实践回顾：与Cato网络的融合网络和安全

哈客cc lv.2

发布时间：2022-04-01 13:42:12 897

相关标签： # 漏洞# 恶意软件# 设备# 信息# 工具

Product Review: Converged Networking and Security with Cato Networks

如果你曾经不得不在不同的防火墙品牌之间设置IPsec隧道，更改防火墙规则，希望不会有任何漏洞，升级到最新的软件或紧急修补漏洞–；你知道我在说什么。

所有这些问题基本上永远伴随着我们。最近，复杂任务的清单扩展到让云基础设施连接到网络的其他部分，以及移动用户的安全访问。

这一关键部分似乎正在发生变化，如果你愿意的话，这是一线希望。我们决定看看这个问题的一个解决方案–；来自Cato网络的Cato云。

Cato Networks成立于2015年，提供一个软件定义的、基于云的安全企业网络，将所有地点、人员和数据连接到Cato云–；一个单一的、全球性的、安全的网络。

Cato承诺通过提供具有内置网络安全的企业级网络，而不是目前用于此目的的所有设备和点解决方案，来简化网络和安全。

我们很高兴找到一种全新的方法来管理网络和安全，这种古老的方法非常有吸引力，尤其是对于人手不足的IT团队。

我们测试了什么

我们着手使用Cato云（“Cato”）改造传统网络架构，并研究了四个方面：

供应：将站点和用户连接到WAN。通常，这是一个耗时且容易出错的过程，尤其是在创建多供应商防火墙全网格时。
管理：定义和更改访问和安全策略。添加新策略并将其扩展到每个位置是一项关键任务，需要仔细规划，以避免冲突，并确保所有站点遵守公司安全策略。
通道：连接到本地和云数据中心的公司资源。多个数据中心，尤其是云数据中心，加剧了访问碎片化。通常，用户必须直接连接到每个资源，因此消除此需求可以改善用户体验。
安全：最后，我们将测试针对恶意网站和文件等互联网威胁的安全有效性。这是安全web网关的预期功能，但具有零维护和弹性容量的额外好处。

测试环境

我们想模拟一个典型的客户环境进行测试，所以我们构建了一个混合环境，包括总部、远程分支机构、移动用户和云数据中心。

所有站点和用户都需要访问互联网以及位于总部和云端的数据中心。

对于设置，我们使用了物理机和虚拟机。我们的主办公室模拟总部（HQ），我用我的主办公室模拟远程分支（branch）。

总部使用对称的50/50 Mbps互联网线路连接到互联网，并且已经有了一个周边防火墙。该分支机构通过非对称的100 Mbps链路和小型办公室防火墙连接到互联网。

我们还在亚马逊AWS和微软Azure上建立了两个云数据中心。在两个数据中心上，我们都使用简单的web应用程序运行Windows服务器。这些站点和数据中心通过VPN建立WAN连接。

Figure 1: testing environment before Cato

图1：Cato之前的测试环境

资源调配：

我们使用Cato管理应用程序（CMA）测试了Cato提供新网站和用户的能力。

我们的第一项任务是把总部连接到卡托。Cato使用标准的IPsec隧道提供连接支持，因此我们将利用现有的防火墙连接到Cato。

防火墙启动连接并配置为将所有流量路由到Cato。防火墙不执行任何安全措施；它只是将流量转移到Cato，在那里将完成WAN连接和流量检查。

接下来，我们将云数据中心连接到Cato（AWS和Azure）。通过Cato启动的VPN隧道将云数据中心连接到大多数云平台中的内置VPN网关。

Figure 2: adding new cloud data center to Cato

图2：向Cato添加新的云数据中心

通过将多个云数据中心连接到Cato，您可以将单独的网络资源（跨全球区域或云提供商）整合到一个网络中。这降低了跨所有云资源统一数据中心访问的复杂性（有时还克服了提供商的限制）。

