本文讨论如何配置您的始终在线策略,以提高账户中用户的互联网安全性。
始终在线策略通过定义用户或用户组何时始终连接到Cato Cloud的规则来增强互联网安全性。 这确保所有流量都经过PoP,并且Cato安全引擎检查流量以确保其符合您的安全策略。
公司ABC的网络由其自身的员工使用,这些员工可以访问公司资源,第三方承包商无法访问公司资源。 他们创建了一条规则,以为他们的员工启用始终在线,而第三方承包商能够直接访问互联网。 这确保了来自公司员工的所有流量都经过Cato Cloud,并受到安全策略的保护。
启用常开策略后,您仍然可以通过以下方式为用户提供直接访问互联网的权限:
-
使用临时绕过方法
-
创建具有按需连接状态的规则
-
允许在恢复模式下访问互联网
在某些情况下,用户可能需要临时绕过Cato Cloud,并直接访问互联网。 例如,临时访问被互联网防火墙规则阻止的网站。 对于每条规则,您可以配置用户如何临时绕过Cato Cloud。
在Windows v5.9及更高版本上,您还可以设置用户可以绕过Cato Cloud的时间长度。 在此期间,互联网流量不通过Cato Cloud,并且不安全。
当客户端临时断开连接时,会生成显示用户详细信息和客户端断开的时间长度的事件。 要查看这些事件,请在事件页面应用子类型VPN 从不关闭绕过的过滤器。 事件中的绕过方法显示了用于绕过客户端的方法。 有关您账户中事件的更多信息,请参见分析您的网络事件。
用户可以通过以下任一方式临时绕过Cato Cloud:
-
管理员控制的绕过与绕过代码
-
用户控制的绕过
注意
注意: 支持于 Windows, Android, iOS 客户端,以及 macOS 客户端 v5.4 及以上版本
使用此选项在 Cato 管理应用程序中生成一次性密码(OTP),您可以将其提供给任何用户,并让他们暂时断开客户端。 在低于5.9版本的Windows客户端和其他支持的操作系统中,客户端每次可绕过最多15分钟。 每个代码的有效期最长为15分钟。
此外,您可以使用认证应用程序(如 Google 认证器)扫描此屏幕中的 QR 码。 然后,您始终可以从认证应用程序中为用户获取 OTP。 认证应用程序每30秒刷新一次代码,因此每个代码只在30秒内有效。
只要代码仍然有效,您就可以为多个用户使用相同的绕过代码。
注意
注意: 支持自:
-
Windows 客户端 v5.9 及更高版本
-
macOS 客户端 v5.5 及更高版本
此选项允许用户根据请求暂时断开客户端。 在客户端中,用户必须在自由文本字段中提供断开客户端连接的原因。 然后可以立即直接访问互联网。 该原因将包含在事件中。
允许客户端断开连接的时间为在断开持续时间中配置的时间。
一家零售公司的工程团队负责确保他们网站的可用性达到100%,以接收在线订单。 这意味着他们始终需要访问解决问题所需的在线SaaS应用程序。 在非工作时间和远程工作时也需要访问该应用程序。 公司的安全政策规定,所有互联网访问都必须是安全的。
为了符合安全策略,IT 启用了常开。 作为预防措施, 为避免在潜在故障期间客户端无法连接到Cato云,IT团队为工程师提供了一种立即访问互联网的方法。 IT 团队为工程师用户组在他们的始终开启策略中创建了一条规则, 绕过模式的配置允许用户根据请求暂时断开连接。
如果工程师需要在半夜排查网站问题,IT团队可以确保即使客户端出现问题,他们也能访问故障排除SaaS应用程序。 工程师不需要等待IT的批准即可绕过Cato Cloud并开始排除网站问题。
注意
注意: 支持自:
-
Windows 客户端 v5.9 及更高版本
-
macOS 客户端 v5.5 及更高版本
您还可以选择在无法建立到Cato Cloud的连接的情况下客户端的行为。 可以将客户端配置为:
-
允许互联网访问(默认配置): 用户可以访问互联网。 流量不经过Cato Cloud,直到建立到Cato Cloud的连接之前是不安全的。
-
限制互联网访问: 直到建立到Cato云和安全互联网的连接之前, 用户无法访问互联网。
在启用Always-On策略之前,考虑Always-On如何与环境中的其他功能和客户端版本进行交互。 本节提供如何使用SSO、客户端连接性、设备认证以及Windows客户端与Always-On策略的建议。
对于使用Single Sign-On认证进行用户身份验证的账户,您还可以配置支持的Clients始终连接到Cato Cloud(Always-On)。 此配置为用户提供了SSO的简便性和Always-On的安全性。 客户端能够访问IdP提供商,其他资源的访问符合您的安全策略。
注意
注意:为了帮助无法认证到客户端的用户,我们建议您启用一种方法来绕过Cato Cloud并查看绕过事件。 否则,未经认证的设备无法连接到Internet或Cato Cloud)。
