تكوين سياسات SIG للوصول عن بعد لمستخدمي الاتصال الآمن
المقدمة
يوضح هذا المستند كيفية إنشاء سياسات SIG للوصول عن بعد لمستخدمي الاتصال الآمن.
نظرة عامة
تنطبق هذه المقالة المستندة إلى المعارف على العملاء الذين يستخدمون حزمة Secure Connect التي تتضمن وظيفة الوصول عن بعد (VPNaS) في Umbrella.
يمكن للمسؤولين تكوين سياسات Umbrella Firewall و Web و Data Loss لتطبيقها على المستخدمين المتجولين المتصلين بالوصول عن بعد من خلال AnyConnect.
سياسات DNS
من الممكن إرسال استعلامات DNS إلى محللي Umbrella (على سبيل المثال. 208.67.222.222) عبر اتصال AnyConnect Remote Access VPN. ومع ذلك، لا يمكن هذا التعريف أو النهج أو الإبلاغ عن حركة مرور DNS على لوحة معلومات Umbrella.
- يوفر ذلك حل DNS فقط وبالتالي لا يوصى به عادة.
- يؤدي إستخدام محولات DNS الخارجية في تكوين VPN DNS إلى منع تحليل مناطق DNS الداخلية.
4410210378004
لإضافة هوية ونهج وإعادة توجيه لاستعلامات DNS، يجب مراعاة إحدى الطرق الثلاث التالية:
- (مستحسن) - قم بنشر الوحدة النمطية تجوال AnyConnect Umbrella (من عمليات النشر > أجهزة الكمبيوتر المتجولة). يتم إرسال حركة مرور DNS الخارجية مباشرة إلى Umbrella مع تطبيق هوية "Roaming Computer". تدعم هذه الوحدة أيضا التعريف الاختياري لمستخدم AD.
- إعادة توجيه حركة مرور البيانات من خادم DNS المحلي لديك إلى Umbrella والتعرف على حركة مرور البيانات باستخدام معرف الشبكة. يتلقى جميع المستخدمين نفس النهج/الهوية ولا توجد تقارير خاصة بالمستخدم.
- أستخدم الجهاز الظاهري Umbrella على الشبكة المحلية لإعادة توجيه حركة مرور البيانات إلى Umbrella. يمكن تحديد استعلامات DNS بواسطة عنوان IP الخاص بها الداخلي (عنوان IP لتجمع VPN). يمكن إضافة تكامل AD - يتطلب تثبيت مكونات إضافية محلية.
يوضح هذا المثال كيفية تكوين سياسة DNS (السياسات > سياسات DNS) لعميل AnyConnect فردي - لا يمكن ذلك إلا عند نشر الوحدة النمطية المتجولة AnyConnect:
4410210455444
ملاحظة: عند إستخدام وحدة Umbrella النمطية ل AnyConnect، يمكن إرسال حركة مرور DNS بشكل إختياري داخل النفق أو خارجه وفقا لتكوين الاتصال النفقي المنقسم لديك.
سياسات جدار الحماية
تنطبق سياسات جدار الحماية على حركة المرور بين عملاء الوصول عن بعد (AnyConnect) والإنترنت. قم بتكوين القواعد في عمليات النشر > سياسة جدار الحماية" وفقا للوثائق التي تم العثور عليها هنا: إدارة جدار الحماية.
تنطبق قاعدة جدار الحماية الافتراضية على عملاء الوصول عن بعد. إذا كنت تقوم بإنشاء نهج محدد لمستخدمي الوصول عن بعد، فيمكنك إختياريا إختيار إنشاء نهج جدار حماية جديد وتحديد معرف الوصول عن بعد:<ID> كهوية نفق المصدر.
ينطبق نفس نهج جدار الحماية على جميع مستخدمي الوصول عن بعد.
- لا يتم إستخدام سياسات جدار الحماية للتحكم في الوصول بين عملاء RA والشبكات الخاصة/الفرعية. يجب التحكم في هذا الأمر باستخدام جدران الحماية الموجودة في الموقع.
- مثل جميع قواعد جدار الحماية Umbrella، تتحكم هذه القواعد في الاتصالات الصادرة لعملاء الوصول عن بعد. لا يسمح أبدا بالاتصالات الواردة.
- يتم دائما تعيين عنوان IP المصدر لعملاء الوصول عن بعد بشكل ديناميكي من تجمع VPN.
