使用托管网络

本文解释如何在Cato Networks中定义托管网络。 托管网络可以用作基础访问策略的参数。

概述

Cato根据用户连接的网络类型提供细粒度的流量控制和始终强制的实施。

该网络分类允许您集成现有安全架构,同时确保一致的流量处理,跨受信任、托管和未托管的环境。

Cato客户端在运行时通过特定标准确定其配置,例如:

  • 无论它是否识别出其在Cato站点后面(Socket、IPsec、vSocket)

  • 是否能够成功接收预定义探测器对给定目的地的响应

根据这些条件,客户端应用以下行为之一:

  • 在Cato Socket后(办公室模式) - 如果客户端识别其在Cato Socket后面,办公室模式将启用,所有流量经由Cato路由。

  • 在托管网络后 - 如果客户端不在Socket后,它会检查网络是否已定义为托管。 如果是:

    • 托管网络(不受信任) - 通往Cato的隧道保持,并应用分流策略。 只有特定流量通过Cato路由(例如,互联网流量),而其他流量通过第三方防火墙路由。

    • 受信任的托管网络 - 如果网络也标记为受信任,始终开启暂停,客户端断开与Cato隧道的连接,所有流量通过第三方防火墙路由。

  • 未托管网络 - 如果网络既不在Socket后,也未定义为托管(例如,你的家庭WiFi、机场、酒店、咖啡店),则被认为是公共网络并视为未托管。 所有流量通过Cato路由。

使用案例 - 逐步引导到Cato

ABC公司有70个办公室和超过10,000名员工。 They are a new Cato customer that will use the Cato Client for networking and security solutions with Always-on to provide Internet security (in line with the company’s UZTNA best practices). 在Cato引导过程中,公司将在几周内部署客户端,而SD-WAN将在接下来几个月内逐步在20个办公室部署。 在此期间,办公室由第三方供应商保护。

公司将物理办公室的网络范围指定为托管网络。 管理员在分流策略中创建规则,根据网络来源路由流量:

  • 托管网络 - 用户连接在尚未引导到Cato的站点后面。 只有互联网流量被路由到Cato云以增强安全性。

  • 未托管网络 - 远程用户,所有流量路由到Cato云

先决条件

  • 从Windows客户端v5.17及更高版本支持

  • 从macOS客户端v5.11及更高版本支持(EA)

我们如何检测托管网络

您可以配置网络检查来定义什么是托管网络。 客户端使用预定义的探测器来识别客户端连接的网络是否为托管网络。 此检查发生在每次客户端连接时、每次网络变更后以及连接时每30秒执行一次。

客户端发送探测器以检查不同类型内部资源的连接:

  • HTTPS资源请求:定义一个仅在连接到托管网络时可访问的URL。 访问该URL后,客户端验证响应是否为HTTP 200或HTTP 300,然后根据本地机器的证书存储验证证书是否受信任。

  • DNS查询:定义一个主机名,以便客户端发送DNS请求,并提供预期响应的IP地址

  • 对IP地址或网址进行Ping:为客户端定义一个IP地址或网址以执行Ping操作。 客户端验证是否有使用ICMP协议的响应

Managed_Network.png

如果任何检查满足,来源网络被视为托管。 如果所有检查都失败,网络被视为未托管。

Unmanaged_Network2.png

当在Cato站点后面时,客户端如之前一样无缝过渡到办公模式。

例如,内部公司DNS服务器使用主机名companyabc.local,并解决到10.10.10.26。 因此,您会将托管网络定义为解决到主机companyabc.local的DNS查询以及该IP地址。

配置托管网络

要指定网络为托管,首先在Cato管理应用程序(CMA)中创建托管网络对象。 该对象代表诸如办公室或已知的企业地点的网络。 客户还必须定义Cato客户端用于识别其何时在该网络中运行的探测器。 这些探测器可能包括DNS、HTTP或Ping(ICMP数据包)。 当客户端根据定义的探测器检测到匹配时,它会将网络分类为托管并相应地应用相关策略。

Trusted_Networks.png

要配置托管网络:

  1. 从导航菜单中,点击访问 > 托管网络

  2. 点击新建并配置以下内容:

    • 探测器名称

    • (可选)探测器的描述

    • 探测器类型,即HTTPS、DNS查询或ping

    • 探测器的主机名或IP地址

  3. 点击保存

  4. 对每个托管网络重复步骤2。

  5. 启用托管网络并点击保存

    当托管网络启用时滑块显示绿色,当受信任网络禁用时滑块显示灰色。

配置受信任的网络

对于将所有流量路由到目的地而不是Cato云的场景,您可以将所有托管网络定义为受信任。 当主机设备连接到受信任的网络时:

  • 客户端将网络识别为受信任网络,开机时连接被禁用,始终开启被绕过,客户端不会尝试连接(或重新连接)到Cato云。

  • 只要主机设备连接到受信任网络,客户端保持断开,并且不应用分流策略。

  • 用户仍然可以选择在客户端中点击连接,设备连接到Cato云。

    例如,需要访问由Cato云保护的开发环境的开发者。

要配置所有托管网络为受信任:

  1. 从导航菜单中点击访问 > 托管网络

  2. 导航到设置选项卡。

  3. 选择定义所有托管网络为受信任网络复选框。

  4. 点击保存

这篇文章有帮助吗?

2 人中有 2 人觉得有帮助

0 条评论