配置账户的TLS检查策略

本文讨论如何配置和定制TLS检查策略以满足您网络的特定要求。

Cato TLS 检查策略的概览

如今大多数网络流量是加密的（TLS，HTTPS），这通常会减小使用入侵防护系统、互联网防火墙、应用控制策略和反恶意软件流量进行扫描的益处。如果流量包含恶意内容，它也是加密的，Cato安全引擎无法检查或扫描。

当您为账户启用TLS检查时，Cato安全地解密通过网络接入点的流量，Cato安全引擎检查恶意软件并扫描下载的文件。如果流量的内容被确认安全，Cato会重新加密流量并将其转发到目的地。然而，如果内容实际或疑似包含恶意软件，Cato安全引擎将阻止该流量。

您可以选择使用默认的Cato策略来检查所有流量。您也可以创建特定的TLS检查规则，定义哪些流量需被检查，哪些流量绕过TLS检查。

注意

注意：默认情况下，以下操作系统绕过TLS检查：

Android（由于与证书固定相关的问题）
Linux
未知操作系统

应用程序的 Cato 默认绕过规则

Cato包含在隐式绕过规则中的多个应用程序被自动排除在TLS检查之外。 For a list of these applications, see below Default Bypass Rules.

TLS 检查的延迟

Some minimal latency is expected at the initial connection due to the TCP and TLS handshakes that occur before data can flow to the appropriate network or security engine in the PoP. 此延迟每个数据包最多为10毫秒。

使用有序的 TLS 检查规则库

TLS检查引擎按顺序检查连接，并检查连接是否符合规则。规则库中的最终规则是默认的隐式任何-任何检查规则，因此如果连接不符合某条规则，则其会被自动检查。

您可以在规则库末尾的默认规则部分查看默认规则设置。除了不受信任的服务器证书操作，规则设置无法编辑。 For more about the Untrusted Server Certificate action, see below Adding Rules to Customize the TLS Inspection Policy.

规则库顶部的规则具有更高的优先级，因为它们在应用于较低规则之前应用于连接。例如，如果一个连接符合规则#2，该规则的操作将应用于此连接，并且TLS检查引擎将停止将策略应用于此连接。这意味着规则#3及以下的规则不适用于此连接。

策略修订和多个管理员的并行编辑

TLS 检查策略允许不同的管理员并行编辑该策略。每位管理员可以编辑规则并将更改保存到他们自己的私有修订版，然后发布到帐户策略（已发布的修订版）。有关如何管理策略修订的更多信息，请参阅政策修订的工作。

了解TLS检查策略

使用TLS检查策略页面来配置您账户中所有流量的TLS检查策略。

处理多个项目

当在源字段或什么字段中存在多个项目时，例如两个组或类别，则这些项目之间是“或”关系。

在终端用户设备上安装Cato根证书

必须将Cato根证书安装为每个连接到Cato Cloud的设备和计算机的可信证书。 For more information about installing the Cato certificate, see Installing the Root Certificate for TLS Inspection.

Cato证书无法安装在大多数嵌入式操作系统（OS）上，因此使用嵌入式操作系统的许多设备在启用TLS检查时会失去连接性。 For more about which OS Cato supports for TLS Inspection, see Best Practices for TLS Inspection.

实施TLS版本和密码套件

默认情况下，允许所有TLS版本和密码套件。为了阻止过时和不安全的TLS版本或防止使用弱密码套件在加密流量中的使用，TLS检查策略可以对您账户中的流量强制执行最低TLS协议版本和密码套件强度。

密码套件配置选项划分为三个级别，基于Mozilla的推荐设置。某些TLS版本与特定级别不兼容。有关更多信息及各级密码套件列表，请参阅Mozilla文档。

Blocking QUIC and GQUIC Traffic for TLS Inspection

QUIC和GQUIC是由Google开发的传输协议，不在TCP连接上操作，使用这些协议的流量无法被TLS检查服务检查。因此，我们建议启用TLS检查的账户使用互联网防火墙规则来阻止QUIC和GQUIC流量。这些规则会强制流量仅使用可以被TLS检查服务检查的协议连接。如果您允许使用QUIC和GQUIC协议的流量，该流量无法被检查，并且会被不必要地阻止。

您第一次启用TLS检查策略时，阻止QUIC和GQUIC流量的规则会自动添加到互联网防火墙策略中。如果互联网防火墙策略已经阻止QUIC流量以便正确检查，则不会添加新规则。

For more about QUIC and GQUIC traffic, see Internet and WAN Firewall Policies – Best Practices.

