使用始终在线安全保护用户

本文讨论如何配置您的始终在线策略,以提高账户中用户的互联网安全性。

概览

始终在线策略通过定义用户或用户组何时始终连接到Cato Cloud的规则来增强互联网安全性。 这确保所有流量都经过网络接入点(PoP),并由Cato安全引擎检查流量以确保其符合您的安全策略。

使用案例 - 自定义始终强制策略以适用于员工和第三方承包商

公司ABC的网络由其自身的员工使用,这些员工可以访问公司资源,第三方承包商无法访问公司资源。 他们创建了一条规则,以为他们的员工启用始终在线,而第三方承包商能够直接访问互联网。 这确保公司员工的所有流量通过Cato云,并受到安全策略的保护。

使用案例 - 仅对托管设备启用始终强制策略

公司ABC在其所有托管设备上安装了Cato客户端,并允许员工在个人设备上安装客户端以便在必要时访问公司资源。 公司安全策略要求托管设备始终连接到网络。

IT团队创建一个设备姿态配置文件,使用设备检查来验证设备上是否安装了签名证书。

device-posture-managed.png

然后他们在常开策略中创建规则,只有符合证书设备状态配置文件的设备才要求始终开启。

always-on-managed.png

与有序始终在线的策略一起工作

始终在线策略是一个有序的规则库。 政策中的规则如下应用于用户或组:

  • 当他们遇到规则时,客户端将遵循规则中设置的配置
  • 如果他们不符合任何规则,他们可以从网络断开连接

始终在线策略的前提条件

  • 始终强制不支持在Linux客户端

始终在线托管设备

本部分描述了如何使用签名证书的设备检查仅对托管设备实施常开策略的配置流程。

  1. 准备设备以使用签名证书进行设备检查。

  2. 要根据安装的证书识别托管设备,请配置证书设备检查并将其分配到设备配置文件。 请参见创建设备姿态配置文件和设备检查

  3. 在常开策略中,创建新规则要求托管设备始终连接到网络:

    1. 用户/组 - 将用户组或用户分配给托管设备。
    2. 设备状态配置文件 - 选择您在步骤2中创建的设备配置文件。
    3. 已连接 - 选择 始终开启

  4. 复制步骤3中的规则,并将已连接设置更改为按需

    always-on-managed.png
  5. 发布常开策略。

使用始终在线策略提供互联网访问

启用常开策略后,您仍然可以为用户直接提供访问互联网的途径:

  • 使用临时绕过方法
  • 创建具有按需连接状态的规则
  • 允许在恢复模式下访问互联网

暂时绕过安全的互联网访问

在某些情况下,用户可能需要临时绕过Cato Cloud,并直接访问互联网。 例如,临时访问被互联网防火墙规则阻止的网站。 对于每条规则,您可以配置用户如何临时绕过Cato Cloud。

在Windows v5.9及更高版本上,您还可以设置用户可以绕过Cato Cloud的时间长度。 在此期间,互联网流量不通过Cato Cloud,并且不安全。

当客户端临时断开连接时,会生成显示用户详细信息和客户端断开的时间长度的事件。 要查看这些事件,请在事件页面应用子类型VPN 从不关闭绕过的过滤器。 事件中的绕过方法显示了用于绕过客户端的方法。 有关帐户中事件的更多信息,请参阅在您的网络中分析事件

用户可以通过以下任一方式临时绕过Cato Cloud:

  • 管理员控制的绕过与绕过代码
  • 用户控制的绕过

由管理员控制的绕过代码

注意

注意: 支持于 Windows, Android, iOS 客户端,以及 macOS 客户端 v5.4 及以上版本

使用此选项在 Cato 管理应用程序中生成一次性密码(OTP),您可以将其提供给任何用户,并让他们暂时断开客户端。 在低于5.9版本的Windows客户端和其他支持的操作系统中,客户端每次可绕过最多15分钟。 每个代码的有效期最长为15分钟。

此外,您可以使用认证应用程序(如 Google 认证器)扫描此屏幕中的 QR 码。 然后,您始终可以从认证应用程序中为用户获取 OTP。 认证应用程序每30秒刷新一次代码,因此每个代码只在30秒内有效。

只要代码仍然有效,您就可以为多个用户使用相同的绕过代码。

用户控制的绕过

注意

注意: 支持自:

此选项允许用户根据请求暂时断开客户端。 在客户端中,用户必须在自由文本字段中提供断开客户端连接的原因。 然后可以立即直接访问互联网。 该原因将包含在事件中。

允许客户端断开连接的时间为在断开持续时间中配置的时间。

使用案例 - 为特定团队预批准的互联网访问

一家零售公司的工程团队负责确保他们网站的可用性达到100%,以接收在线订单。 这意味着他们始终需要访问解决问题所需的在线SaaS应用程序。 在非工作时间和远程工作时也需要访问该应用程序。 公司的安全政策规定,所有互联网访问都必须是安全的。

为了符合安全策略,IT 启用了常开。 作为预防措施, 为避免在潜在故障期间客户端无法连接到Cato云,IT团队为工程师提供了一种立即访问互联网的方法。 IT 团队为工程师用户组在他们的始终开启策略中创建了一条规则, 绕过模式的配置允许用户根据请求暂时断开连接。

如果工程师需要在半夜排查网站问题,IT团队可以确保即使客户端出现问题,他们也能访问故障排除SaaS应用程序。 工程师不需要等待IT的批准即可绕过Cato Cloud并开始排除网站问题。

创建一个具有按需连接状态的规则

如果有用户经常需要直接访问互联网,您可以将他们添加到具有连接状态按需的规则中。 此配置允许用户根据需要连接或断开客户端。

客户端恢复模式

注意

注意: 支持自:

您还可以选择在无法建立到Cato Cloud的连接的情况下客户端的行为。 可以将客户端配置为:

  • 允许互联网访问(默认配置): 用户可以访问互联网。 流量不经过Cato Cloud,直到建立到Cato Cloud的连接之前是不安全的。
  • 限制互联网访问: 直到建立到Cato云和安全互联网的连接之前, 用户无法访问互联网。

使用案例 - 旅行时的互联网连接

公司ABC为所有用户启用了Always-On。 他们的高管经常旅行,并在机场和酒店连接到互联网。 有时客户端无法检测到强制门户,无法建立加密隧道。 为了确保C-suite可以在旅行时继续工作,IT团队在C-suite用户组的常开规则中配置了恢复模式以允许访问互联网。

如果客户端未检测到强制门户,高管用户仍然可以继续工作,因为客户端根据Always-On策略允许访问互联网。 一旦客户端重新建立隧道,流量将按预期通过Cato云传输。

准备实施始终在线策略

在启用Always-On策略之前,考虑Always-On如何与环境中的其他功能和客户端版本进行交互。 本节提供如何使用SSO、客户端连接性、设备认证以及Windows客户端与Always-On策略的建议。

使用始终强制策略和SSO

对于使用单点登录身份验证的账户,可以配置支持的客户端始终保持连接至Cato云(常开策略)。 此配置为用户提供了SSO的简便性和始终强制的安全性。 客户端可以访问IdP提供商,其他资源的访问依您的安全策略而定。

注意

注意:为了帮助无法认证到客户端的用户,我们建议您启用一种方法来绕过Cato Cloud并查看绕过事件。 否则,未经身份验证的设备无法连接到互联网或Cato云。

实施始终在线和SSO

本节包含在您的账户中实施Always-On和SSO的最佳实践和建议。

  • 从为少量用户启用Always-On和SSO开始以最小化对您的账户的影响
  • 回顾绕过事件,以监控您组织中绕过代码的使用情况
  • 由于未经认证的用户没有互联网连接,请确保用户可以在不依赖于互联网的情况下登录设备
  • 确保所有客户端都更新到支持的最低版本的相关操作系统。 如果使用不支持版本的客户端,则客户端无法重新认证,且互联网流量被阻止。
  • 对于使用第三方代理的部署,始终强制和SSO仅支持客户端内浏览器认证(有关浏览器认证的详细内容,请参阅配置Cato客户端的身份验证策略)。

使用客户端连接策略和设备认证进行始终在线

您的客户端连接策略设备认证设置用于检测设备的姿态和检查。 如果设备不符合为配置文件设置的策略,则用户无法连接到Cato Cloud。 您的客户端连接策略和设备认证设置优先于您的Always-On策略。

