В этой статье обсуждается, как добавить условия для устройств в политику инспекции TLS для детализированной инспекции на основе фактического состояния устройства.
Настройка Устройства в политике инспекции TLS дает вам возможность расширить охват для проверки трафика на основе фактического устройства пользователя SDP. Вы можете указать требования для устройств, к которым применяются правила инспекции TLS. Например:
-
Инспектировать трафик только для устройств, основанных на геолокации
-
Разрешать устройствам обходить инспекцию TLS только на основе специфической ОС
По умолчанию настройки Устройства не влияют на политику инспекции TLS, потому что они установлены на Любой Любой и автоматически совпадают со всем трафиком.
-
Проверки устройства поддерживаются для клиентов Windows и macOS. Для получения дополнительной информации о требованиях каждой проверки, см. Создание профилей состояния устройства и проверок устройства.
-
Перед добавлением профиля устройства в настройки Устройства для правила:
-
Вы должны создать и настроить профиль устройства
-
-
Известное ограничение - Правила, использующие профили устройства, применяются только, когда пользователь подключен с Клиентом Cato (даже если они находятся за Сокетом)
Это условия настроек Устройства, которые вы можете добавить к правилу инспекции TLS:
-
Платформы - Операционная система (OS) устройства
-
Страны - Страна источника подключения на основе физического местоположения устройства (согласно геолокации IP-адреса)
-
Профили - Профили устройств (настроено в Ресурсы > Состояние устройства)
-
Источник подключения - Геолокация устройства (Удаленное или за площадкой)
Когда вы настраиваете несколько условий для правила, они имеют отношение И, правило срабатывает только если трафик соответствует критериям, определённым во всех элементах.
Внутри одного условия (в одной ячейке), элементы имеют отношение ИЛИ. Например, правило, имеющее условие Платформы для Windows, и macOS, соответствует всем устройствам Windows или macOS.
Это пример правила, где трафик должен соответствовать всем этим условиям Устройства: устройства Windows, расположенные в Индия, которые соответствуют требованиям Пример профиля устройства.
Условие Платформы для правила инспекции TLS позволяет вам определить операционную систему устройства, которая соответствует правилу. Например, для конкретного сегмента сети разрешать инспектировать трафик только для устройств Windows, macOS или Linux.
Условие Страны позволяет вам определить источник трафика, который совпадает с правилом, на основе геолокации IP-адреса устройства. Например, для сайта, который является филиалом, разрешите мобильным устройствам iOS и Android обходить инспекцию TLS.
Условие Профили позволяет ограничить правило, чтобы оно соответствовало только устройствам, которые отвечают требованиям профиля устройства. Это условие основано на функции Статус устройства, которая проверяет, соответствует ли устройство требованиям состояния.
Примечание
Примечание: Для устройств, подключенных через офисный режим (или туннель в туннеле), движок инспекции TLS не применяет профили состояния устройства к устройствам. Это означает, что для правила Инспектировать, устройства, использующие офисный режим, не инспектируются, даже если они не соответствуют требованиям профиля состояния устройства.
Движок инспекции TLS может определить, соответствует ли Клиент профилю устройства, только для поддерживаемых Клиентов. Для каждой проверки устройства вы можете определить поведение для неподдерживаемых Клиентов, которые соответствуют другим требованиям в правиле:
-
Пропустить проверку устройства - применить действие инспекции TLS к неподдерживаемым Клиентам
-
Применить проверку устройства - действие применяется только тогда, когда Клиент соответствует правилу
Следующая таблица объясняет поведение для неподдерживаемых Клиентов, когда соединение соответствует всем другим Настройкам правила. Поведение зависит от того, включен или отключен (очищен) параметр Пропустить эту проверку для ненадлежащей версии Клиента SDP в проверке устройства.
|
Неподдерживаемые Клиенты |
Действие правила инспекции TLS |
Поведение Клиента |
|---|---|---|
|
Пропустить проверку (включен) |
Инспектировать |
Неподдерживаемые Клиенты автоматически пропускают проверку устройства, и трафик инспектируется |
|
Обход |
Неподдерживаемые Клиенты автоматически пропускают проверку устройства и обходят инспекцию TLS |
|
|
Применить проверку (отключено) |
Инспектировать |
Неподдерживаемые Клиенты не совпадают с проверкой устройства, движок инспекции TLS пропускает это правило (не инспектирует трафик) |
|
Обход |
Неподдерживаемые Клиенты не совпадают с проверкой устройства, движок инспекции TLS пропускает это правило (не обходит инспекцию) |
Условие Источник подключения позволяет определить геолокацию устройства, которое соответствует правилу. Например, разрешить доступ к конфиденциальной информации за сайтом, но не при удаленной работе.
Вы можете настроить параметры устройства в новом или существующем правиле инспекции TLS.
Для настройки условий устройства по правилу:
-
В меню навигации щелкните Безопасность > Инспекция TLS.
-
Щелкните Новый, чтобы создать новое правило, или щелкните значок редактирования
в столбце Устройство для существующего правила.
-
В разделе Устройство настройте Платформы, Страны, Профили состояния устройства и Источник подключения, необходимые для совпадения с этим правилом.
-
Щелкните Применить.
Условия устройства настроены для правила.
0 комментариев
Войдите в службу, чтобы оставить комментарий.