本文解释了如何通过拆分隧道策略集中管理Cato客户端流量路由规则。
Cato 客户端通过建立到 Cato 云的 DTLS 隧道来保护用户流量。 分流策略控制哪些流量通过此安全隧道发送,以及哪些流量绕过并直接通过本地网络接口路由。 该访问权限策略支持灵活的路由行为的集中管理。
通过 Cato 云路由的流量受益于完整的安全检查和执行,并在 Cato 骨干网上进行路径优化。 但是,可能存在需要自适应路由的情况,例如,为优化实时媒体服务的性能或与第三方供应商并行运行。
规则根据多个标准进行匹配,包括用户身份、地理位置、操作系统和来源网络。 您可以定义包含或基于例外的规则。 例如:
- 身份 - 有选择地将路由规则应用于特定用户或用户组
- 设备 - 选择路由规则应用到的操作系统和国家
- 来源网络 - 根据已管理或未管理网络路由流量
路由配置支持的内容:
-
用户流量:
- 将所有流量转发到 Cato 云,针对内部应用程序或供应商托管资源进行特定排除
- 仅作为替换传统 VPN 解决方案的一部分进行选定流量的路由
- 仅通过Cato云路由网页流量,同时允许其他流量本地出口
-
DNS流量:
- 支持由本地 DNS 服务器为指定域名进行 DNS解析
- 支持本地 DNS 解析,以防止第三方 VPN 需要的域名发生 DNS 冲突
这种控制水平让您可以优化安全覆盖范围,同时尽量减少延迟,并保留对可信资源的直接访问。
以下功能目前仅适用于Windows客户端v5.16及以上版本
-
DNS排除
-
确保在本地防火墙中允许以下项目访问:
- IP地址127.0.0.253
- Cato Networks DNS服务
- DNS中继进程,dns-relay.exe
-
-
仅限网页路由
- 确保Cato客户端在系统代理自动配置(PAC)文件上具有写入权限
拆分隧道策略允许不同的管理员同时编辑策略。 每个管理员可以编辑规则并将更改保存到他们自己的私有修订版中,然后将其发布到账户策略中(已发布修订版)。 有关如何管理访问权限策略修订的详细信息,请参阅Working with Policy Revisions。
ABC公司为其用户配备了始终开启功能的Cato客户端。 这意味着即便在办公室内,用户也能通过其第三方供应商保持连接。 作为管理员,您确信用户在办公室内,针对内部应用程序的流量由第三方供应商保护,并从Cato云中排除。 所有其他流量都发送到Cato云以确保安全。
您在分流策略中配置两个规则以实施此行为:
- 规则1用于从任何管理网络后面发起的用户流量,适用于所有端口和协议。 排除的DNS和目的地已经定义。 这将流量排除在路由到Cato云之外。
- 规则2用于从任何未管理网络后面发起的用户流量,适用于所有端口和协议。 没有排除,该流量将路由到Cato云。
分流策略是一个有序规则库,会顺序检查是否符合某个规则,一旦规则匹配,较低优先级的规则将被忽略。 当用户满足某一规则时,将应用基于该规则的流量路由设置。 如果不满足任何规则,流量将通过Cato Cloud路由,并允许LAN访问。
要包括作为分流策略设置例外的IP范围,请将IP范围添加到全局IP范围实体。
这是您可以为分流策略中的规则定义的设置:
- 常规设置(例如:名称、描述)。
- 规则适用对象(用户和群组、平台、国家和来源网络)。
- 规则适用流量的范围,例如所有流量或仅网页
- 该范围流量的路由策略。
本节解释如何在分流策略中配置一个基础规则。 假设您希望将几乎所有流量路由至Cato云。
有关分流策略规则自定义的信息,请参阅
要配置分流策略:
- 从导航菜单中,点击访问 > 分流策略。
-
点击新建。
新建分流策略规则面板开启。
-
配置以下常规设置:
- 名称
- 描述
- 位置
确保启用规则以应用
-
定义规则适用的对象,包括:
- 用户和用户组
- 平台
- 国家
-
在配置下,配置以下内容:
- 在选择连接模式部分,选择要包含在此规则的流量范围。
-
在路由策略下,确定如何路由该范围。 包括以下选项
-
将所有流量路由到 Cato:流量通过Cato云进行路由。 您可以定义直接路由到互联网的例外。
注意:如果您阻止出站LAN访问,则此选项仅从Windows客户端v5.6及更高版本支持。
- 仅选定路由到Cato:流量直接访问互联网并绕过Cato云。 您可以定义通过 Cato 云进行路由的例外。 阻止出站LAN访问与此选项冲突,不可选择。
- 终端用户定义:用户可以上传文本文件到客户端,以配置哪些流量通过Cato云路由,哪些流量排除在Cato云之外。 阻止出站LAN访问不能与此选项一起选择。
-
- 在目的地排除下,配置路由策略不适用于的应用或IP范围
