共享主机的用户感知

该主题提供有关配置共享主机用户感知的信息。

概述

通用ZTNA(UZTNA)通过其全球SASE平台为私有应用程序、SaaS和互联网资源提供基于身份的最小权限访问。 它应用一致的用户到应用程序分段、实时威胁预防和设备状态检查,使用户能够在移动、分支和云环境中安全访问。

User_Awareness_-__Shared_Hosts.png

通过共享主机的用户感知,Cato让您识别和跟踪从单个设备连接的多个用户,例如Windows终端服务器、Citrix环境或Azure虚拟桌面(AVD)。 用户从他们的设备连接到共享设备,然后可以根据您的组织策略通过共享设备访问资源。

用户感知提供关键的用户活动可视性,使更细粒度的策略执行,改善安全审计,增强威胁检测。 它确保即使在多个用户共享同一主机的环境中,访问控制和监控仍然有效。

注意事项

注意:

  • Cato建议您为所有用户安装Cato客户端,以获得用户意识、设备姿态和体验监控功能的益处。
  • 此功能需要Windows客户端v5.15或更高版本

信息流

用户从他们的设备连接到位于站点后面的共享主机(Socket、vSocket等),例如通过RDP会话。 每个用户连接到共享主机时都会被标记为特定用户的密钥。 当流量从共享主机通过GRE隧道发送到Cato云时,密钥与用户身份匹配,流量根据应用于用户或用户组的策略进行检查和监控。 例如,研发用户可能被授予访问存储库,但无法访问Salesforce,而销售工程师将被授予访问Salesforce,但无法访问存储库。

默认情况下,流量使用默认GRE IP协议47发送。 对于无法发送GRE流量的网络(例如,Microsoft Azure)或由于安全或其他限制不希望发送GRE流量的网络,可以在UDP内封装GRE流量。 可以通过注册表键启用,如下所述。 一旦启用,所有流量都将封装在UDP中并通过端口4754发送。

注意事项

注意:流量将从客户端发送到Cato系统范围,默认情况下为10.254.254.0/24,以终止GRE隧道。 因此,必须将此目的地路由到托管客户端的网络中的Socket。

对于您不希望发送到Cato云的流量,例如到DNS服务器,您可以配置例外,以便它不通过GRE隧道。 这让您可以将本地流量保留在LAN中,而无须出外到PoP。

配置共享主机的用户感知

要启用共享主机的用户感知,您需要执行以下操作:

  1. 配置哪些流量通过共享主机发送,哪些不发送
  2. 在共享主机上安装Cato客户端

配置到共享主机的流量

您可以配置哪些共享主机可以通过GRE隧道与Cato云通信,以及需要排除的流量。 例如,互联网流量应通过GRE隧道发送,但DNS流量应排除。

shared-host-newRule.png

配置到共享主机的流量

  1. 导航到访问 > 用户意识并点击共享主机标签页
  2. 单击新建 > 新建规则

    1. IP地址字段中,选择要应用规则的主机或CIDR。

      不支持IP范围,例如10.10.10.5-10.10.10.10。

    2. 为不应通过GRE隧道发送的流量定义路由例外,例如到DNS服务器或Active Directory。
  3. 点击保存发布以传播变更

在共享主机上安装Cato客户端

您需要在共享主机上安装Cato客户端以启用GRE隧道。

shared-hosts.png

支持以下操作系统:

  • Windows Server 2019及更高版本
  • 对于Azure虚拟桌面,Windows 10或Windows 11

安装Cato客户端

  1. 按照说明安装Cato客户端

  2. 通过命令行安装并运行:

    .\<setup_file.exe>/props="CATO_INSTALL_UATS=1"

  3. 对于Azure虚拟桌面Windows 10或Windows 11,安装完成后:

    1. 在Windows注册表中,导航到HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN
    2. 创建DWORD GREOverUDP并将值设置为1
  4. 在相同的Windows注册表位置中,验证安装已成功,确保已创建GREMode注册表并将值设置为1。

这篇文章有帮助吗?

7 人中有 6 人觉得有帮助

0 条评论