Configuring the TLS Inspection Policy

配置TLS检查策略时，您可以启用默认Cato TLS检查策略或通过添加您自己的规则来自定义该策略。

Using the Default TLS Inspection Policy

默认的Cato TLS检查策略检查所有流量（自动绕过的应用程序除外）。您可以通过启用TLS检查来使用默认策略，而无需为策略添加任何规则。

存在一个最终隐性规则，该规则与所有流量匹配，并执行检查操作。

若要使用默认的Cato TLS检查策略：

从导航菜单中，点击安全性 > TLS检查。
点击启用TLS检查滑块。
点击保存。使用默认策略启用TLS检查。

Adding Rules to Customize the TLS Inspection Policy

您可以自定义TLS检查策略，以便根据组织需要仅检查特定流量类型。向策略添加检查和绕过操作的规则，以定义哪些流量被解密和检查。

Create rules with the Inspect action to define the traffic that the Cato Cloud inspects for suspicious and malicious content.
创建具有绕过操作的规则，以排除Cato TLS检查引擎的特定流量。例如，您可以为RingCentral应用程序添加绕过规则，以排除RingCentral流量的TLS检查。

创建规则时，使用来源和内容来定义TLS流量的范围，使用操作来配置规则是检查还是绕过流量。确保绕过规则具有更高优先级（接近规则库顶部），以便匹配相同流量的检查规则。匹配TLS检查绕过规则的流量也会被反恶意软件引擎排除在安全扫描之外。

配置具有检查操作的规则时，还必须定义规则处理不受信任服务器证书的行为。

这是此设置的选项：

允许 - 允许到具有不受信任证书的网站的流量，并进行检查（这是默认设置）。
提示 - 向用户显示提示，要求他们确认是否要继续并访问具有不受信任证书的网站。如果用户继续访问网站，则流量会被检查
阻止 - 阻止到具有不受信任证书的网站的流量

Note

注意：对于使用证书固定来防止TLS检查的应用程序，将它们添加到绕过规则中，以便最终用户可以正常使用。

若要向TLS检查策略添加规则：

从导航菜单中，点击安全性 > TLS检查。
点击新建。
输入名称来指定规则。
使用启用切换按钮启用或禁用规则。

启用时，开关呈绿色。
配置此规则的规则顺序。
展开来源并选择源类型。
- 选择类型（例如：主机，网络接口，IP，任意）。默认值是任意。
- 如有需要，从该类型的下拉列表中选择特定对象。
在标准部分中，配置匹配此规则所需的平台、国家、设备状态配置文件和连接来源。

For more about Device Conditions, see Adding Device Conditions for TLS Inspection.
定义规则适用的目的地。例如，服务、应用程序、自定义或预定义类别。
选择最低的TLS版本和密码套件。

注意：某些TLS版本与密码套件级别不兼容。有关更多信息，请参阅实施TLS版本和密码套件
通过选择检查或绕过来配置操作。
- 如果选择检查，请从不受信任的服务器证书下拉菜单中选择对具有问题证书的流量的操作：允许，阻止或提示。默认值是允许。
点击应用。
点击保存。 TLS检查规则已保存在规则库中。

Default Bypass Rules

Cato管理默认的TLS检查规则，这些规则绕过可能导致问题的特定应用程序、操作系统和客户端。这些规则位于规则库的顶部，无法编辑。为了帮助您计划和做出TLS检查策略的决策，您可以在默认绕过规则部分查看这些规则的设置。