-
确定是否允许或阻止LAN访问
为避免具有相同IP地址的子网之间的流量路由冲突,在发生冲突时,您可以阻止出站LAN访问。 使用此选项,所有流量都路由到 Cato 云,提供增强的安全性。 客户端已阻止连接到远程用户家庭网络中的局域网主机。
- 点击应用。
- 为分流策略中的每个规则重复步骤2-5。
-
启用 分流策略 然后点击 保存。
启用规则时滑块为绿色,禁用时为灰色。
创建分流隧道规则时,可以根据来源网络确定不同的路由策略,即是否已管理或未管理。
当流量位于未管理网络时,它将始终先通过Cato。 对于管理网络上的流量,可以确定流量是否通过Cato路由或直接到达目的地。
注意: 必须启用并配置已管理网络以相应地应用规则。
要自定义来源网络:
- 在导航菜单中,单击访问 > 分流策略。
- 创建一个新规则并在步骤2-4中配置设置,详见上方。
-
在来源网络部分,确定此规则是否适用于:
- 所有网络
- 所有未管理网络
- 所有管理网络
- 在步骤5-7中定义连接模式、路由策略和排除的目的地
创建分流规则时,您可以确定路由策略,以便所有流量都路由到Cato以获得额外的安全优势,除特定流量外。 例如,不需要检查流向本地DNS服务器的流量。
注意:创建具有排除项的规则时,必须明确指定操作系统为Windows
以下程序概述如何配置规则以发送您的所有流量到Cato,同时排除本地DNS流量。
注意:您可以在此规则中应用来源网络的自定义设置。
要自定义从Cato云中排除的流量:
- 在导航菜单中,单击访问 > 分流策略。
- 创建一个新规则并在步骤2-4中配置设置,详见上方。
- 在配置部分的选择连接模式下,选择所有端口和协议。
- 在路由访问权限策略下,选择上传全部到Cato。
-
在定义路由例外部分的DNS例外下,输入由本地DNS服务器解析的域名。
到这些域名的流量将直接上传到目的地,不经过Cato
- 点击应用,然后点击保存。
当创建分流隧道规则时,您可以确定路由访问权限策略,以便只有特定流量上传到Cato进行检查。 例如,当您的网络流量大部分上传到第三方解决方案时,但您希望通过Cato将特定流量路由到远程数据中心。
注意:当创建带有例外的规则时,必须明确指定操作系统为Windows
以下过程概述了如何配置规则,以便仅将特定流量目的地发送到Cato云,其他流量则路由到您的第三方解决方案。
注意:您还可以在此规则中应用定制到来源网络。
Microsoft Defender 的“隔离”功能要求您直接将流量发送到 Windows Defender Cloud 的 IP 地址。 默认情况下,Cato 客户端通过 Cato 网络适配器发送流量。 然而,Microsoft Defender 期望流量来自 Microsoft Defender 适配器,这会导致 Microsoft Defender 和 Windows Defender Cloud 之间的通信失败。
要配置 Microsoft Defender 与 Cato 客户端一起工作,请在分流策略中定义一个规则以将流量发送到Microsoft Defender 地址。
您可以让用户在客户端中配置分流隧道设置。 用户可以上传文件,其中的IP范围包括或排除在隧道中。
注意: 此选项不建议用于生产环境,仅应在不需要集中策略控制的特殊情况下使用。
要在客户端中定义分流隧道设置的IP范围:
-
创建一个文本文件,其中包含将在加密隧道中路由或排除的IP地址。
您可以在文本文件中配置以下规则:
-
包括:流量通过加密隧道路由到IP范围。 其他所有流量直接路由到互联网。 在文本文件中,添加要通过加密隧道路由的IP地址和子网掩码列表,如下所示:
/评论 包括 <IP>,<子网掩码> <IP>,<子网掩码>例如:
/分流隧道 包括 198.51.100.0,255.255.255.255 -
排除:流量直接通过互联网路由到IP范围。 其他所有流量通过加密隧道路由。 在文本文件中,添加要直接路由到互联网的IP地址和子网掩码列表,如下所示:
;评论 排除 <IP>,<子网掩码> <IP>,<子网掩码>例如:
/分流隧道 排除 198.51.100.0,255.255.255.255
您可以使用斜线(/)或分号(;)作为评论。
-
-
在 Windows 客户端上,在 设置 屏幕上,点击 上传文件 并上传文本文件。
在 macOS 客户端上,在 设置 屏幕上,选择 已启用分流隧道。
-
在 Windows 客户端上,在 设置 屏幕上,选择启用分流隧道。
在 macOS 客户端上,点击 上传分流隧道配置 并上传文本文件。
0 条评论
请登录写评论。