UmbrellaのSWGポリシーの設定

はじめに

このドキュメントでは、Umbrellaで使用するWebポリシーを設定する方法について説明します。

背景説明

UmbrellaセキュアWebゲートウェイ(SWG)へようこそ。 導入後の最も重要な手順は、Webポリシーを定義して、受け取るベースライン動作が期待どおりであることを確認することです。現在、このポリシーフローはDNS層ポリシーを正確に反映しています。

包括的なWebポリシー

上位の一致アプリケーションアルゴリズムを使用した包括Webポリシー機能つまり、現在のIDセットに一致する最初のポリシーが適用され、後続のポリシーの一致はすべて無視されます。これは、すべてのUmbrellaポリシーの基盤であり、プロキシベースのWebポリシーに対する既存の期待とは異なる可能性があります。

このフローチャートに示すポリシー機能。クエリに含まれるすべてのIDに対する最初のポリシー一致が、それ以上のポリシーを考慮せずに適用されます。

フローチャート – SWG.png

このフローはUmbrella DNSポリシーから送られてくるフローとは異なるため、複数のポリシーが同じユーザまたはグループに適用される一連のポリシーの例を次に示します。Phil（またはPhilのユーザグループ）に適用される最初のポリシーのみが使用され、残りのすべての一致が無視されることに注意してください。追加の一致はUmbrellaポリシーでは集約されず、単に無視されるだけです。

フローチャート – フロー.png

そのため、Umbrella SWGポリシーでは次の機能は使用できません。

• 入れ子になったポリシー
• ポリシーに違反するアプリケーションまたはWebサイトの除外を許可およびブロックする
  • 例：Philのポリシー除外は、Facebookを許可、Instagramを許可、およびDropboxを許可していますが、PhillisはFacebookを許可し、Instagramを許可しているだけです。
    • 包括ポリシーでは、これは2つの一意のポリシーになります。
      • PhilへのFacebook、Instagram、Dropboxの適用を許可
      • Phillisに適用するFacebook、Instagramを許可
    • 許可またはブロックされた個々のアプリケーションの組み合わせごとに、ポリシーに追加された該当するユーザで新しいポリシーを作成する必要があります。

また、HTTP/Sではないトラフィックは、このタイプのトラフィックのDNS層ポリシーを受信します。

クラウド配信ファイアウォールとSWGに関する重要な注意事項

Umbrella CDFWは、許可されたHTTP/SトラフィックをUmbrella SWG経由で送信するため、ポリシーも適用します。ポリシーを定義すると、ポリシーアプリケーションフローはSWGフローと同じように動作します。

フローチャート – cdfw.png

Roamingセキュリティモジュールポリシーに関する重要な注意事項

Umbrella Roamingモジュールを使用すると、ポリシーはオンネットワークポリシーとは異なる効果を発揮します。ローミングモジュールは、ネットワーク上のプロキシ設定またはPACファイルと互換性がなく、ネットワーク外のユースケースのみをサポートします。ネットワーク上では無効にできます。

SWGポリシーでローミングモジュールを使用している場合、セキュリティブロックを含むすべてのブロックでDNSポリシーが最初に有効になります。DNSポリシーの結果がブロックでない場合、プロキシポリシーが適用されます。また、HTTP/Sトラフィック以外のトラフィックには、DNSポリシーが排他的に適用されます。したがって、ポリシーは次の順序で適用されます。

1. DNSポリシー（ブロック用）
2. SWGポリシー

フローチャート – モジュール.png

詳細をご希望ですか？チュートリアルビデオ「Umbrella Web Policies」をご覧ください。