فهم قيود مختبر سياسات DNS Umbrella

المقدمة

يصف هذا المستند القيود والقيود الخاصة بمختبر نهج DNS Umbrella.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• بوابة الويب الآمنة
• بوابة الإنترنت الآمنة
• Umbrella (طبقة DNS المضافة)

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

يمكن إستخدام Umbrella Policy Tester لتحديد ما إذا كان يمكن حظر وجهة معينة أو السماح بها من قبل Cisco عند زيارتها بواسطة هوية محددة. ومع ذلك، هناك بعض الظروف التي لا يمكن فيها حاليا لمختبر النهج إرجاع معلومات دقيقة (أو أي) لوجهة معينة. توجز هذه المقالة هذه القيود.

التفاصيل الفنية

يمكن العثور على نظرة عامة على Policy Tester في وثائق Umbrella الخاصة بمختبر Umbrella Policy.

يمكن أن تكون نتائج إختبار النهج هذه غير صحيحة: 

بوابة الويب الآمنة

• غير معتمد

بوابة الإنترنت الآمنة

• غير معتمد

Umbrella (طبقة DNS المضافة)

• يمكن الإبلاغ عن الوجهات التي تم حظرها بواسطة "الوكيل الذكي" بشكل غير صحيح على أنها "مسموح بها" بواسطة "مختبر النهج". وهذا يشمل أيضا:
  
  • قوائم حظر عناوين URL المخصصة
  • مجالات Proxy-blockList أو Greylist
  • كتل فحص الملفات
• نوع الوجهة "تطبيق" (مثل Dropbox، المربع، Facebook، إلخ بالاسم) الذي تم حظره يمكن الإبلاغ عنه بشكل غير صحيح على أنه "مسموح" بواسطة "مختبر النهج". 
• عند تطبيق شبكة أيضا على نهج ويب، يمكن لنهج ويب أن يظهر بشكل غير صحيح. لا يتم دعم مختبر النهج في الوقت الحالي للشبكات التي هي أيضا جزء من سياسات الويب.
• يمكن للاختبارات التي لا توفر جميع معلومات الهوية ذات الصلة إظهار نتائج غير صحيحة. على سبيل المثال، تم تشغيل جهاز كمبيوتر تجوال بتكامل Active Directory (AD) أثناء تشغيله على شبكة محمية: قد يفشل الاختبار إذا تم توفير مستخدم AD فقط ولكن الكمبيوتر المتجول ينجح في إتخاذ قرارات النهج.
• الوجهات المحظورة بسبب فئات المحتوى يمكن أن تظهر كما هو مسموح به إذا تم إدخالها بحروف الحالة العليا والصغيرة أو تم تحويلها إلى حروف كبيرة. على سبيل المثال، إذا كنت تقوم بحظر فئة "العري"، فيمكن أن يظهر المجال playboy.com على أنه محظور بينما يظهر Playboy.com على أنه مسموح به.
• يمكن حظر وجهات "DNS الديناميكي" إذا تم تحديد فئة الأمان هذه، ولكن يمكن الإبلاغ عنها بشكل غير صحيح على أنها "مسموح بها" بواسطة "مختبر النهج".
• الوجهات المسموح بها من قبل التحكم في التطبيق يمكن إظهارها بشكل غير صحيح كمحجوزة في Policy Tester.
• يمكن الإبلاغ بشكل غير صحيح عن الوجهات التي تم حظرها بواسطة واجهة برمجة تطبيقات Umbrella Enforcement API لعمليات التكامل المخصصة على أنها "مسموح بها" من قبل مختبر النهج.
• يمكن الإبلاغ بشكل غير صحيح عن الوجهات التي تم حظرها بواسطة تكامل شبكة تهديدات الحماية المتقدمة (AMP) المظلة على أنها "مسموح بها" من قبل مختبر النهج.
• الوجهات التي تم حظرها بسبب CNAME يمكن الإبلاغ عنها بشكل غير صحيح على أنها "مسموح بها" بواسطة "مختبر النهج".
• الوجهات التي هي عناوين IP غير مدعومة في مختبر النهج في الوقت الحالي.
• الوجهات التي هي عناوين URL غير مدعومة في Policy Tester في الوقت الحالي.
• الوجهات التي تم حظرها لحل مشكلة IP ضارة يمكن الإبلاغ عنها بشكل غير صحيح على أنها "مسموح بها" بواسطة "مختبر النهج". 
• يمكن حظر الوجهات "التي يحتمل أن تكون ضارة" إذا تم تحديد فئة الأمان هذه، ولكن يمكن الإبلاغ عنها بشكل غير صحيح على أنها "مسموح بها" من قبل مختبر النهج.
• الوجهات التي تمنع فيها أوجه الحماية الآلية ل DDoS DNS من الاستجابة للمجال المتأثر بشكل مؤقت غير مرئية من قبل مختبر النهج. 
• الوجهات التي تم حظرها ضمن فئة المحتوى "حماية الشباب الألمانية" يمكن الإبلاغ عنها بشكل غير صحيح على أنها "مسموح بها" من قبل مختبر السياسات. لا يمكن ذكر هذه الفئة في نتائج "مختبر السياسات".
• الوجهات التي تم حظرها بسبب تصنيف الأمان "cryptoCurrency" يمكن أن تظهر بشكل غير صحيح ك "مسموح به" حتى عند حظرها بواسطة إعدادات الأمان. 
• يتعذر على الوحدات بسبب فئات DNS Tunneling VPN إظهار النتائج بشكل صحيح في Policy Tester. تظهر بشكل غير صحيح كما هو مسموح.
• يمكن لأجهزة Chromebook الموجودة خلف جهاز ظاهري إظهار نهج غير صحيح. يمكن لكتل الهوية الخاصة بالكروم Chromebook (UCC) تجاوز سياسات Virtual Appliance المطبقة، ولكن يمكن لكتل الجهاز الظاهري تجاوز UCC Allow.
• يمكن إظهار أعضاء مجموعات AD التي لم تتم مزامنة المجموعة فيها مع Umbrella (بما في ذلك المجموعات التي تشكل جزءا من مجال أصل أو فرع ومجموعات أعضاء في مجموعات لم تتم مزامنتها بشكل انتقائي إلى Umbrella) على أنها مطابقة للنهج الظاهر في Policy Tester. يتعذر تطبيق نهج المستخدم في السحابة. التأكيد بإضافة المستخدم الوحيد إلى النهج الخاص بك والتأكيد على تطبيقه بشكل صحيح في غضون 5 دقائق.
• الوجهات الموجودة في قائمة المجالات الداخلية. لا يأخذ Policy Tester قائمة المجالات الداخلية عند الإبلاغ عن نتيجة إختبار. 
• لا يتم ضمان الفئات التي لا تظهر في موقع وضع علامة على مجال مجتمع OpenDNS لإظهار الفئة الصحيحة في "إختبار النهج". يتم تمثيل مصدر واحد فقط للتصنيفات.
• يقتصر إختبار النهج على عرض 20 نتيجة عند البحث عن هوية.
• مستخدم AD هو عضو في مجموعة AD متداخلة، لكن يتم تحديد مجموعة AD الأصلية فقط في الهويات عند إنشاء سياسة DNS. يمكن أن يفشل البحث عن "إختبار النهج" في مطابقة النهج الصحيح.
• يمكن الإبلاغ عن الوجهات الموجودة في قائمة السماح المحمية بشكل غير صحيح على أنها "محظورة" بواسطة "مختبر النهج".