配置账户的TLS检查策略

本文讨论如何配置和定制TLS检查策略以满足您网络的特定要求。

卡托TLS检查策略概览

今天，大部分网络流量都是加密的（TLS、超文本传输协议安全），这通常会降低使用IPS、互联网防火墙、应用控制策略和反恶意软件流量扫描的效果。如果流量中包含恶意内容，它也会被加密，Cato安全引擎将无法检查或扫描。

当您为您的账户启用TLS检查时，Cato会安全地解密通过PoP的流量，并由Cato安全引擎检查它以防恶意软件并扫描下载的文件。如果确认流量的内容是安全的，Cato 会重新加密流量并将其转发到目的地。然而，如果内容含有实际或可疑的恶意软件，那么 Cato 安全引擎将会阻止流量。

您可以选择使用默认的 Cato 策略来检查所有流量。您还可以创建特定的 TLS 检查规则，以定义哪些流量需要检查，哪些流量绕过 TLS 检查。

注意

注意： 默认情况下，这些操作系统绕过了 TLS 检查：

Android（由于与证书固定相关的问题）
Linux
未知操作系统

卡托应用程序的默认绕过规则

Cato 包括几种应用程序在隐式绕过规则中，自动排除 TLS 检查。有关这些应用程序的列表，请参见下文的默认绕过规则。

TLS检查的延迟

由于TCP和TLS握手在数据可以流向PoP中的合适网络或安全引擎之前发生，初始连接时预计会有一些小的延迟。这种延迟每个数据包最多为10毫秒。

使用有序的TLS检查规则库

TLS 检查引擎按顺序检查连接，并检查连接是否符合规则。规则库中的最后一条规则是默认的隐式任意检查规则，因此如果一个连接不符合规则，它将自动被检查。

您可以在规则库末尾的默认规则部分查看默认规则设置。除不受信任的服务器证书操作外，规则设置不可编辑。有关不受信任的服务器证书操作的更多信息，请参见下文自定义 TLS 检查策略规则添加。

规则库顶部的规则优先级更高，因为它们优于规则库底部的规则应用于连接。例如，如果一个连接符合规则#2，则执行此规则的操作，TLS 检查引擎将不再对此连接应用策略。这意味着规则#3及以下不会应用于连接。

访问权限策略修订与多个管理员并发编辑

TLS 检查策略允许不同的管理员并行编辑策略。每个管理员可以编辑规则并将更改保存到各自私有修订版中，然后将其发布到账户策略（已发布修订版）。有关如何管理策略修订的更多信息，请参阅Working with Policy Revisions。

使用 TLS 检查配置向导

TLS 检查配置向导自主审查您的策略，使用这些检查和见解。当检查未通过时，您可以直接在向导中查看和更新您的策略，而无需编辑单个规则。这有助于您在简化策略管理的同时保持安全。有关详细信息，请参阅使用配置向导。

理解TLS检查策略

使用TLS检查策略页面来配置您账户中所有流量的TLS检查策略。

处理多个项目

当在源字段或什么字段中存在多个项目时，例如两个组或类别，则这些项目之间是“或”关系。

在终端用户设备上安装Cato根证书

必须将Cato根证书安装为每个连接到Cato Cloud的设备和计算机的可信证书。有关安装 Cato 证书的更多信息，请参见安装用于 TLS 检查的根证书。

Cato证书无法安装在大多数嵌入式操作系统（OS）上，因此使用嵌入式操作系统的许多设备在启用TLS检查时会失去连接性。有关 Cato 支持哪些操作系统用于 TLS 检查的更多信息，请参见TLS 检查的最佳实践。

强制执行TLS版本和密码套件

默认情况下，允许所有TLS版本和密码套件。为了阻止过时和不安全的TLS版本或防止使用弱密码套件在加密流量中的使用，TLS检查策略可以对您账户中的流量强制执行最低TLS协议版本和密码套件强度。

密码套件配置选项划分为三个级别，基于Mozilla的推荐设置。某些TLS版本与特定级别不兼容。有关每个级别中的密码套件列表的更多信息，请参阅 Mozilla 文档。

