配置RBI服务以用于浏览会话

本文解释了如何配置远程浏览器隔离(RBI)服务以保护免受基于网络的威胁。

概览

远程浏览器隔离保护设备免受以网页为目标的威胁和可能嵌入到互联网网站和服务中的恶意内容的侵害。 RBI作为一个隔离的Cato服务运行,模拟用户的浏览活动,然后将模拟的流量传输到用户设备。 这可以确保所有在浏览器中的代码都在远程执行,从而保护设备免受恶意软件威胁,并且不会在设备上执行。

对于RBI服务无法模拟流量的情况,您可以配置一种回退操作,该操作决定如何处理流量。 例如,如果您暂时禁用远程浏览器隔离服务,或者该服务暂时无法访问。

有关远程浏览器隔离服务的更多信息,请参阅通过远程浏览器隔离(RBI)确保浏览会话的安全

注意: 远程浏览器隔离功能对于位于中国的Cato PoP不可用。 这些PoP将始终为相关流量应用回退操作

了解RBI配置文件

您可以使用细化的配置文件自定义RBI会话的安全设置,从而配置不同的浏览隔离设置。 这些定义了用户在站点上可以执行的操作。 例如,您可以阻止用户在网络表单中键入或粘贴文本,防止他们泄露凭据和其他敏感数据。

每个RBI配置文件包含:

允许或阻止的操作

对于每个配置文件,您可以定义要允许或阻止的详细操作:

  • 上传 - 上传任何文件(不支持使用拖放功能上传)

  • 下载 - 下载任何文件

  • 打印 - 打印网页内容

  • 复制/粘贴 - 从站点复制数据或向站点粘贴数据

  • 输入 - 在站点中输入文本

控制.png

注意:RBI限制仅适用于隔离的浏览器会话内。 在远程浏览器隔离容器外发起的操作(例如,通过主机浏览器菜单或操作系统级快捷方式)绕过远程浏览器隔离控制。 要全面实施这些控制措施,请应用浏览器或终端级别的策略(例如 Chrome GPO,数据泄露防护工具)以及远程浏览器隔离配置。

RBI横幅文字

在RBI会话中,会展示一个横幅给最终用户告知他们正处于RBI会话中。 可以在整个账户中全局定义此横幅的品牌形象。 有关详情信息,请参阅自定义用户体验

在每个RBI配置文件中,您可以覆盖横幅的文字并为该配置文件创建自定义文本。

旗帜文字.png

持续的RBI会话

为了提高浏览安全性并改善最终用户体验,您可以配置一个配置文件以允许用户在同一个RBI会话中继续浏览多个目的地。 这可确保您定义的目的地不会在非隔离会话或不同的RBI会话中打开。 以下是连续RBI会话的示例用例:

  • 防止非隔离浏览到风险域名 - 使用通配符创建一个详尽的域名列表,确保用户整个浏览会话在隔离环境中进行,即使用户导航离开未分类或未定义的域名

  • 站点认证 - 配置一个域名列表,包括文件共享应用的所有子域,以便用户在重定向到其他域进行身份验证时登录。

继续浏览.png

故障切换操作

回退操作定义了当RBI操作无法执行时会发生什么。 在这种情况下,您可以选择阻止该操作或显示提示页面。

故障切换.png

将RBI与互联网防火墙一起使用

RBI会话通过互联网防火墙,使用规则中的RBI操作执行。 当流量匹配该规则时,会自动启动RBI会话。 默认情况下,将应用默认的RBI配置文件。 您可以分配不同的RBI配置文件以满足安全性和访问需求。

防火墙_RBI.png

只有应用程序类别未分类未定义,或自定义类别的规则才能配置为远程浏览。 所有其他流量都由Cato的广泛的额外安全服务保护。

注意: 这些是远程浏览器隔离支持的内容类型。 不支持包含其他内容类型的自定义类别:

