安装Cato Client

Cato 客户端是专有软件,可以将 Cato 的网络和安全功能扩展到任何位置的远程用户。 本文列出了安装客户端的先决条件,并解释了如何安装客户端。

概览

Cato 客户端可以识别和验证用户,执行网络规则,并根据安全策略检查远程流量。 为确保您的用户受益于这些功能,必须在其设备上安装 Cato 客户端。 在任何设备上安装客户端之前,应确保满足先决条件,并将所需的进程和 URL 添加到您的安全软件的允许列表中。 然后,您可以下载客户端并将其安装在单个设备上,或使用 MDM 分发。

在设备上安装客户端后,您可以配置功能和策略以满足您的要求。 用户可以认证并安全连接到您的网络。 有关客户端连接过程的更多信息,请参见理解 Cato 客户端连接流程

安装 Cato 客户端的先决条件

在设备上安装客户端之前,请确保满足以下先决条件:

  • 在运行支持的操作系统的设备上安装客户端。

  • 在安装Cato 客户端之前应禁用IP 路由,并在安装完成后启用。
  • Cato CA 证书已安装在设备或计算机上

    • 对于 Windows 客户端,Cato 证书会自动添加到 Windows 证书存储中,并支持 Chrome 和 Edge 浏览器

      您可以为其他浏览器(例如 Firefox)手动安装 Cato 证书,或使用 MDM 通过浏览器安装它。请参见在 Windows 设备上安装 Cato 证书

    • 对于使用 MDM 的组织的 macOS 客户端,Cato 证书会自动作为 CA 密钥链的一部分安装

      否则,SDP 用户手动安装 Cato 证书。 有关更多信息,请参见在 macOS 设备上安装 Cato 证书

    • 对于 iOS 和 Android 客户端,SDP 用户手动安装客户端或使用 MDM 与客户端一起安装证书。 有关更多信息,请参见在 iOS 设备上安装 Cato 证书在 Android 设备上安装 Cato 证书

    • Cato 证书和客户端安装文件可从:

  • 互联网浏览器要求:

    • 使用支持 SSL 的互联网浏览器(例如 Chrome 或 Edge)

    • 对于外部认证,请确保在设备的 OS 设置中配置了默认浏览器

  • 未使用 PPPoE 连接。 PPPoE不支持

  • 对于iOS、Android和Linux客户端,我们建议禁用所有物理适配器上的IPv6

    • IPv6支持最后一英里连接,适用于Windows Client v5.11及更高版本和macOS Client v5.7及更高版本

  • 确保Cato Cloud的PoP的IP地址被列入任何防火墙或类似设备的允许名单中

    有关PoP IP范围的列表,请参见:生产PoP指南

  • 客户端使用加密套件与Cato Cloud建立一个DTLS握手。 确保设备使用Cato支持的加密套件之一

  • 在Windows设备上,IP转发被禁用。 有关更多信息,请参见IP路由阻止Windows客户端身份验证

  • 在macOS设备上,设备上没有其他企业VPN运行

  • 如果在您的账户中使用了带宽管理,我们建议IP地址10.254.254.1至少与您添加的任何其他地址具有相同的优先级

  • 要接收用户通知,设备上必须启用通知。 有关更多信息,请参见创建数据控制策略管理应用程序控制策略

  • 查看客户端版本的已知限制。 有关更多信息,请参见Cato客户端版本说明

Cato客户端的进程和URL允许列表

我们建议您根据指定的操作系统为所有安全端点软件和解决方案允许以下进程和URL。

  • 所有设备

    • vpn.catonetworks.net

    • vpn.us1.catonetworks.com

    • c-me.catonetworks.net

    • v-me.catonetworks.net

    • sso.catonetworks.com

    • sso.via.catonetworks.com

    • auth.catonetworks.com

    • auth.us1.catonetworks.com

    • sso.ias.catonetworks.com

    • localhost - 127.0.0.1 (用于SSO令牌)

    • client-telemetry.main.prod.k8s.catonet.works

    • https://sso.catonetworks.com/login

    • https://sso.via.catonetworks.com/auth_results

    • https://auth.catonetworks.com/oauth1/broker/code/onelogin

    • https://auth.us1.catonetworks.com/oauth1/broker/code/onelogin

    • https://sso.ias.catonetworks.com/auth_results (适用于使用Windows Client v5.1及更高版本的新SDP用户)

    • https://clients.catonetworks.com/

    • https://ip2location.catonetworks.com/pub/getMyLocation

    • https://tunnel-api.catonetworks.com

    • ipv4only.arpa

    • PoP位置IP范围,更多信息请参见PoP生产指南

  • Windows操作系统

    • CatoClient.exe

    • winvpnclient.cli.exe

    • login.microsoftonline.com

    • CatoUpgradeHelper.exe

    • CatoLogCollector.exe

    • LogLevelSetup.exe

    • CatoClient.exe.config

    • wa_3rd_party_host_32.exe

    • wa_3rd_party_host_64.exe

    • 对于使用第三方代理(超文本传输协议和 HTTPS)的账户:

        • IP - 85.255.31.1

        • URL - sso.ias.catonetworks.com

      注意

      注意:此项仅在使用内嵌浏览器时需要。

    • https://network-segmentation.catonetworks.com

    • msftconnecttest.com

  • macOS

    • 对于使用第三方代理(超文本传输协议和 HTTPS)的账户:

      • IP - 85.255.31.1

      • URL - sso.ias.catonetworks.com

      • appleiphonecell.com

    • 对于在设备上安装了CrowdStrike的帐户:

      • /Applications/CatoClient.app/Contents/MacOS/CatoClient

      • /Library/SystemExtensions/*/com.catonetworks.mac.CatoClient.CatoClientSysExtension.systemextension/Contents/MacOS/com.catonetworks.mac.CatoClient.CatoClientSysExtension

        注意: 用该文件位置的一部分的唯一扩展ID替换“*”

    • 为了强制门户检测:

      • 1.1.1.1

最低支持的设备操作系统

下表列出了支持 Cato 客户端的每个设备的最低操作系统(OS)版本:

客户端设备

最低支持的操作系统

Windows

  • Windows 11

  • 客户端版本5.9及以下 - Windows 8.1 32位和64位 - 仅在安装了所有最新更新和补丁时支持。 (2023 年 11 月 1 日后不再支持)

  • 客户端版本5.10及以上 - Windows 10 32位和64位

  • Windows Server 2019,2016,和 2022

macOS

  • 客户端版本5.6及以下 - macOS (Big Sur) 软件版本11

  • 客户端版本5.7及以上 - macOS (Monterey) 软件版本12

    我们不建议在运行客户端版本 5.7 及以下的设备上安装 macOS Sequoia(版本 15)。 更多信息,请参见Cato macOS客户端发布摘要中的已知限制部分。

iOS

iPhone 6及以上,iOS 15.0

iPadOS

iPadOS 15.0

Android(v5.0及以上)

Android版本8.1

Linux

支持64位操作系统(X86_64)的Linux客户端

(每个Ubuntu操作系统版本都有不同的客户端)

  • Ubuntu v18及以上

  • CentOS v9及以上

  • Fedora v36及以上

  • Debian v11及更高版本

  • Mint v20.3及更高版本

  • RHEL 9.0

  • 任何运行glibc 2.31及更高版本的系统

注意

注意: 客户端不支持供应商已宣布停止维护的操作系统。

安装Cato客户端

客户端可以安装在任何支持的设备上。 有关故障排除信息,请参见Cato客户端问题故障排除场景

安装Windows客户端

Windows客户端可以从客户端下载门户下载,并根据安装向导安装到各个设备。 您还可以从客户端推出页面下载客户端,并通过MDM分发客户端。 有关详细信息,请参阅下载 Cato 客户端

注意

注意: Cato 客户端使用 Windows 位置服务来识别网络上的各种项目,例如,WiFi 网络名称。 如果您不想向 Cato 提供此信息,请使用 这些 指南更改位置服务的设置。

使用以下选项之一安装Windows客户端:

  • 从文件资源管理器中运行EXE

  • 使用命令行运行EXE文件:<setup_file.exe>

    • 在低于5.5版本的Windows客户端中,要进行静默安装,请使用命令行:<setup_file.exe> /s /x /v"/qn"

    • 在Windows客户端版本5.5及以上中,要进行静默安装,请使用命令行:<setup_file.exe> /s

  • 使用命令行运行MSI文件:msiexec /i <setup_file.msi>

    • MSI安装需要安装MS .NET框架版本4.6.2或更高版本

    • 以管理员身份运行MSI命令行

    注意::不支持/j

在安装向导中,可以为客户端创建桌面快捷方式。 您可以使用命令行阻止用户选择此选项:

msiexec /i <setup_file.msi>CATO_FORCE_DISABLE_DESKTOP_SHORTCUT=1 /qn

在初始安装后自动启动Windows客户端 (客户端v5.6及以上)

为了方便用户在其新设备上进行认证,您可以定义 Windows注册表项,以在初始安装后自动打开客户端。 之后,客户端会根据您的账户设置进行操作。

更改注册表后,客户端会自动为下一个登录设备的Windows用户打开。

要配置 Windows 注册表以自动启动客户端:

  1. 进入注册表的此位置:HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN

  2. 定义此值:

    • LaunchAuthPageOnStartup=1 (DWORD)

安装 macOS 客户端

可以从客户端下载门户下载 macOS 客户端,并通过安装向导安装在各个设备上。 您还可以从客户端推出页面下载客户端,并通过MDM分发客户端。 有关详细信息,请参阅下载 Cato 客户端

要安装 macOS 客户端,请从 Finder 运行 pkg 文件。

安装 Linux 客户端

有关安装Linux客户端的更多信息,请参阅安装和运行Linux客户端

安装 iOS 和 Android 客户端

可以从相关应用商店下载 iOS 和 Android 客户端,并安装在各个设备上或通过 MDM 进行分发。

理解安装客户端后的下一步操作

客户端安装在设备上后,您可以配置功能和策略以满足您的安全远程访问要求。 在 Cato 管理应用程序中配置的功能由客户端执行。 这让您可以轻松管理和执行您的要求并确保网络的保护。

了解客户端的关键功能和策略

以下是我们建议您启用的一些关键功能。 有关所有客户端功能的更多信息,请参阅访问文档

  • 用户意识: 识别随时登录设备的用户,以控制用户访问并监控用户活动

  • 客户端连接策略: 在设备连接到网络之前检查其状态

  • 始终在线策略 确保所有流量始终通过Cato Cloud,并由Cato安全引擎检查流量以确保符合您的安全策略

分析客户端事件

您查看并分析来自远程用户仪表板的通过客户端连接的用户数据。

这篇文章有帮助吗?

7 人中有 3 人觉得有帮助

0 条评论