать доступ к ЛВС

    Чтобы избежать конфликтов маршрутизации трафика между подсетями с одинаковым IP-адресом, в случае конфликта, вы можете блокировать исходящий доступ к локальной сети. С этой опцией весь трафик маршрутизируется в облако Cato, что обеспечивает повышенную безопасность. Клиент заблокирован от подключения к хосту ЛВС в домашней сети удаленного пользователя.

  7. Нажмите Применить.
  8. Повторите шаги 2-5 для каждого правила в Политике Раздельного Туннеля.

  9. Enable the Split Tunnel Policy and then click Save.

    Слайдер становится зеленым, когда правило включено, и серым, когда правило выключено.

Настроить сеть источника

При создании правила Раздельного Туннеля можно определить различные политики маршрутизации на основе сети источника, то есть управляемая или неуправляемая.

Когда трафик находится в неуправляемой сети, он всегда сначала проходит через Cato. Для трафика на управляемых сетях, вы можете определить, маршрутизируется ли трафик через Cato или напрямую к назначению.

Примечание: Необходимо включить и настроить управляемые сети для применения правил соответствующим образом.

Кастомизация сетевого источника:

  1. Из меню навигации, нажмите Access > Политика Раздельного Туннеля.
  2. Создайте новое правило и настройте настройки на шагах 2-4 выше.

  3. В разделе Сетевой Источник определите, применимо ли это правило к:

    • все сети
    • все неуправляемые сети
    • все управляемые сети
  4. Определите режим соединения, политику маршрутизации, и назначения, которые исключены на шагах 5-7 выше.

Настроить, какой трафик исключен из Cato

При создании правила Раздельного Туннеля вы можете определить политику маршрутизации так, чтобы весь трафик направлялся в Cato для дополнительных преимуществ безопасности, за исключением специфического трафика. Например, нет необходимости инспектировать трафик, который направляется на локальный DNS-сервер.

Примечание: При создании правила с исключением, вы должны явно указать операционную систему как Windows

Следующая процедура описывает, как настроить правило для отправки всего вашего трафика в Cato, исключая локальный DNS трафик.

Примечание: Вы можете применить кастомизацию для сетевого источника в этом правиле также.

off-ramp_cato.png

Кастомизация трафика, который исключен из Cato Cloud:

  1. Из меню навигации, нажмите Access > Политика Раздельного Туннеля.
  2. Создайте новое правило и настройте настройки на шагах 2-4 выше.
  3. В разделе Конфигурация, в подразделе Выбор режима соединения, выберите Все Порты и Протоколы.
  4. В разделе Политика развертывания выберите Маршрут все загружено Cato.

  5. В разделе Определить исключения маршрутизации, в подразделе Исключения DNS, введите домены, которые будут разрешены вашим локальным DNS-сервером.

    Трафик к этим доменам будет идти напрямую к их месту назначения, а не через Cato.

  6. Нажмите Применить, а затем нажмите Сохранить.

Защищать только специфические (включенные) назначения

При создании правила Раздельного Туннеля, вы можете определить политику маршрутизации так, чтобы только специфический трафик маршрутизировался на Cato для инспекции. Например, когда большинство вашего сетевого трафика идет к стороннему решению, но вы хотите направить специфический трафик в удаленный дата-центр через Cato.

Примечание: При создании правила с исключением, вы должны явно указать операционную систему как Windows

Следующая процедура описывает, как настроить правило для отправки только специфических назначений трафика в облако Cato, а остальное маршрутизируется на ваше стороннее решение.

Примечание: Вы можете применить настройку для сети источника в этом правиле также.

on-ramp_cato.png

Чтобы настроить, какой трафик маршрутизируется на Cato:

  1. В меню навигации нажмите Доступ к облаку > Политика Раздельного Туннеля.
  2. Создайте новое правило и настройте параметры на шагах 2-4 выше.
  3. В разделе Конфигурация, под Выбрать режим соединения, выберите Все порты и протоколы.
  4. В разделе Политика развертывания, выберите Маршрут только выбранных загружено на Cato.

  5. В разделе Определить исключения маршрутизации, под Исключения по назначениям:

    • Выберите либо Приложения или IP диапазоны.
    • Выберите элементы для добавления в качестве исключений

    Эти элементы будут маршрутизированы на Cato для дополнительных проверок безопасности

  6. Нажмите Применить, а затем нажмите Сохранить.

Использование клиента Cato с Microsoft Defender

Функция Microsoft Defender "Изолировать" требует отправки трафика непосредственно на IP-адреса Windows Defender Cloud. По умолчанию клиент Cato отправляет трафик через сетевой адаптер Cato. Однако Microsoft Defender ожидает, что трафик будет исходить из адаптера Microsoft Defender, что приводит к сбою связи между Microsoft Defender и Windows Defender Cloud.

Чтобы настроить Microsoft Defender для работы с Клиентом Cato, определите правило в политике Раздельного Туннеля для отправки трафика на адреса Microsoft Defender.

Настройки раздельного туннеля, определяемые пользователем

Вы можете позволить пользователям настраивать настройки Раздельного Туннеля в клиенте. Пользователи могут загружать файлы с IP диапазонами, которые включены или исключены из туннеля.

Примечание: Эта опция не рекомендуется для производственных сред и должна использоваться только в исключительных случаях, когда централизованный контроль политики не требуется.

Чтобы определить IP диапазоны для настроек Раздельного Туннеля в клиенте:

  1. Создайте текстовый файл с IP-адресами, которые будут маршрутизироваться через или исключены из зашифрованного туннеля.

    Вы можете настроить следующие правила в текстовом файле:

    • Включить: Трафик на диапазон IP маршрутизируется через зашифрованный туннель. Весь остальной трафик маршрутизируется непосредственно в Интернет. В текстовом файле добавьте список IP-адресов и маски подсети для маршрутизации через зашифрованный туннель следующим образом:

      /комментарий
включить
<IP>,<маска сети>
<IP>,<маска сети>

      Например:

      /разделенный туннель
включить
198.51.100.0,255.255.255.255

    • Исключить: Трафик на диапазон IP маршрутизируется напрямую в Интернет. Весь другой трафик направляется через зашифрованный туннель. В текстовом файле добавьте список IP-адресов и масок подсети для маршрутизации в Интернет следующим образом:

      ;Комментарий
Исключить
<IP>,<маска подсети>
<IP>,<маска подсети>

      Например:

      /разделенныйтуннель
Исключить
198.51.100.0,255.255.255.255

    Вы можете использовать слэш (/) или точку с запятой (;) для комментариев.

  2. На клиенте для Windows на экране Настройки нажмите Загрузить файл и загрузите текстовый файл.

    На клиенте macOS на экране Настройки выберите Включен Разделенный Туннель.

  3. На клиенте для Windows на экране Настройки выберите Включить Разделенный Туннель.

    На клиенте macOS нажмите Загрузить Конфигурацию Разделенного Туннеля и загрузите текстовый файл.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 3 из 3

0 комментариев