阻止用于TLS检查的QUIC和GQUIC流量

QUIC和GQUIC是由Google开发的传输协议，不在TCP连接上操作，使用这些协议的流量无法被TLS检查服务检查。因此，我们建议启用TLS检查的账户使用互联网防火墙规则来阻止QUIC和GQUIC流量。这些规则会强制流量仅使用可以被TLS检查服务检查的协议连接。如果您允许使用QUIC和GQUIC协议的流量，该流量无法被检查，并且会被不必要地阻止。

您第一次启用TLS检查策略时，阻止QUIC和GQUIC流量的规则会自动添加到互联网防火墙策略中。如果互联网防火墙策略已经阻止QUIC流量以便正确检查，则不会添加新规则。

有关 QUIC 和 GQUIC 流量的更多信息，请参见互联网和 WAN 防火墙策略 - 最佳实践。

配置TLS检查策略

配置TLS检查策略时，您可以启用默认Cato TLS检查策略或通过添加您自己的规则来自定义该策略。

使用默认TLS检查策略

默认的Cato TLS检查策略检查所有流量（自动绕过的应用程序除外）。您可以通过启用TLS检查来使用默认策略，而无需为策略添加任何规则。

存在一个最终隐性规则，该规则与所有流量匹配，并执行检查操作。

若要使用默认的Cato TLS检查策略：

从导航菜单中，点击安全性 > TLS检查。
点击启用TLS检查滑块。
点击保存。使用默认策略启用TLS检查。

添加规则以定制TLS检查策略

您可以自定义TLS检查策略，以便根据组织需要仅检查特定流量类型。向策略添加检查和绕过操作的规则，以定义哪些流量被解密和检查。

Create rules with the Inspect action to define the traffic that the Cato Cloud inspects for suspicious and malicious content.
创建具有绕过操作的规则，以排除Cato TLS检查引擎的特定流量。例如，您可以为RingCentral应用程序添加绕过规则，以排除RingCentral流量的TLS检查。

创建规则时，使用来源和内容来定义TLS流量的范围，使用操作来配置规则是检查还是绕过流量。确保绕过规则具有更高优先级（接近规则库顶部），以便匹配相同流量的检查规则。匹配TLS检查绕过规则的流量也会被反恶意软件引擎排除在安全扫描之外。

配置具有检查操作的规则时，还必须定义规则处理不受信任服务器证书的行为。

这是此设置的选项：

允许 - 允许到具有不受信任证书的网站的流量，并进行检查（这是默认设置）。
提示 - 向用户显示提示，要求他们确认是否要继续并访问具有不受信任证书的网站。如果用户继续访问网站，则流量会被检查
阻止 - 阻止到具有不受信任证书的网站的流量

注意

注意：对于使用证书固定来防止TLS检查的应用程序，将它们添加到绕过规则中，以便最终用户可以正常使用。

若要向TLS检查策略添加规则：

从导航菜单中，点击安全性 > TLS检查。
点击新建。
输入名称来指定规则。
使用启用切换按钮启用或禁用规则。

启用时开关为绿色。
配置此规则的规则顺序。
展开来源并选择源类型。
- 选择类型（例如：主机，网络接口，IP，任意）。默认值是任意。
- 如有需要，从该类型的下拉列表中选择特定对象。
在标准部分中，配置匹配此规则所需的平台、国家、设备状态配置文件和连接来源。

有关设备条件的更多信息，请参见添加设备条件以进行 TLS 检查。
定义规则适用的目的地。例如，服务、应用程序、自定义或预定义类别。
选择最低的TLS版本和密码套件。

注意：某些TLS版本与密码套件级别不兼容。更多信息，请参阅实施 TLS 版本和密码套件
通过选择检查或绕过来配置操作。
- 如果选择检查，请从不受信任的服务器证书下拉菜单中选择对具有问题证书的流量的操作：允许，阻止或提示。默认值是允许。
点击应用。
点击保存。 TLS检查规则已保存在规则库中。

默认绕过规则

Cato管理默认TLS检查规则，以绕过可能引发问题的特定应用程序、操作系统和客户端类型。这些规则定位在规则库顶部，无法编辑。为了帮助您计划和决策TLS检查策略，您可以在默认绕过规则部分查看这些规则的设置。

如果“内容”字段中有多个项，例如应用程序和FQDN，则这些项之间存在“和”关系。