配置账户的TLS检查策略

本文讨论如何配置和自定义TLS检查策略,以满足您网络的特定要求。

Cato TLS检查策略概述

如今,大多数网络流量是加密的(TLS, HTTPS),这通常会减少通过IPS、Internet防火墙、应用控制策略和反恶意软件流量扫描的优势。 如果流量包含恶意内容,也会被加密,Cato安全引擎不能检查或扫描。

当您为账户启用TLS检查时,Cato会安全地解密通过PoP的流量,并由Cato安全引擎检查以检测恶意软件并扫描下载的文件。 如果确认流量内容安全,Cato会重新加密流量并转发到目的地。 但是,如果内容包含实际或可疑恶意软件,Cato安全引擎将阻止该流量。

您可以选择使用默认的Cato策略来检查所有流量。 您还可以创建特定的TLS检查规则,定义哪些流量被检查,哪些流量绕过TLS检查。

tlsinspection.png

注意

注意: 默认情况下,以下操作系统将绕过TLS检查:

  • Android(由于与证书固定相关的问题)

  • Linux

  • 未知操作系统

Cato应用程序的默认绕过规则

Cato在隐式绕过规则中包含了几个应用程序,这些应用程序会被自动排除在TLS检查之外。 有关这些应用程序的列表,请参见下方的默认绕过规则

TLS检查的延迟

由于在数据流向PoP中的合适网络或安全引擎之前会发生TCP和TLS握手,预计在初始连接时会有一些延迟。 这种延迟每个数据包最多可达8毫秒。

使用有序的TLS检查规则库

TLS检查引擎按顺序检查连接,并查看连接是否匹配规则。 规则库中的最后一条规则是默认隐式ANY - ANY检验规则,因此如果连接不匹配任何规则,则会被自动检查。

您可以在规则库末尾的默认规则部分查看默认规则设置。 规则设置不能被编辑,除了不受信任的服务器证书操作。 有关不受信任服务器证书操作的更多信息,请参见下方的自定义TLS检查策略的添加规则

因为规则库顶部的规则优先级更高,因为它们在规则库较低位置的规则之前应用于连接。 例如,如果连接匹配到规则#2,则该规则的操作将应用到连接上,TLS检查引擎将停止对该连接应用策略。 这意味着规则#3及以下的规则不适用于该连接。

了解TLS检查规则的操作

TLS检查规则允许您对TLS流量使用检查或绕过操作。

使用检查TLS流量的规则

使用检查操作来定义TLS检查规则,这些规则解密连接,并允许相关的安全引擎检查流量是否存在恶意内容。

使用绕过TLS流量的规则

使用Bypass操作来定义绕过TLS检查规则的流量。 绕过的流量不会被Cato安全引擎解密以进行检查。 请记住,绕过规则仅排除未符合规则库中更高检查规则的连接。

您可以更改优先级的绕过规则,使其优先于检查规则。

配置TLS检查策略

使用TLS检查策略窗口来配置您账户中所有流量的TLS检查策略。 您可以选择使用检查所有流量的默认策略,也可以添加检查规则和绕过规则以创建自定义策略。

处理多个项目

来源什么字段中有多个项目(如两个组或类别)时,这些项目之间存在或关系。

multi-tlsrules.png

在终端用户设备上安装Cato根证书

每个连接到Cato Cloud的设备和计算机都必须将Cato根证书安装为可信证书。 有关安装Cato证书的更多信息,请参见安装TLS检查的根证书

  • Cato证书无法安装在大多数嵌入式操作系统 (OS) 上,因此启用TLS检查时,许多使用嵌入式操作系统的设备会失去连接。 有关Cato支持的TLS检查操作系统的更多信息,请参见TLS检查的最佳实践

阻止TLS检查的QUIC和GQUIC流量

QUIC和GQUIC是由Google开发的传输协议,不在TCP连接上工作,使用这些协议的流量无法被TLS检查服务检查。 因此我们建议启用TLS检查功能的账户使用互联网防火墙规则来阻止QUIC和GQUIC流量。 阻止此流量的规则强制传输只使用TLS检查服务可检查的协议连接。 如果您允许使用QUIC和GQUIC协议的流量,流量将无法被检查并被不必要地阻止。

