简介
本文档介绍Umbrella DNS策略测试器的限制和限制。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 安全Web网关
- 安全互联网网关
- Umbrella(DNS添加层)
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
Umbrella Policy Tester可用于确定特定身份访问时,思科是否可以阻止或允许特定目标。但是,在少数情况下,策略测试程序当前无法返回指定目标的准确(或任何)信息。本文概述了这些限制。
技术详细资料
策略测试程序一般概述可在Umbrella Policy Tester的Umbrella文档中找到。
这些策略测试程序结果可能不正确:
安全Web网关
安全互联网网关
Umbrella(DNS添加层)
- 被智能代理阻止的目标可能被策略测试程序错误地报告为“允许”。这也包括:
- 自定义URL阻止列表
- 代理阻止列表或灰名单域
- 文件检查块
- 被阻止的目标类型“Application”(例如Dropbox、Box、Facebook等)可能被策略测试程序错误地报告为“Allowed”。
- 当网络也应用到Web策略时,Web策略可能会错误显示。目前对于属于Web策略一部分的网络不支持策略测试程序。
- 不提供所有相关身份信息的测试可能显示错误的结果。例如,在受保护的网络上启用与Active Directory(AD)集成的漫游计算机:如果仅提供AD用户,但漫游计算机赢得了策略决策,则测试可能会失败。
- 如果因内容类别而被阻止的目标(以大写和小写字母输入,或者被大写)显示为允许。例如,如果您要阻止“裸体”类别,域playboy.com可以显示为已阻止,而Playboy.com显示为允许。
- 如果选择了安全类别,则可以阻止“动态DNS”目标,但策略测试程序可能会错误地将其报告为“允许”。
- 应用控制允许的目标可能会在策略测试器中错误地显示为已阻止。
- 被自定义集成的Umbrella实施API阻止的目标可能被策略测试器错误地报告为“允许”。
- 被Umbrella AMP Threat Grid集成阻止的目标可能被策略测试程序错误地报告为“允许”。
- 策略测试程序可能会将因CNAME而被阻止的目标错误地报告为“允许”。
- 目前,策略测试程序不支持作为IP地址的目标。
- 目前,策略测试程序不支持作为URL的目标。
- 被阻止解析到恶意IP的目标可能被策略测试程序错误地报告为“允许”。
- 如果选择了安全类别,则可以阻止“可能有害的”目标,但策略测试程序可能会错误地将其报告为“允许”。
- 自动DDOS保护暂时阻止受影响域的DNS响应的目标不可见。
- 被阻止在“德国青年保护”内容类别下的目的地可能被策略测试程序错误地报告为“允许”。此类别无法在策略测试程序结果中提及。
- 由于“Cryptocurrency”安全分类而被阻止的目标可能错误地显示为“Allowed”,即使被安全设置阻止。
- 由于DNS隧道VPN类别而导致的块无法在策略测试器中正确显示结果。它们错误地显示为允许。
- 虚拟设备后面的Chromebook设备可能显示不正确的策略。Chromebook(UCC)身份块可以覆盖虚拟设备应用的策略,但虚拟设备块可以覆盖UCC允许的内容。
- 未将组同步到Umbrella的AD组的成员(包括父域或子域中的组以及未选择性地同步到Umbrella的组的成员)可以在策略测试器中显示为与显示的策略匹配。用户策略无法在云中应用。通过向策略中添加单个用户进行确认,并在5分钟内确认其正确应用。
- Internal Domains列表中的目标。报告测试结果时,策略测试程序不采用内部域列表。
- 未出现在OpenDNS社区域标记站点的类别不能保证在策略测试器上显示正确的类别。仅表示一个分类来源。
- 搜索身份时,策略测试程序限制为显示20个结果。
- AD用户是嵌套AD组的成员,但在创建DNS策略时,在身份中仅选择父AD组。策略测试程序查找可能无法匹配正确的策略。
- 策略测试程序可能会将受保护允许列表中的目标错误地报告为“已阻止”。
反馈