Figure 3: Headquarters and cloud data centers connect to Cato with IPsec VPN

图3：总部和云数据中心通过IPsec VPN连接到Cato

接下来，我们将分支连接到Cato。在本例中，我们将使用Cato提供的网络设备，称为Cato套接字。Cato套接字只是将流量转发到Cato云。

对于每个Cato，Cato套接字可以处理高达1 Gbps的任何类型的流量，包括广域网和互联网，并且不需要任何手动更新或升级，因为它是从云端自我管理的。Cato插座的配置过程是即插即用，现场人员所需的唯一操作是将其插入电源和互联网连接。

一旦连接，Cato套接字会自动“呼叫总部”，并等待管理员为其命名，在我们的例子中，我们选择了“伦敦”，并确认与网络的连接。

使用Cato套接字而不是防火墙的优点是，它消除了设备的复杂性：安装、更新、升级，并且没有容量限制，因为设备本身没有进行安全强制。

Figure: 4: Cato Socket automatic provisioning

图4：Cato套接字自动配置

最后，我们将一个移动用户连接到Cato。要注册Cato服务，管理员会使用CMA向用户发送电子邮件邀请（用户信息可以使用Active Directory集成加载，也可以出于测试目的手动添加）。

Figure 5: VPN user invitation sent from the Cato Management Application

图5：从Cato管理应用程序发送的VPN用户邀请

然后，用户会收到一封电子邮件，其中包含指向Cato自助服务门户的链接，该门户将安装Cato客户端，并自动配置用户的凭据和Cato云配置。

Figure 6: the Cato Client installation and provisioning process

图6:Cato客户端安装和资源调配过程

完成后，用户现在可以将设备连接到Cato云并访问网络。根据访问和安全策略启用资源访问，通过设备浏览互联网受到Cato内置网络安全服务的保护。

Figure 7: HQ, Branch, Cloud DC and Mobile Users connects to Cato

图7:HQ、Branch、Cloud DC和移动用户连接到Cato

管理：

网络和安全管理员需要每天更改网络配置并调查安全事件。在产品回顾的这一部分中，我们检查了日常操作的粒度、简单性和效率。

访问策略配置：

一旦所有站点、云数据中心和移动用户都连接到Cato，我们就定义了一个设置访问权限的策略。在Cato中，访问策略分为两部分：访问广域网资源和访问互联网。

1.广域网防火墙控制对物理和云数据中心业务资源的访问。

Figure 8: WAN firewall rule that enables users and sites access to data centers

图8：允许用户和站点访问数据中心的WAN防火墙规则

2.互联网防火墙控制从网站和移动设备到互联网的所有访问。这是第7层的应用程序感知策略。

Figure 9: internet access rule that blocks access to file sharing, and remote access applications

图9：阻止访问文件共享和远程访问应用程序的Internet访问规则

卡托在访问策略中采取的方法非常有趣。访问规则整合了应该保护的资源，方向箭头定义了允许的流量。

这样，就可以使用单个规则，而不是创建多个规则。此外，规则的顺序并不重要（与传统防火墙不同）。这使得向策略中添加新规则变得更简单。

安全策略配置：

Cato在云中提供了一个内置的完整网络安全堆栈。安全堆栈包括URL过滤和带有TLS支持的反恶意软件。检查通过Cato路由的所有WAN和互联网流量。

Cato URL筛选具有推荐的现成策略。URL按类别组织，每个类别都可以设置为允许、阻止、监视和提示。

例如，管理员可以定义要阻止的所有可疑钓鱼网站。

图10：URL过滤策略

内置的反恶意软件扫描互联网和广域网流量，可以设置为阻止或监控事件。

Figure 11: The Anti-malware scans both the internet and WAN traffic

图11：反恶意软件扫描互联网和广域网流量

Cato解决方案的独特之处在于，容量和大小不是客户的考虑因素。与基于设备的安全性不同，当流量、流量组合或所需的安全功能发生变化时，无需升级设备。

有了Cato，所有交通检查都在云端完成，并且可以无缝地满足客户需求。例如，因为TLS检查对设备性能有很大影响，所以管理员在使用它时往往非常小心。有了卡托，我们就启用了它，而且成功了。

