添加设备条件以进行TLS检查

本文讨论如何为TLS检查策略添加设备条件,以便根据设备的实际状态进行细粒度检查。

TLS检查设备条件概览

TLS检查策略中的设备设置使您能够扩展范围以根据SDP用户的实际设备检查流量。 您可以指定TLS检查规则所适用设备的要求。 例如:

  • 仅检查基于地理位置的设备流量

  • 仅允许设备根据特定操作系统绕过TLS检查

默认情况下,设备设置不影响TLS检查策略,因为它们设置为任何任何人,并自动匹配所有流量。

先决条件

  • 设备检查支持Windows和macOS客户端。 有关每项检查要求的更多信息,请参阅创建设备姿态配置文件和设备检查

  • 在您可以为规则的设备设置添加设备配置文件之前:

    • 您必须创建和配置设备配置文件

  • 已知限制——使用设备配置文件的规则仅在用户通过Cato客户端连接时应用(即使他们位于Socket后面)

配置设备设置

您可以添加到TLS检查规则中的设备设置条件如下:

  • 平台 - 设备操作系统(OS)

  • 国家 - 基于设备物理位置的连接来源国家(根据IP地址地理位置)

  • 配置文件 - 设备配置文件(配置在资源 > 设备姿态)

  • 连接来源 - 设备的地理位置(远程或在站点后面)

当您为规则配置多个条件时,它们具有与关系,只有流量符合所有项目中定义的标准时,规则才匹配。

在一个条件(单个单元格)内,项目具有或关系。 例如,具有平台条件的规则WindowsmacOS,可以匹配所有Windows或macOS设备。

这是一个示例,规则要求流量必须满足以下所有设备条件:Windows设备,位于印度,满足示例设备配置文件的要求。

FW_Device_Conditions.png

添加平台要求

TLS检查规则的平台条件允许您定义与规则匹配的设备操作系统。 例如,在特定网络段中,仅允许检查Windows、macOS或Linux设备的流量。

添加国家要求

国家条件允许您根据设备的IP地理位置定义与规则匹配的流量来源。 例如,对于一个分支机构站点,允许iOS和Android移动设备绕过TLS检查。

添加设备配置文件要求

配置文件条件允许您将规则限制为仅匹配符合设备配置文件要求的设备。 此条件基于设备姿态功能,检查设备是否满足姿态要求。

注意

注意: 对于使用办公模式(或隧道中的隧道)连接的设备,TLS检查引擎不适用设备姿态配置文件。 这意味着对于检查规则,即使设备不符合设备姿态配置文件的要求,使用办公模式的设备也不会被检查。

使用不支持的Cato客户端的设备配置文件

TLS检查引擎只能确定支持的客户端是否与设备配置文件匹配。 对于每个设备检查,您可以为符合规则中其他要求的不支持客户端定义行为:

  • 跳过设备检查 - 对不支持的客户端应用TLS检查操作

  • 应用设备检查 - 只有当客户端匹配规则时才应用操作

下表说明了当连接匹配规则的所有其他设置时对于不支持客户端的行为。 行为取决于在设备检查中是否启用或清除(禁用)跳过不支持的SDP客户端版本的此检查选项。

不支持的客户端

TLS检查规则操作

客户端行为

跳过检查(已启用)

检查

不支持的客户端自动跳过设备检查,并检查流量

绕过

不支持的客户端自动跳过设备检查并绕过TLS检查

应用检查(已禁用)

检查

不支持的客户端未能匹配设备检查,TLS检查引擎跳过此规则(不检查流量)

绕过

不支持的客户端未能匹配设备检查,TLS检查引擎跳过此规则(不绕过检查)

添加连接来源要求

连接来源条件允许您定义与规则匹配的地理位置设备。 例如,允许在站点后访问敏感信息,但在远程工作时不允许。

在规则中配置设备条件

您可以在新建或现有的TLS检查规则中配置设备设置。

要为规则配置设备条件:

  1. 从导航菜单中,点击安全 > TLS检查

  2. 点击 新建 以创建一个新建规则,或点击编辑图标 edit.png 在现有规则的 设备 列中。

  3. 设备 部分中,配置 平台国家设备姿态配置文件连接源 以匹配此规则。

  4. 点击 应用

    为规则配置了 设备 条件。

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论