配置客户端连接策略

本文介绍如何在您的 Cato 帐户中实施和执行零信任网络访问 (ZTNA) 时配置客户端连接策略的规则。

有关更多信息,请参阅客户端连接策略是什么?.

概览

使用客户端连接策略来应用您的 ZTNA 策略的要求,Cato 客户端在设备上为用户执行的操作,例如:设备状态和检查、可信度级别、设备操作系统等。 如果设备未能遵守为配置文件设置的策略,那么用户不能连接到 Cato 云。

例如,您只能允许远程用户在符合设备状态策略时访问内部资源。 这可以提高您对连接到内部资源的设备的信任度。

您还可以使用客户端连接策略在一次性认证后为用户提供安全的远程互联网访问。 有关更多信息,请参见远程互联网安全与一次性认证

理解操作

操作定义了提供给用户的访问级别。 操作包括:

  • 允许 WAN 和互联网: 用户拥有安全的互联网访问权限并可以访问专用网络(WAN)

    注意

    注意: 此选项提供用户访问专用网络(WAN)的权限。 用户对专用网络(WAN)的访问取决于WAN 防火墙中的规则。

  • 仅允许互联网访问: 用户只拥有受保护的互联网访问权限,无法访问私有网络(WAN)

    注意

    注意: 此选项提供用户访问互联网的权限。 用户对互联网的访问取决于互联网防火墙中的规则。

    此操作还包括终止活跃 WAN 会话的选项。 该选项适用于远程用户先前在某个规则下被允许WAN访问,但其情况发生变化,现仅匹配允许互联网访问的规则时。 在这种情况下,您可以选择是否终止远程用户现有的WAN会话。

    例如,远程用户会根据置信度等级被授予WAN访问权。 如果该条件稍后发生变化,例如令牌到期,远程用户将不再被允许访问WAN。 此设置决定他们当前的 WAN 会话是否断开。 此选项不适用于办公室模式。 

  • 阻止 WAN 和互联网: 用户被阻止访问互联网和 WAN

    一旦用户符合此操作的规则,现有的 WAN 会话总是被终止。

先决条件

设备检查支持 Windows 和 macOS 客户端。 有关每项检查要求的更多信息,请参阅创建设备姿态配置文件和设备检查

准备实施客户端连接策略

策略的目标是只信任符合策略的设备。 因此,定义阻止所有不信任设备的规则,使其不被允许连接到网络。

在启用客户端连接策略之前,请确保您决定了如何对待不支持的客户端和操作系统用户的行为。 您是否希望允许这些用户连接到您的帐户? 例如,使用 Linux 客户端或 Windows 客户端 v4.7 及之前版本的用户。

支持的连接策略功能

  • 配置各种反恶意软件和端点防火墙供应商的检查,以确保已安装和运行相关软件以允许客户端远程访问。

  • 我们建议您不要在实时检查中启用始终在线连接,因为如果设备未能满足策略要求,客户端可能会突然断开与网络的连接。 这可能会为用户带来不好的用户体验。

    您可以在此处查看支持的厂商和版本的实时检查列表。

  • 连接性策略是一个有序策略,因此您可以将用户添加到多个配置文件或规则。 然而,第一个匹配规则将应用于用户。

办公室中的客户端连接策略和始终在线策略

本节讨论在站点后实施始终在线策略并要求远程用户在办公室内进行认证时使用客户端连接策略。 始终在线在办公室中需要认证设置会迫使客户端在允许用户连接之前遵守客户端连接策略。

  • 请记住,客户端连接策略需要允许这些用户连接到WAN或互联网,即使设备位于站点后面的办公室中。
  • 如果客户端进入绕过始终强制的模式,则对站点的WAN和互联网防火墙策略将应用于用户。 此策略可能与用户远程连接时强制执行的策略不同。

有关更多信息,请参阅使用Always-On安全性保护用户

配置客户端连接策略和设置

本节解释如何创建客户端连接策略并向每个规则添加一个或多个配置文件。

创建客户端连接策略

客户端连接策略是一个有序的规则库,每个规则适用的用户范围,包括:地理位置(国家)和设备操作系统。 当用户或组与规则匹配时,Cato 云将按以下方式管理连接:

  • 当他们符合规则的设备配置文件要求时,他们被允许连接到您的账户。
  • 如果他们不符合规则的设备配置文件要求,Cato Cloud将继续根据策略中的低优先级规则检查姿态。
  • 对于不符合任何规则的用户或组的设备,将由策略的最终隐含规则(ANY ANY阻止)阻止。