连通性：

在使用Cato之前，我们的总部、分支机构和云资源通过VPN连接，并为每个资源创建专用隧道。移动用户还需要VPN连接到数据中心，因此每次他们想要连接到不同的数据中心时，都需要连接和断开与平台专用VPN网关的连接。

通过Cato，站点、数据中心和移动用户连接到一个云网络，因此所有资源都可以通过单个VPN连接访问。使用Cato套接字将隧道分支到Cato云中，移动设备使用Cato客户端进行隧道。

Figure 12: Cato client for iOS connects the user to all resources with a single VPN connection

图12:Cato client for iOS通过一个VPN连接将用户连接到所有资源

我们想测试Cato系统提供的网络流量分析工具。对网络活动、性能和使用情况的良好可见性是任何网络平台的重要组成部分。

CMA提供了对连接网络和主机的全面可视性。管理员可以查看每个网络资源的使用情况，并可以关注特定的网络事件。吞吐量、数据包丢失、延迟和应用程序的使用情况会清楚地显示给管理员。

图13：网络流量分析

安全：

由于Cato Cloud取代了我们使用的防火墙功能，并将其移动到了云端，我们希望检查它的有效性以及它为安全事件提供的可见性。

我们决定通过SSL从互联网下载一个恶意文件进行测试。

我们浏览了马尔。并搜索了一个真正的勒索软件：

Figure 14: Ransomware sample from malwr.com

图14:malwr勒索软件样本。通用域名格式

然后，我们点击其中一个文件上的“下载”按钮，将其下载到位于Cato云后面Branch的一台计算机上。Cato确实检测到了这一尝试，并阻止了下载。

在CMA上我们可以看到这个安全事件。

Figure 15: Cato Anti-malware event on the malicious file download attempt

图15：恶意文件下载尝试上的Cato反恶意软件事件

卡托活动为我们提供了更多关于VirusTotal的信息。

Figure: 16: Our Ransomware on VirusTotal

图16:VirusTotal上的勒索软件

VirusTotal将该文件识别为比特币勒索者。这是一个勒索软件文件。Cato安全堆栈在云中工作，并检查互联网和广域网流量，因此即使是从我们的数据中心下载的恶意软件文件也会被阻止。

现在让我们看看Cato的应用程序级策略和URL过滤效率。在CMA上，我们设置了一个规则来阻止分支使用BitTorrent和Tor。

Figure 17: Application-aware Firewall policy to block Bittorrent and Tor

图17：阻止Bittorrent和Tor的应用程序感知防火墙策略

我们安装了Tor浏览器，并尝试连接到Tor网络。卡托的防火墙阻止了连接。

图18：卡托积木

对于URL过滤测试，我们定义了一个阻止赌博网站的规则。

Figure 19: URL Filtering Policy to block Gambling websites

图19：阻止赌博网站的URL过滤策略

当我们试图浏览一个赌博网站（从我们浏览的Chrome到www.888.com）时，Cato阻止了它，并将我们重定向到一个错误页面。

Figure 20: Cato blocks browsing to gambling website

图20:Cato阻止浏览赌博网站

结论：

Cato Networks承诺通过将其移动到云端来简化网络和安全管理。将内部网络和安全基础设施迁移到Cato云的简单性和速度给我们留下了深刻印象。

管理简单直观，我们发现最终用户体验对于连接和安全的设置和持续管理都很简单。但最引人注目的功能可能是Cato通过消除运行分布式安全设备的需要而提供的缓解。

特别声明：以上内容（图片及文字）均为互联网收集或者用户上传发布，本站仅提供信息存储服务！如有侵权或有涉及法律问题请联系我们。