在Cato云中测试TLS检查

启用和部署TLS检查概览

根据谷歌,超过 70% 的所有网页在 2019 年通过超文本传输协议安全 (HTTPS) 提供服务。 超文本传输协议(HTTP)是网页浏览器和网页服务器用于交换数据的协议,而HTTPS末尾的“S”表示数据通过传输层安全(TLS)加密。 TLS在提供数据隐私和机密性方面非常出色,这就是为什么它在互联网上被广泛采用的原因。

不幸的是,这种隐私和机密性的保证不仅仅适用于合法流量。 恶意软件和威胁可以像在HTTP站点上一样隐匿在HTTPS站点上。 随着HTTPS的普及,安全研究人员在HTTPS网站上发现越来越多的恶意软件威胁并不令人惊讶。 更糟的是,HTTPS使得防病毒和入侵防护系统(IPS)引擎效率降低,因为它们无法扫描TLS加密流量中的威胁。

当启用TLS检查时,Cato网络接入点(PoP)在网页浏览器和网页服务器之间充当中间人:

  1. PoP为其接收到的客户端或服务器的TLS流量解密。

  2. PoP使用反恶意软件和入侵防护系统(IPS)引擎扫描解密后的流量。

  3. PoP再次加密流量。

  4. PoP将加密的数据包发送到目的地。

TLS检查结合反恶意软件和入侵防御系统(IPS)保护您的网络免受加密和未加密恶意威胁的影响。 如果您在没有TLS检查的情况下使用威胁防护,您的网络将容易受到来自加密源的攻击。 因此,如果您正在使用反恶意软件或入侵防御系统(IPS),我们强烈建议您启用TLS检查。

本指南将引导您逐步部署TLS检查。 首先为少数用户启用TLS检查,查看其效果。 然后,您可以为整个账户启用此功能。

有关 Cato 证书的更多信息,请参阅安装 TLS 检查的根证书

测试TLS检查

为一小组用户启用TLS检查可进行测试,并在为所有终端用户推出此功能之前,检测证书安装或网站兼容性方面的任何问题。 您的测试范围可以像网站一样大,也可以像单台计算机一样小。 您可以选择在以下项目上启用TLS检查:

  • 站点

  • 站点内的网络

  • VPN用户

  • 单个计算机(主机)

  • 上述选项的任意组合

为测试用户启用TLS检查

应在您的组织使用的每台设备和操作系统上进行测试。 测试用户应执行正常的业务活动,并向网络或系统管理员报告所有异常,以便进一步调查。

启用TLS检查时,开箱即用的策略是默认检查所有HTTPS流量。 要仅对特定用户进行测试,首先需要配置一个绕过规则,将来源定义为任何。 然后创建一个优先级更高的检查规则,并将测试用户添加到来源字段。 这是一个用于测试特定用户的TLS检查策略示例:

TLS_Inspection_Test_User_Rules.png

有关为测试用户启用 TLS 检查策略的更多信息,请参阅配置账户的 TLS 检查策略

我如何知道Cato的TLS检查是否对某个网站有效?

如果一个站点通过TLS加密,现代浏览器将在URL栏中显示一个挂锁图标。 点击挂锁图标可以显示一个选项,让您查看证书详细信息,包括根证书颁发机构。 当您看到Cato Networks及其后续的PoP名称作为证书发行人或验证者时,TLS检查已激活。

HTTPS_padlock.png

有关安装根 CA 的更多信息,请参阅验证 Cato 根 CA 证书

在Chrome上测试TLS检查

  1. 单击挂锁图标,然后点击证书

    360002921818-image-14.png
  2. 检查“发行人”字段。

    360002841817-image-15.png

在Firefox上测试TLS检查

  1. 点击挂锁图标,然后点击连接旁边的>按钮。

    360002921998-image-16.png
  2. 检查“验证者”字段。

    360002921978-image-17.png

绕过TLS检查中的流量

在测试过程中,您可能会发现某些网站或应用程序在启用TLS检查时无法正常工作。 您可以通过在TLS检查策略中创建一个具有绕过动作的新规则,以排除目标域名、IP地址,甚至是完整的网址类别。 您可能需要出于以下原因之一将网站添加到受信任的目的地:

  • 证书绑定:服务器指示客户端检查其从服务器收到的公钥与提供的真实公钥哈希的匹配情况。 由于由TLS检查使用的中间人方法导致从PoP发送到客户端的公钥与哈希不匹配,因此该措施可以降低风险。

  • 客户端认证:网页服务器要求客户端使用客户端证书进行自我认证。 因为PoP没有客户端证书,所以TLS检查失败。

全球启用TLS检查

在测试用户发现的所有问题得到解决后,为所有用户启用TLS检查。

这篇文章有帮助吗?

7 人中有 7 人觉得有帮助

0 条评论