安装Windows客户端和始终在线

对于IT团队,向世界各地的用户交付或运送全新设备时,我们可以提供开箱即用的始终在线安全性。

从 Windows客户端 v5.6 开始,即使在用户认证到 Cato 之前,您也可以增强互联网安全性。 始终在线策略是开箱即用的,只有在用户认证到您的Cato帐户后才能进行互联网访问。

要启用此功能,只需在Windows设备上添加一个注册表项以启用始终在线功能即可。 一旦用户被添加到客户端,Cato管理应用程序中定义的始终在线设置将应用于该用户。

对于使用预登录功能的账户,在用户被添加到客户端之前,设备仅被允许访问允许的目的地。 所有其他互联网访问都被阻止。

我们还建议添加注册表键,以便在启动时启动客户端。 有关详细信息,请参阅安装Cato客户端

注意

注意: 在用户被添加到客户端之前,无法绕过Cato云。

要配置Windows注册表以强制启用始终在线:

  1. 进入注册表的此位置:HKEY_LOCAL_MACHINE\SOFTWARE\CatoNetworksVPN

  2. 定义此值:

    • InitialAlwaysOn=1 (DWORD)

配置始终在线策略

本节说明如何创建始终在线策略。

创建始终在线策略

始终开启策略使您能够为需要始终连接到网络的客户端定义用户或用户组。

Always-On_Policy.png

要创建始终在线策略:

  1. 在导航菜单中,单击访问 > 始终在线策略

  2. 单击新建

    新规则面板打开。

  3. 输入名称并设置规则顺序
  4. 定义用户 & 组平台

  5. 定义始终强制策略的已连接状态和旁路模式

    Bypass.png
  6. 对于SDP防篡改,决定在用户尝试进行更改时需要采取什么措施。 默认情况下,允许这些更改。 要防止用户进行更改,请选择启用
    有关详细信息,请参见使用Cato客户端防篡改

  7. 确定始终强制和防篡改停用的时间设置在断开连接 & 篡改持续时间

    每次绕过的计时器在输入代码后开始。 例如,持续时间设置为60分钟。 如果在12:30输入防篡改的绕过代码,定时器将开始,防篡改将在13:30再次启用。 在13:00输入常开策略的绕过代码,此代码将在14:00到期。

  8. 配置客户端在恢复模式下的工作方式。
  9. 单击应用
  10. 对始终在线策略中的每条规则重复步骤2-5。

  11. 启用始终在线策略,然后单击保存

    滑块enable.png在规则启用时为绿色,在规则禁用时为灰色。

配置默认设置

注意

注意: 支持开始于:

  • 所有 Windows 客户端
  • Linux 客户端 v5.2 及以上

通过将客户端配置为在启动阶段自动连接,您可以为用户提供附加安全性的按需连接状态。 连接后,用户可以选择在需要时断开并重新连接客户端。 对于具有始终开启连接状态的用户,客户端会自动连接,无需此配置。

  • 如果在 Cato Management Application 中选中了启动时连接启动时最小化选项:

    • 这将在您的环境中对所有客户端强制执行
    • 用户无法从客户端禁用此设置

  • 如果在 Cato Management Application 中未选中启动时连接启动时最小化选项:

    • 用户可以选择在客户端的设置选项卡中启用这些功能

注意: 启用启动时连接后,如果用户退出其 Windows 会话,客户端将连接到 Cato Cloud。 这是为了提供对域控制器的访问,以允许用户重新登录。

要配置客户端的默认设置:

  1. 从导航菜单中,点击访问 > 始终开启策略
  2. 打开 设置 选项卡。

  3. 启动时连接部分,为 Windows 客户端定义默认设置。

    Connect_On_boot.png
  4. 点击 保存
在Cato站点后执行身份验证

注意

注意: 支持自:

  • Windows 客户端 v5.8 及以上
  • Linux 客户端 v5.2 及以上

当用户在 Cato Socket 或 IPsec 站点后面连接时,客户端会自动以办公室模式连接到该站点。 有关办公模式的更多信息,请参阅配置办公模式

您可以配置是否要求启用始终开启的用户在客户端以办公室模式连接时对 Cato 进行身份验证。 此配置对安全策略没有影响。

Authentication_in_Office.jpg

要在 Cato 站点强制执行身份验证

  1. 从导航菜单中,点击访问 > 始终开启策略
  2. 打开 设置 选项卡。
  3. 办公室中强制始终开启部分,选择在办公室中要求身份验证
  4. 点击 保存