本节包含在您的账户中实施Always-On和SSO的最佳实践和建议。
-
从为少量用户启用Always-On和SSO开始以最小化对您的账户的影响
-
回顾绕过事件,以监控您组织中绕过代码的使用情况
-
由于未经认证的用户没有互联网连接,请确保用户可以在不依赖于互联网的情况下登录设备
-
确保所有客户端都更新到支持的最低版本的相关操作系统。 如果使用不支持版本的客户端,则客户端无法重新认证,且互联网流量被阻止。
-
对于使用第三方代理的部署,仅在客户端支持浏览器认证,支持始终开启和 SSO(有关浏览器认证的更多信息,请参见配置 Cato 客户端的认证策略)
您的客户端连接策略和设备认证设置适用于对用户设备的设备姿态和检查。 如果设备不符合为配置文件设置的策略,则用户无法连接到Cato Cloud。 您的客户端连接策略和设备认证设置优先于您的Always-On策略。
对于IT团队,向世界各地的用户交付或运送全新设备时,我们可以提供开箱即用的始终在线安全性。
从 Windows客户端 v5.6 开始,即使在用户认证到 Cato 之前,您也可以增强互联网安全性。 始终在线策略是开箱即用的,只有在用户认证到您的Cato帐户后才能进行互联网访问。
要启用此功能,只需在Windows设备上添加一个注册表项以启用始终在线功能即可。 一旦用户被添加到客户端,Cato管理应用程序中定义的始终在线设置将应用于该用户。
对于使用预登录功能的账户,设备只有在用户添加到客户端之前才能访问允许的目的地。 所有其他互联网访问都被阻止。
我们还建议添加注册表键,以便在启动时启动客户端。 有关更多信息,请参见安装 Cato 客户端。
注意
注意: 在用户被添加到客户端之前,无法绕过Cato云。
本节说明如何创建始终在线策略。
始终开启策略使您能够为需要始终连接到网络的客户端定义用户或用户组。
要创建始终在线策略:
-
在导航菜单中,单击访问 > 始终在线策略。
-
单击新建。
新规则面板打开。
-
输入名称并设置规则顺序。
-
定义用户 & 组和平台。
-
定义已连接状态、旁路模式、断开持续时间和恢复模式。
-
单击应用。
-
对始终在线策略中的每条规则重复步骤2-5。
-
启用始终在线策略,然后单击保存。
当规则已启用时,滑块
显示绿色,当规则已禁用时,显示灰色。
注意
注意: 支持开始于:
-
所有 Windows 客户端
-
Linux 客户端 v5.2 及以上
通过将客户端配置为在启动阶段自动连接,您可以为用户提供附加安全性的按需连接状态。 连接后,用户可以选择在需要时断开并重新连接客户端。 对于具有始终开启连接状态的用户,客户端会自动连接,无需此配置。
-
如果在 Cato Management Application 中选中了启动时连接或启动时最小化选项:
-
这将在您的环境中对所有客户端强制执行
-
用户无法从客户端禁用此设置
-
-
如果在 Cato Management Application 中未选中启动时连接或启动时最小化选项:
-
用户可以选择在客户端的设置选项卡中启用这些功能
-
注意: 启用启动时连接后,如果用户退出其 Windows 会话,客户端将连接到 Cato Cloud。 这是为了提供对域控制器的访问,以允许用户重新登录。
注意
注意: 支持自:
-
Windows 客户端 v5.8 及以上
-
Linux 客户端 v5.2 及以上
当用户在 Cato Socket 或 IPsec 站点后面连接时,客户端会自动以办公室模式连接到该站点。 有关办公室模式的更多信息,请参见配置办公室模式。
您可以配置是否要求启用始终开启的用户在客户端以办公室模式连接时对 Cato 进行身份验证。 此配置对安全策略没有影响。
旁路代码是一个 6 位数代码,输入到客户端中以允许用户暂时断开与 Cato Cloud 的连接。
根据Cato管理应用中配置的旁路模式,用户可以通过使用旁路代码或输入旁路原因暂时断开客户端的连接。
旁路代码由管理员生成并发送给用户以输入到客户端中。 输入有效代码后,客户端会暂时绕过加密通道,用户可以访问互联网。 Windows客户端低于 v5.9,macOS、iOS 和 Android 客户端可以暂时断开,最长15分钟。 Windows客户端v5.9及以上版本可以按照断开持续时间中配置的时间进行断开。
使用SSO或MFA进行身份验证的用户在重新连接时需要重新验证到Cato客户端。
要输入旁路代码:
-
在Windows客户端中,用户可以右键单击系统托盘中的客户端图标,然后选择临时旁路
-
在macOS客户端中,用户可以右键单击系统托盘中的客户端图标,然后选择临时断开连接
-
在iOS客户端中,在客户端主屏幕上选择旁路始终开启
-
在Android客户端中,从侧边菜单中选择临时旁路
0 条评论
请登录写评论。