首次启用TLS检查策略时,阻止QUIC和GQUIC流量的规则会自动添加到互联网防火墙策略中。 如果互联网防火墙策略已经阻止了QUIC流量以便正确检查,则不会添加新规则。

有关QUIC和GQUIC流量的更多信息,请参见互联网和WAN防火墙策略–最佳实践

使用默认的TLS检查策略

默认的Cato TLS检查策略会检查所有流量(自动绕过的应用除外)。 启用TLS检查即可使用默认策略,无需向策略添加任何规则。

有一个最终的隐含规则,它匹配所有流量并使用检查动作。

要使用默认的Cato TLS检查策略:

  1. 从导航菜单中,点击安全 > TLS检查

  2. 点击启用TLS检查滑块。

  3. 点击保存。 使用默认策略启用TLS检查。

添加规则以自定义TLS检查策略

您可以自定义TLS检查策略,以根据您组织的需求仅检查特定的流量类型。 在策略中添加检查绕过操作的规则,以定义解密和检查的流量。

  • 使用检查操作创建规则,以定义Cato Cloud检查的可疑和恶意内容流量。

  • 使用绕过操作创建规则,以将特定流量排除在Cato TLS检查引擎之外。 例如,您可以为RingCentral应用程序添加绕过规则,以将RingCentral流量排除在TLS检查之外。

创建规则时,使用来源是什么来定义TLS流量的范围,并使用动作来配置规则检查或绕过流量。 确保绕过规则的优先级要高于(更靠近规则库的顶部)与同一流量匹配的检查规则。 与TLS检查绕过规则匹配的流量也会被反恶意引擎排除在安全扫描之外。

当您使用检查动作配置规则时,还必须定义规则如何处理不受信任的服务器证书的行为。

TLSi_Untrusted_Cert_New.png

这是此设置的选项:

  • 允许 - 允许到具有不受信任证书的网站,并检查流量(这是默认设置)。

  • 提示 - 向用户显示提示,要求他们确认是否要继续并访问具有不受信任证书的网站。 如果用户继续访问该网站,流量将被检查

  • 阻止 - 到具有不受信任证书的网站的流量被阻止

注意

注意: 对于使用证书钉住来防止TLS检查的应用程序,请将它们添加到绕过规则中,以便最终用户能够正常使用。

要向TLS检查策略添加规则:

  1. 在导航菜单中,点击安全性 > TLS检查

  2. 点击新建

  3. 输入规则的名称

  4. 使用启用开关来启用或禁用规则。

    启用时,开关为绿色toggle.png

  5. 为该规则配置规则顺序

  6. 展开来源并选择来源类型。

    • 选择类型(例如:主机,网络接口,IP,任何)。 默认值为任何

    • 如有需要,从下拉列表中选择该类型的特定对象。

  7. 设备部分,配置平台国家设备姿势配置文件连接来源,以匹配此规则所需的条件。

    有关设备条件的更多信息,请参见为TLS检查添加设备条件

  8. 定义规则适用的内容。 例如,一项服务、一个应用程序、自定义或预定义的类别。

  9. 通过选择检查绕过来配置动作

    • 如果选择检查,从不受信任的服务器证书下拉菜单中,选择对于存在问题证书的流量的操作:允许阻止提示。 默认值是允许

  10. 点击应用

  11. 点击保存。 TLS检查规则已保存到规则库中。

管理TLS检查策略

本节说明如何管理TLS检查策略中的规则,包括:更改规则优先级、启用和删除规则。

更改规则优先级

更改规则的优先级,以确定规则动作何时应用于匹配的连接。 规则按顺序应用于每个连接,一旦某个连接匹配规则,较低优先级的规则将不再应用于该连接。

启用和禁用TLS检查规则

使用滑块在TLS检查策略中启用和禁用单个规则。

删除规则

您可以从TLS检查规则库中删除一个或多个规则。 删除规则后,无法撤销或恢复它们。

默认绕过规则

Cato 管理默认 TLS 检查规则,这些规则会绕过可能导致问题的特定应用、操作系统和客户端。 这些规则位于规则库的顶部,无法编辑。 为了帮助您规划和决策 TLS 检查策略,您可以在默认绕过规则部分查看这些规则的设置。

TLSi_Default_Bypass_Rules.png

这篇文章有帮助吗?

6 人中有 6 人觉得有帮助

0 条评论