创建客户端连接策略的规则:

  1. 从导航菜单,点击访问 > 客户端连接策略

  2. 单击新建

    新建规则面板打开。

  3. 配置规则的范围:
    1. 定义用户/组信任等级平台公共ISP IP范围国家以便设置规则。

  4. 展开设备状态配置文件部分,并为此规则选择配置文件。

    如果单个策略规则中包含多个配置文件,那么它们之间存在隐含的 OR。

    注意: 选择任何设备状态配置文件表示规则中不包含设备状态配置文件。

  5. 为规则选择操作。 有关可用操作的更多信息,请参见远程网络安全与一次性认证
  6. 点击应用
  7. 在客户端连接策略中,为每条规则重复步骤2-5。

  8. 启用客户端连接策略,然后单击保存

    当规则启用时,滑块toggle.png为绿色,规则禁用时为灰色。

示例客户端连接策略

本节给出了一个客户端连接策略示例以及规则的应用方式。

ClientConnectivity Policy.png

  1. 规则 1 的范围是非洲和欧洲与 Windows 设备的研发组。

    • 当这些用户尝试连接到 Cato 云时,只有满足RnD Africa 配置文件RnD Europe 配置文件的要求时,才允许连接。

      否则,引擎会检查用户和设备以应用规则 2。

  2. 规则 2 的范围是未满足规则 1 的设备姿态配置文件要求的非洲和欧洲研发组。

    • 当这些用户尝试连接到Cato Cloud时,他们匹配了设备姿态配置文件Any,并被阻止。 他们无法连接到Cato Cloud。
    • 规则2不适用于不是非洲和欧洲RnD组成员的用户,这些用户继续执行规则3。

  3. 规则 3 的范围是任何拥有 Windows 设备的用户或用户组。

    当用户尝试连接到 Cato 云时,只有在满足样本配置文件的要求时,才允许连接到互联网而非 WAN。

    否则,用户将被最终隐式的任何任何阻止规则阻止。

设备姿态用户体验

当设备符合设备检查时,它们可以连接到 Cato 云,用户的体验是客户端显示已连接。 这与账户没有设备姿态策略时的用户体验相同。

当设备未能匹配设备检查时,客户端无法连接到 Cato 云,客户端会向用户显示错误消息。 如果设备在连接客户端后某个定期检查失败,客户端将断开连接并显示相同的错误消息。

这是错误消息的示例:

DevicePosture_ClientError.png

单击详情以显示设备未满足的具体要求。 还会生成一个事件,显示相同的详细信息。

不支持客户端版本的用户体验

当您为操作系统创建客户端连接策略时,我们强烈建议确保所有设备上安装的所有客户端都升级到最低支持的客户端版本。 对于不允许较早(不支持)客户端版本访问的规则,这是最终用户体验:

  • Windows操作系统 - 用户未显示任何消息,客户端会不断尝试连接到加密隧道。
  • macOS,iOS,Android和Linux - 用户会看到一条消息,说明此设备被阻止访问网络(例如,禁止从此操作系统连接)。

理解客户端连接策略的事件

Cato 管理应用程序会生成两种与客户端连接策略相关的事件:

  • 每当用户或用户组满足客户端连接策略规则的要求,并被允许连接到网络。
  • 每当用户或用户组未能满足客户端连接策略的要求而被阻止连接网络。

下表解释了一些允许操作事件的事件字段:

字段 说明
设备姿态配置文件 设备遵守的设备姿态配置文件名称。
规则 允许设备连接的客户端连接策略规则名称。
认证方法 用户用于认证到客户端的认证方法。

下表解释了阻止连接动作的不同连接事件及其被阻止的原因。

 

事件子类型

阻止原因

事件消息描述

客户端连接策略

设备未能通过设备检查

显示设备上安装的反恶意软件或防火墙的详细信息,以及设备检查的要求。

客户端连接策略

不支持的客户端

设备连接的客户端操作系统或版本不受支持,匹配规则不允许不支持的客户端连接。

客户端连接策略

设备未能匹配任何规则

设备未匹配客户端连接策略中任何规则的范围。 因此,连接被最终隐含规则阻止。

这篇文章有帮助吗?

5 人中有 4 人觉得有帮助

0 条评论