  • 匿名器

  • 僵尸网络

  • 犯罪活动

  • 毒品

  • 赌博

  • 黑客

  • 停放域名

  • 间谍软件

  • 作弊

  • 疑似钓鱼

  • 疑似恶意软件

  • 色情

  • 未分类

  • 未定义

  • 文件分享

  • 在线存储

RBI服务先决条件

  • 启用RBI服务需要RBI许可证。 有关购买RBI许可证的更多信息,请联系您的Cato代表。

  • 必须启用TLS检查以配置RBI流量。

  • 为使RBI服务正常运行,互联网防火墙必须允许访问这些网址。 如果您的互联网防火墙底部有任何-任何阻止规则,请添加一个优先级更高的明确规则,以允许流量到这些网址:

    • http://securebrowsing.catonetworks.com/

    • https://authentic8.com/

  • 如果您不使用Cato作为DNS服务器,请在本地DNS服务器中添加一条记录,将http://rbi.catonetworks.com/解析到10.254.254.161。

Known Limitations

  • 包含片段标识符(“#”)的网址在RBI重定向中不支持

配置RBI

本节解释了如何配置远程浏览器隔离服务以向最终用户提供安全的网页浏览。

RBI.png

这是实施RBI的示例工作流程:

  1. 启用RBI服务

  2. 创建一个RBI配置文件

  3. 使用远程浏览操作配置一个互联网防火墙规则

步骤1:启用和禁用RBI服务

启用RBI服务后,互联网防火墙的远程浏览操作现已可用,您可以创建规则以将流量定向到该服务。 默认情况下,RBI已禁用。

要为您的账户启用或禁用RBI:

  1. 在导航面板中,选择安全性 > RBI

  2. 单击滑块以启用(绿色)或禁用(灰色)RBI服务以供账户使用。

  3. 点击新建

步骤 2:创建 RBI 个人资料

每个 RBI 个人资料包含可以应用于互联网防火墙规则的详细 RBI 配置。

要创建 RBI 个人资料:

  1. 从导航面板中选择安全性 > RBI

  2. 点击新建

  3. 配置个人资料以满足您的要求。

  4. 点击应用

步骤 3:创建用于远程浏览的互联网防火墙规则

使用互联网防火墙规则定义 Cato 何时将流量引导到 RBI 服务。 规则必须配置为应用类别设为未分类未定义自定义类别,且未配置其他应用或类别。 有关配置互联网防火墙规则的更多信息,请参见管理互联网防火墙策略

要创建远程浏览的互联网防火墙规则:

  1. 从导航菜单中选择安全性 > 互联网防火墙

  2. 点击新建

  3. 输入规则的名称

  4. 使用滑块启用或禁用规则(绿色是启用,灰色是禁用)。

  5. 配置此规则的规则顺序

    新规则将添加到规则库的底部。 您可以更改应用此规则的顺序。

  6. 展开来源并选择来源类型。

    • 选择类型(例如:主机、网络接口、IP、用户、用户组、任何)。 默认值是任何

    • 在需要时,从该类型的下拉列表中选择一个特定对象。

  7. 展开应用/类别部分并选择应用类别

    从应用类别的下拉列表中选择未分类未定义自定义类别中的一个或多个。 当规则中有多个应用/类别对象时,它们之间存在OR关系。

  8. 设置此规则的操作远程浏览 (RBI),并选择所需的个人资料。

  9. (可选) 配置跟踪选项来生成 事件发送通知。 频率在发送第一条通知后开始计数。

    有关通知的更多信息,请参阅警报部分中关于订阅组、邮件列表和警报集成的相关文章。

  10. 点击应用。 新规则已添加到规则库中。

  11. 点击保存

    规则已保存。

Best Practices for Implementing RBI with the Internet Firewall

我们建议通过特定范围逐步实施远程浏览器隔离策略,以避免因策略规则配置错误而导致使用远程浏览器隔离的流量能直接访问目的地。 以下是实施远程浏览器隔离的推荐最佳实践示例。

为未分类和未定义的目的地实施远程浏览器隔离的最佳实践:

  • 如果已经为应用类别未分类未定义配置了互联网防火墙规则:

    1. 开始跟踪已配置规则的事件,以识别对用户至关重要的特定未分类未定义目的地。

    2. 添加针对特定范围的基本未分类未定义站点的远程浏览操作的高优先级规则。

  • 如果未为类别未分类未定义配置任何规则:

    1. 添加涵盖未分类未定义目的地的规则,并选择允许提示操作,并设置为跟踪事件

    2. 开始跟踪事件,以识别对用户至关重要的特定未分类未定义目的地。

    3. 创建一个带有允许提示操作的高优先级规则,并逐步添加您识别出的特定关键目的地,直到所有关键目的地都被添加。

    4. 将高优先级规则设置为执行远程浏览操作。

  • 由于RBI仅支持浏览器,如果您担心非浏览器流量到未分类未定义域名,建议为这些流量创建互联网防火墙阻止规则。 将此规则置于这些域名的远程浏览器隔离规则的优先级之下。

    这确保了从非浏览器客户端(例如,cURL 脚本)到这些可疑域名的流量安全。

Customizing the User Experience

在隔离的 RBI 会话中,用户会看到一个横幅。 为了满足您的品牌要求,您可以通过更改全局背景颜色、文本和文本颜色来自定义设计。

执行网络和网络安全融合的云解决方案

要自定义用户体验:

  1. 从导航菜单中,点击 账户 > RBI 品牌形象

  2. 要更改背景颜色,请点击条纹颜色并选择一种颜色。

  3. 要更改文本颜色,请点击文本颜色并选择一种颜色。

  4. 要更改文本,请点击自定义警报文本并更新文本。

  5. 点击保存

Reviewing RBI Events

您可以在主页 > 事件中查看安全事件,并找到与为匹配防火墙规则的连接而执行的RBI仿真会话相关的日志。 这些事件标记为子类型互联网防火墙,操作为远程浏览器隔离

当远程浏览器隔离会话无法执行而调用回退操作时,相关事件的操作为阻止提示,具体取决于您的配置。

这是您可以创建以查看与远程浏览器隔离相关的事件的过滤器示例:

RBI_Event_Filter.png

这是与远程浏览器隔离会话相关的事件示例:

RBI_Event.png

Troubleshooting the RBI Service

您可以使用管理员RBI模拟器来帮助诊断用户在尝试浏览配置为RBI仿真器的目的地时遇到的问题。 该工具可以帮助隔离问题的原因,并帮助您提供有用的信息给支持以找到解决方案。

注意: 在 5 分钟不活动后,RBI 会话将自动结束,浏览器标签页将关闭。 为了继续浏览,用户必须在其浏览器中重新打开该站点。

Troubleshooting the RBI Service for a URL

如果用户在浏览某个网址时遇到问题,您可以使用管理员 RBI 模拟器为该网址生成测试的远程浏览器隔离仿真会话。 输入有效的 HTTP 或 HTTPS 网址,然后按照生成的链接查看在远程浏览器隔离会话中的站点。 该工具会直接将此流量发送到远程浏览器隔离服务,而无需通过 Cato 云。 这有助于确定用户的问题是否与远程浏览器隔离服务本身相关,或者是否由账户配置或 Cato 基础设施的连接性等其他问题引起。 例如,连接到 Cato 的用户无法浏览到已为远程浏览器隔离配置的未分类网站,但管理员可以使用该工具访问该站点。 这可能表明远程浏览器隔离服务正常运行,问题与 PoP 和服务之间的连接性有关。

管理员 RBI 模拟器应用在RBI 账户配置中定义的远程浏览器隔离安全控制。

在工具中运行完远程浏览器隔离会话后,您可以将结果报告给支持团队,以帮助他们解决问题。

RBI_Admin_Utility.png

使用管理员 RBI 模拟器进行故障排除:

  1. 从导航面板中选择安全性 > RBI

  2. 管理员 RBI 模拟器下,输入一个有效的 HTTP 或 HTTPS 网址。 例如: https://maps.google.com

  3. 选择要模拟的个人资料

  4. 单击生成。 会为远程浏览器隔离会话创建一个 URL。

  5. 单击 URL 旁边的链接。 远程浏览器隔离会话将在您的默认浏览器中打开。

已知限制

  • RBI服务对本地化的支持有限

这篇文章有帮助吗?

7 人中有 4 人觉得有帮助

0 条评论