本文讨论如何配置和自定义TLS检查策略,以满足您网络的特定要求。
如今,大多数网络流量是加密的(TLS, HTTPS),这通常会减少通过IPS、Internet防火墙、应用控制策略和反恶意软件流量扫描的优势。 如果流量包含恶意内容,也会被加密,Cato安全引擎不能检查或扫描。
当您为账户启用TLS检查时,Cato会安全地解密通过PoP的流量,并由Cato安全引擎检查以检测恶意软件并扫描下载的文件。 如果确认流量内容安全,Cato会重新加密流量并转发到目的地。 但是,如果内容包含实际或可疑恶意软件,Cato安全引擎将阻止该流量。
您可以选择使用默认的Cato策略来检查所有流量。 您还可以创建特定的TLS检查规则,定义哪些流量被检查,哪些流量绕过TLS检查。
注意
注意: 默认情况下,以下操作系统将绕过TLS检查:
-
Android(由于与证书固定相关的问题)
-
Linux
-
未知操作系统
Cato在隐式绕过规则中包含了几个应用程序,这些应用程序会被自动排除在TLS检查之外。 有关这些应用程序的列表,请参见下方的默认绕过规则。
TLS检查引擎按顺序检查连接,并查看连接是否匹配规则。 规则库中的最后一条规则是默认隐式ANY - ANY检验规则,因此如果连接不匹配任何规则,则会被自动检查。
您可以在规则库末尾的默认规则部分查看默认规则设置。 规则设置不能被编辑,除了不受信任的服务器证书操作。 有关不受信任服务器证书操作的更多信息,请参见下方的自定义TLS检查策略的添加规则。
因为规则库顶部的规则优先级更高,因为它们在规则库较低位置的规则之前应用于连接。 例如,如果连接匹配到规则#2,则该规则的操作将应用到连接上,TLS检查引擎将停止对该连接应用策略。 这意味着规则#3及以下的规则不适用于该连接。
TLS检查规则允许您对TLS流量使用检查或绕过操作。
使用Bypass操作来定义绕过TLS检查规则的流量。 绕过的流量不会被Cato安全引擎解密以进行检查。 请记住,绕过规则仅排除未符合规则库中更高检查规则的连接。
您可以更改优先级的绕过规则,使其优先于检查规则。
使用TLS检查策略窗口来配置您账户中所有流量的TLS检查策略。 您可以选择使用检查所有流量的默认策略,也可以添加检查规则和绕过规则以创建自定义策略。
处理多个项目
当来源或什么字段中有多个项目(如两个组或类别)时,这些项目之间存在或关系。
在终端用户设备上安装Cato根证书
每个连接到Cato Cloud的设备和计算机都必须将Cato根证书安装为可信证书。 有关安装Cato证书的更多信息,请参见安装TLS检查的根证书。
-
Cato证书无法安装在大多数嵌入式操作系统 (OS) 上,因此启用TLS检查时,许多使用嵌入式操作系统的设备会失去连接。 有关Cato支持的TLS检查操作系统的更多信息,请参见TLS检查的最佳实践。
QUIC和GQUIC是由Google开发的传输协议,不在TCP连接上工作,使用这些协议的流量无法被TLS检查服务检查。 因此我们建议启用TLS检查功能的账户使用互联网防火墙规则来阻止QUIC和GQUIC流量。 阻止此流量的规则强制传输只使用TLS检查服务可检查的协议连接。 如果您允许使用QUIC和GQUIC协议的流量,流量将无法被检查并被不必要地阻止。
首次启用TLS检查策略时,阻止QUIC和GQUIC流量的规则会自动添加到互联网防火墙策略中。 如果互联网防火墙策略已经阻止了QUIC流量以便正确检查,则不会添加新规则。
有关QUIC和GQUIC流量的更多信息,请参见互联网和WAN防火墙策略–最佳实践。
默认的Cato TLS检查策略会检查所有流量(自动绕过的应用除外)。 启用TLS检查即可使用默认策略,无需向策略添加任何规则。
有一个最终的隐含规则,它匹配所有流量并使用检查动作。
您可以自定义TLS检查策略,以根据您组织的需求仅检查特定的流量类型。 在策略中添加检查和绕过操作的规则,以定义解密和检查的流量。
-
使用检查操作创建规则,以定义Cato Cloud检查的可疑和恶意内容流量。
-
使用绕过操作创建规则,以将特定流量排除在Cato TLS检查引擎之外。 例如,您可以为RingCentral应用程序添加绕过规则,以将RingCentral流量排除在TLS检查之外。
创建规则时,使用来源和是什么来定义TLS流量的范围,并使用动作来配置规则检查或绕过流量。 确保绕过规则的优先级要高于(更靠近规则库的顶部)与同一流量匹配的检查规则。 与TLS检查绕过规则匹配的流量也会被反恶意引擎排除在安全扫描之外。
当您使用检查动作配置规则时,还必须定义规则如何处理不受信任的服务器证书的行为。
这是此设置的选项:
-
允许 - 允许到具有不受信任证书的网站,并检查流量(这是默认设置)。
-
提示 - 向用户显示提示,要求他们确认是否要继续并访问具有不受信任证书的网站。 如果用户继续访问该网站,流量将被检查
-
阻止 - 到具有不受信任证书的网站的流量被阻止
注意
注意: 对于使用证书钉住来防止TLS检查的应用程序,请将它们添加到绕过规则中,以便最终用户能够正常使用。
要向TLS检查策略添加规则:
-
在导航菜单中,点击安全性 > TLS检查。
-
点击新建。
-
输入规则的名称。
-
使用启用开关来启用或禁用规则。
启用时,开关为绿色
。
-
为该规则配置规则顺序。
-
展开来源并选择来源类型。
-
选择类型(例如:主机,网络接口,IP,任何)。 默认值为任何。
-
如有需要,从下拉列表中选择该类型的特定对象。
-
-
在设备部分,配置平台、国家、设备姿势配置文件和连接来源,以匹配此规则所需的条件。
有关设备条件的更多信息,请参见为TLS检查添加设备条件。
-
定义规则适用的内容。 例如,一项服务、一个应用程序、自定义或预定义的类别。
-
通过选择检查或绕过来配置动作。
-
如果选择检查,从不受信任的服务器证书下拉菜单中,选择对于存在问题证书的流量的操作:允许、阻止或提示。 默认值是允许。
-
-
点击应用。
-
点击保存。 TLS检查规则已保存到规则库中。
Cato 管理默认 TLS 检查规则,这些规则会绕过可能导致问题的特定应用、操作系统和客户端。 这些规则位于规则库的顶部,无法编辑。 为了帮助您规划和决策 TLS 检查策略,您可以在默认绕过规则部分查看这些规则的设置。
0 条评论
请登录写评论。