<a class="link linktype-component" href="https://support.catonetworks.com/hc/zh-cn/articles/14687623855773#UUID-a64eb290-0d18-4f05-ee59-18dac29ed81e" title="Remote Internet Security with One Time Authentication">远程互联网安全性和一次性认证</a>

本文解释了如何使用Cato功能为用户提供远程互联网安全和一次性认证以及按需的安全私有访问。

概述

Cato可以在一次性认证后为用户提供安全的远程互联网访问。这意味着用户始终具有互联网连接和保护，同时与客户端的交互最少。可以按需提供对您的私有网络（WAN）的访问。

这是通过定义用户对互联网或您的私有网络（WAN）安全访问所需的认证级别来配置的。例如，您可以始终允许用户在初次认证后安全访问互联网，但仅在用户重新认证后允许访问您的私有网络（WAN）。

此外，您可以控制用户重新认证的体验。提示可以在认证令牌到期前或到期后显示给用户。

配置用于安全访问互联网或私有网络（WAN）

远程互联网安全性和一次性认证通过在客户端连接策略规则中定义用户信任等级和访问级别（操作）来启用。信任等级描述了用户认证的可靠性。操作定义用户是否可以访问互联网和私有网络（WAN）或仅访问互联网。

理解信任等级

信任等级描述了用户认证的可靠性。信任等级为：

高：用户已认证到客户端，Cato令牌有效
低：用户已认证到客户端，但Cato令牌已过期
任何： 用户已认证到客户端，且Cato令牌仍然有效或已过期

信任等级适用于使用任何认证方法认证用户后。对于通过用户名和密码或注册码进行认证的用户，Cato令牌从未过期。这些用户始终具有高信任等级。

理解操作

操作定义提供给用户的访问级别。操作包括：

允许WAN和互联网访问： 用户仅有安全的互联网访问，并可访问私有网络（WAN）

注意：此选项为用户访问私有网络（WAN）提供权限。用户对私有网络（WAN）的访问取决于WAN防火墙中的规则。
仅允许互联网访问： 用户仅有安全的互联网访问，无法访问私有网络（WAN）

不支持的客户端操作系统和版本触发此操作将被阻止。

注意：此选项为用户访问互联网提供权限。用户访问互联网取决于互联网防火墙中的规则。

该操作还包括选项以终止活跃的WAN会话。当用户之前在一个规则下被允许WAN访问，而后由于条件变化，现在仅匹配允许互联网访问的规则时适用此选项。在这种情况下，您可以选择是否终止用户现有的WAN会话。

例如，用户基于他们的信任等级被授予WAN访问权限。如果该条件后来变化，比如令牌过期，用户将不再被允许访问WAN。此设置决定他们当前的WAN会话是否被断开。
阻止WAN和互联网： 用户被阻止访问互联网和WAN

当用户达到此操作规则时，现有的WAN会话总是终止。

前提条件

Windows客户端v5.9及更高版本，或macOS客户端v5.10及更高版本
用户必须分配SDP许可证以获得安全的互联网访问
用户必须认证并至少拥有一次有效的令牌，才能执行信任等级

使用案例

使用案例 - 通过一次认证实现安全互联网访问

一家出版商有销售代表，他们远程工作，几乎不需要访问公司WAN。

公司为销售代表用户组创建这些规则：

在他们的常开策略中，他们确保客户端与任何远程工作者连接
在客户端连接策略中，他们允许低信任等级的用户访问互联网

当销售代表到达潜在客户时，他们可以在没有与Cato客户端交互的情况下安全连接到互联网。

使用案例 - 始终需要重新认证

银行对互联网安全有严格要求，需要始终确保用户在远程访问互联网和私有网络（WAN）时经过认证。

公司为所有远程用户创建这些规则：

在他们的常开策略中，以确保客户端始终连接
在客户端连接策略中，他们为具有高信任等级的用户提供对互联网和私有网络（WAN）的访问。

当用户远程连接时，必须先进行认证，然后才能访问互联网或私有网络（WAN）。

配置具有一次性认证的远程互联网安全性

按照以下步骤启用具有一次性认证的远程互联网安全性：

在您的始终在线策略中定义一条规则，以使客户端始终连接到Cato Cloud，保护用户和设备。
在您的客户端连接策略中定义一条规则，该规则根据用户的信任等级定义访问级别。
配置如何提示用户重新认证，以为您的用户提供最佳体验。

步骤 1: 应用常开策略以始终保护远程用户

始终在线策略通过定义用户或用户组始终连接到Cato Cloud的规则来增强互联网安全性。这确保了所有流量通过PoP，并且Cato安全引擎检查该流量以确保其遵循您的安全策略。