- لا يوصى بإنشاء قواعد لكمبيوتر محدد باستخدام "IP المصدر" حيث يتم إعادة تعيين IP ديناميكيا
- يمكن إنشاء قواعد تؤثر على مستخدمي مركز بيانات وصول عن بعد محدد باستخدام نطاق "مصدر CIDR". يوفر كل مركز بيانات نطاق تجمع VPN مختلف تم تكوينه على صفحة عمليات النشر > الوصول عن بعد".
4409322341524
ملاحظة: تعريف كل مستخدم غير متوفر لنهج جدار الحماية.
سياسات الويب
تنطبق سياسات الويب على حركة المرور بين عملاء الوصول عن بعد (AnyConnect) والإنترنت. قم بتكوين القواعد في عمليات النشر > سياسات الويب" وفقا للوثائق الموجودة هنا: إدارة سياسات الويب.
- لا يتم إستخدام سياسات الويب للتحكم في الوصول بين عملاء RA وخوادم الويب الخاصة/الفرعية. تنطبق سياسات الويب فقط على مواقع الويب الخارجية.
ينطبق نهج ويب الافتراضي على عملاء الوصول عن بعد. ومع ذلك، نوصي بإنشاء قاعدة جديدة لتحديد إعدادات الأمان خصيصا لعملاء الوصول عن بعد. عند تعريف هويات RuleEt أختر Access Orid:<ID> من قائمة الأنفاق. ينطبق نفس نهج ويب على جميع مستخدمي الوصول عن بعد.
بعد إنشاء قاعدة، من الممكن إضافة قاعدة ويب تعرف تصفية فئة المحتوى وإعدادات التطبيق لها.
4409322363924
تعريف مستخدم ويب
وبشكل افتراضي، لا يمكن التحكم في حركة مرور الوصول عن بعد على أساس كل مستخدم أو مجموعة. ينطبق نفس النهج على جميع حركة مرور RA المستندة إلى هوية "Remote Access Orid". لإضافة تعريف مستخدم/مجموعة لديك خياران:
- قم بتثبيت وحدة أمان التجوال AnyConnect Umbrella وتمكين ميزة وكيل SWG. يرسل العميل حركة مرور ويب مباشرة إلى Umbrella SWG مع تطبيق هوية "Roaming Computer". تدعم هذه الوحدة أيضا التعريف الاختياري لمستخدم AD.
- قم بتمكين SAML في قواعد الويب التي تؤثر على هويتك "Remote Access Orid". بعد الاتصال بالوصول عن بعد، يتم مطالبة مستخدمي RA بالمصادقة عبر SAML مرة أخرى عند إنشاء حركة مرور مستعرض الويب.
ملاحظة: عند إستخدام وحدة Umbrella النمطية ل AnyConnect، يمكن إرسال حركة مرور SWG إختياريا داخل النفق أو خارجه بناء على تكوين الاتصال النفقي المنقسم الخاص بك.
يوضح هذا المثال كيفية تكوين سياسة DNS (السياسات > سياسات DNS) لعميل AnyConnect فردي - لا يمكن ذلك إلا عند نشر الوحدة النمطية المتجولة AnyConnect:
4410210499476
سياسات DLP
تنطبق سياسات فقدان البيانات على حركة المرور بين عملاء الوصول عن بعد (AnyConnect) والإنترنت. قم بتكوين القواعد في 'عمليات النشر > سياسات منع فقدان البيانات' وفقا للوثائق التي تم العثور عليها هنا: إدارة سياسات حماية البيانات.
- لا يتم إستخدام سياسات DLP للتحكم في الوصول بين عملاء RA وخوادم الويب الخاصة/الفرعية. تنطبق سياسات DLP فقط على مواقع ويب الخارجية لحركة مرور البيانات.
ملاحظة: لكي يتم تطبيق نهج DLP، يجب أولا إنشاء مجموعة قواعد ويب لمستخدمي Remote Access. يجب تمكين فك تشفير HTTPS في قاعدة ويب.
عند تحديد الهويات لقاعدة حماية البيانات، أختر Remote Access Orid:<ID>. يتم تطبيق نفس نهج حماية البيانات على كافة المستخدمين. لإكمال قاعدة DLP، تحتاج أيضا إلى تحديد تصنيفات DLP أو تحديدها.
4409322428820
تعريف مستخدم DLP
يحصل DLP على هوية المستخدم من بوابة الويب الآمنة (سياسات الويب). راجع قسم سياسات الويب للحصول على تعليمات حول كيفية إضافة تعريف المستخدم.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
24-Sep-2025
|
الإصدار الأولي |
التعليقات