生成绕过代码

旁路代码是一个 6 位数代码,输入到客户端中以允许用户暂时断开与 Cato Cloud 的连接。

Always-On-Bypass-Code.png

要生成旁路代码:

  1. 从导航菜单中,点击访问 > 始终开启策略
  2. 打开 设置 选项卡。
  3. 展开 显示绕过代码显示用于认证应用的二维码 部分。
  4. 确定绕过代码的到期时间。 
    注意:支持从Windows客户端5.18和macOS客户端5.10.6
  5. 您现在可以将绕过代码或二维码发送给用户。

了解用户体验

生成防篡改绕过代码

防篡改绕过代码是一个6位数字代码,用户可以在Cato客户端中输入该代码以进行临时更改,如修改相关注册表条目等。

生成绕过代码:

  1. 在导航菜单中,单击访问 > 始终开启策略
  2. 打开设置选项卡。
  3. 展开显示反篡改绕过代码显示反篡改认证应用的二维码部分。 每个代码有效期为15分钟。
  4. 复制防篡改绕过代码或二维码并发送给用户。

根据Cato管理应用中配置的旁路模式,用户可以通过使用旁路代码或输入旁路原因暂时断开客户端的连接。

输入绕过代码

旁路代码由管理员生成并发送给用户以输入到客户端中。 输入有效代码后,客户端会暂时绕过加密通道,用户可以访问互联网。 Windows客户端低于 v5.9,macOS、iOS 和 Android 客户端可以暂时断开,最长15分钟。 Windows客户端v5.9及以上版本可以按照断开持续时间中配置的时间进行断开。

使用SSO或MFA进行身份验证的用户在重新连接时需要重新验证到Cato客户端。

注意

注意:绕过始终强制策略的配置不会影响防篡改保护。

Bypass_code.png

要输入旁路代码:

  • 在Windows客户端中,用户可以右键单击系统托盘中的客户端图标,然后选择临时旁路
  • 在macOS客户端中,用户可以右键单击系统托盘中的客户端图标,然后选择临时断开连接
  • 在iOS客户端中,在客户端主屏幕上选择旁路始终开启
  • 在Android客户端中,从侧边菜单中选择临时旁路

输入绕过原因

注意

注意: 支持自:

  • Windows客户端v5.9及更高版本
  • macOS客户端v5.5及更高版本

用户在提供原因后可以暂时断开客户端。 用户输入原因后,客户端会临时绕过 Cato 云,用户即可访问互联网。 客户端已根据Cato管理应用中的配置断开连接。

使用SSO或MFA进行身份验证的用户在重新连接时需要重新验证到Cato客户端。

Bypass_reason.png

要输入旁路原因:

  1. 在Windows客户端中,用户可以右键单击系统托盘中的客户端图标,并选择临时旁路
  2. 提供暂时断开客户端的原因。

  3. 点击输入

    客户端已断开。

输入防篡改绕过代码

注意

注意:支持的版本从Windows客户端v5.14及更高版本

在从管理员接收代码后,用户可以临时禁用客户端的防篡改保护。

注意

注意:禁用防篡改保护不会影响始终强制策略的配置。

要禁用防篡改保护:

  1. 在客户端中,点击设置

    默认情况下,绕过部分对用户隐藏。 要显示该字段,请使用键序列CTRL + SHIFT + O

  2. 联系管理员并在SDP篡改释放字段中输入他们接收的代码。

  3. 点击提交

    防篡改保护将被管理员配置的持续时间内禁用。

为特定用户自定义始终开启

您可以为单个用户定制始终开启策略。

要为特定用户配置始终开启策略:

  1. 在导航菜单中,点击访问 > 始终强制策略

  2. 单击新建

    新规则面板打开。

  3. 输入名称并设置规则顺序
  4. 用户&组部分,选择SDP用户
  5. 选择特定用户。
  6. 定义平台连接状态。
  7. 点击应用

  8. 启用始终在线策略,然后点击保存

    滑块enable.png在规则启用时为绿色,在规则禁用时为灰色。

这篇文章有帮助吗?

10 人中有 7 人觉得有帮助

0 条评论