有关如何在您的常开策略中创建规则的更多信息，请参阅保护用户与 Always-On 安全性。

如果您在常开策略中已为相关用户组设定规则，则无需此步骤。

步骤 2: 配置客户端连接策略以基于信任等级提供访问

客户端连接策略通过确保设备或用户仅在遵循组织安全要求时进行连接，以此保护您的网络。

在客户端连接策略规则中包含信任等级和操作，可以让您根据用户和用户组的认证可靠性来定义可用的访问权限。

有关如何管理客户端连接策略中的网络访问的更多信息，请参阅配置客户端连接策略。

客户端连接策略规则只能应用于拥有SDP许可证的用户。

要配置基于信任等级的访问：

从导航菜单中，点击 访问 > 客户端连接策略。
点击新建。 新建规则 面板将打开。
配置规则的范围：
1. 定义 信任等级
2. 定义操作
点击应用然后点击保存。

注意

注意： 作为最佳实践，为任何用户或群组创建一个最终规则，其信任等级为任何，操作为 允许互联网访问。这为未匹配更高优先级规则的任何用户提供了安全的互联网访问。

步骤 3: 定义重新认证的用户体验

您可以选择客户端何时提示用户重新认证。例如：

如果用户仅需要安全的互联网访问而不需要定期访问您的专用网络 (WAN)，则无需通过重新认证提示来干扰他们。
如果用户总是需要访问您的专用网络 (WAN)，则可以在认证令牌过期前后接收重新认证提示，以确保其访问权限不会被阻止。

如果您将信任等级配置为任何或低，并执行操作 允许WAN和互联网访问，则令牌过期后不会提示用户重新认证，并且会授予用户过期令牌的全面权限。有关可用认证方法的更多信息，请参阅为 Cato 客户端配置认证策略。

要定义用户何时被提示重新认证：

从导航菜单中，点击 访问 > 用户身份验证。
点击 附加设置 标签页。
选择用户何时被提示重新认证。

注意： 您可以选择一个、两个或都不选。如果两个选项都未被选中，用户不会收到任何重新认证提示。
单击新建。

监控用户信任等级和网络访问

您可以随时从访问 > 用户页面监控用户的信任等级。用户的当前信任等级显示在SDPO用户活动选项卡中（该列可能隐藏）。

每当客户端连接策略允许用户连接时，也会创建一个事件。更多信息，请参阅配置客户端连接策略。

了解用户体验

客户端显示给用户的访问权限等级，基于其认证的可靠性。根据被允许的访问等级，安全私有访问和安全互联网访问会以勾选或感叹号表示。


如果客户端拥有访问私有网络 (WAN) 和互联网的权限	如果客户端只有访问互联网的权限：

高级配置

使用一次认证启用远程互联网安全性对其他功能有影响。

DNS配置

对于仅限互联网访问的用户，您的账户的内部 DNS 被忽略。

如果用户只有互联网访问，Cato互联网DNS（10.254.254.1）将用作他们的主DNS，辅助DNS是8.8.8.8。

注意： DNS转发规则仍默认应用。可以按用户或账户更改此行为。如需更多信息，请联系支持。

办公模式

您可以配置启用了始终强制功能的用户在客户端以办公模式连接时，需要进行Cato认证。更多信息，请参阅保护用户与 Always-On 安全性。

在客户端连接策略规则中配置为允许使用低信任等级 (Cato 身份验证令牌已过期) 访问互联网的用户无需在办公模式下进行认证。客户端连接策略的配置在办公模式下覆盖始终强制的配置。

预登录

预登录配置不受一次认证的远程互联网安全性配置影响。在用户认证前，流量按如下方式路由：

启用始终开启的客户端只允许连接到允许的目的地中定义的资源，互联网流量已被阻止。
没有启用始终开启的客户端可以连接到允许的目的地中定义的资源并访问不安全的互联网。

有关预登录的更多信息，请参见使用 Windows 预登录和 SDP 客户端。

技术详情

通过常开策略和客户端连接策略进行配置，可以启用远程互联网安全性和一次性认证。

在用户认证并且认证令牌有效后，所有流量通过Cato PoP并由Cato的安全引擎根据您的安全策略进行检查。

认证令牌过期后，您可以允许互联网流量继续通过Cato PoP。这提供了连续的安全互联网访问，即使用户未经过认证。对于安全的私有访问，用户仍需要重新认证以根据您的WAN防火墙策略获得访问权限。