Comprendre les limites du Testeur de politiques DNS Umbrella

Options de téléchargement

  • PDF     (237.8 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
Mis à jour:5 septembre 2025
ID du document:224800

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit les restrictions et les limitations du Testeur de stratégie DNS Umbrella.

    Conditions préalables

    Exigences

    Aucune exigence spécifique n'est associée à ce document.

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Passerelle Web sécurisée
    • Passerelle Internet sécurisée
    • Parapluie (couche DNS ajoutée)

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Aperçu

     

    Le Testeur de politiques de parapluie peut être utilisé pour déterminer si une destination donnée peut être bloquée ou autorisée par Cisco lorsqu'elle est visitée par une identité donnée. Toutefois, dans certaines circonstances, le testeur de politiques ne peut actuellement pas renvoyer d'informations précises (ou inexistantes) pour une destination donnée. Cet article décrit ces restrictions.

    Détails techniques

    La présentation générale de Policy Tester est disponible dans la documentation Umbrella pour Umbrella Policy Tester.

    Les résultats du Testeur de stratégie suivants peuvent être incorrects : 

    Passerelle Web sécurisée

    • Non Pris En Charge

    Passerelle Internet sécurisée

    • Non Pris En Charge

    Parapluie (couche DNS ajoutée)

    • Les destinations bloquées par le proxy intelligent peuvent être signalées par erreur comme étant « autorisées » par le testeur de stratégie. Cela inclut également :
      • Listes de blocs d'URL personnalisées
      • Domaines Proxy-blocklist ou Greylist
      • Blocs d'inspection de fichier
    • Le type de destination « Application » (comme Dropbox, Box, Facebook, etc. par nom) qui sont bloqués peut être signalé par erreur comme « Autorisé » par le Testeur de stratégie. 
    • Lorsqu'un réseau est également appliqué à une stratégie Web, la stratégie Web peut s'afficher de manière incorrecte. Le testeur de stratégie n'est pas pris en charge pour le moment pour les réseaux qui font également partie des stratégies Web.
    • Les tests qui ne fournissent pas toutes les informations d'identité pertinentes peuvent donner des résultats incorrects. Par exemple, un ordinateur itinérant avec l'intégration Active Directory (AD) est activé sur un réseau protégé : le test peut échouer si seul l'utilisateur AD est fourni, mais que l'ordinateur itinérant gagne les décisions de stratégie.
    • Les destinations bloquées en raison des catégories de contenu peuvent s'afficher comme étant autorisées si elles sont entrées avec des lettres majuscules et minuscules ou si elles sont en majuscules. Par exemple, si vous bloquez la catégorie « nudité », le domaine playboy.com peut apparaître comme bloqué tandis que Playboy.com apparaît comme autorisé.
    • Les destinations « DNS dynamique » peuvent être bloquées si cette catégorie de sécurité est sélectionnée, mais peuvent être signalées par erreur comme « autorisées » par le Testeur de stratégie.
    • Les destinations autorisées par le contrôle d'application peuvent être incorrectement affichées comme bloquées dans le Testeur de stratégie.
    • Les destinations qui sont bloquées par l'API d'application Umbrella pour les intégrations personnalisées peuvent être signalées par erreur comme étant « autorisées » par le Testeur de stratégie.
    • Les destinations bloquées par l'intégration d'Umbrella AMP Threat Grid peuvent être signalées par erreur comme « autorisées » par le testeur de politiques.
    • Les destinations bloquées en raison d'un CNAME peuvent être signalées par erreur comme « autorisées » par le Testeur de stratégie.
    • Les destinations qui sont des adresses IP ne sont pas prises en charge dans le Testeur de politiques pour le moment.
    • Les destinations qui sont des URL ne sont pas prises en charge dans le Testeur de politiques pour le moment.
    • Les destinations bloquées pour une résolution vers une adresse IP malveillante peuvent être signalées par erreur comme étant « autorisées » par le Testeur de stratégie. 
    • Les destinations « potentiellement dangereuses » peuvent être bloquées si cette catégorie de sécurité est sélectionnée, mais peuvent être signalées par erreur comme « autorisées » par le Testeur de stratégie.
    • Les destinations où les protections DDOS automatisées empêchent temporairement DNS de répondre pour le domaine affecté ne sont pas visibles par le Testeur de stratégie. 
    • Les destinations bloquées dans la catégorie de contenu « Protection de la jeunesse allemande » peuvent être signalées par erreur comme « Autorisées » par le testeur de stratégie. Cette catégorie ne peut pas être mentionnée dans les résultats du Testeur de politiques.
    • Les destinations bloquées en raison de la classification de sécurité « Crypto-monnaie » peuvent apparaître à tort comme « Autorisées » même lorsqu'elles sont bloquées par les paramètres de sécurité. 
    • Les blocages dus aux catégories VPN de tunnellisation DNS ne peuvent pas afficher correctement les résultats dans le Testeur de stratégie. Ils ne s'affichent pas correctement comme autorisés.
    • Les périphériques Chromebook derrière un appareil virtuel peuvent afficher une stratégie incorrecte. Les blocs d'identité Chromebook (UCC) peuvent remplacer les stratégies appliquées par l'appliance virtuelle, mais les blocs d'appliance virtuelle peuvent remplacer les autorisations UCC.
    • Les membres de groupes AD dont le groupe n'est pas synchronisé avec Umbrella (y compris les groupes appartenant à un domaine parent ou enfant et les groupes qui sont membres de groupes qui ne sont pas synchronisés sélectivement avec Umbrella) peuvent être affichés comme correspondant à la stratégie affichée dans le Testeur de stratégies. La stratégie utilisateur ne peut pas s'appliquer dans le cloud. Confirmez en ajoutant l'utilisateur unique à votre stratégie et vérifiez qu'elle s'applique correctement dans les 5 minutes.
    • Destinations figurant dans la liste des domaines internes. Le Testeur de stratégies n'utilise pas la liste Domaines internes lorsqu'il signale un résultat de test. 
    • Les catégories qui n'apparaissent pas sur le site de marquage de domaine de la communauté OpenDNS ne sont pas garanties d'afficher la catégorie correcte sur le testeur de stratégie. Une seule source de catégorisations est représentée.
    • Le Testeur de stratégies est limité à 20 résultats lors de la recherche d'une identité.
    • Un utilisateur Active Directory est membre d'un groupe Active Directory imbriqué, mais seul le groupe Active Directory parent est sélectionné dans les identités lors de la création d'une stratégie DNS. La recherche du Testeur de stratégie peut ne pas correspondre à la stratégie correcte.
    • Les destinations de la liste d'autorisation protégée peuvent être signalées par erreur comme « bloquées » par le Testeur de stratégie.

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    08-Sep-2025
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Apostolos Kouloukourgiotis

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits