Cisco Umbrella用户的最佳实践

下载选项

PDF (363.1 KB)
在各种设备上使用 Adobe Reader 查看
ePub (78.8 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (65.0 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2025 年 9 月 8 日

文档 ID:224827

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍与Cisco Umbrella相关的各种最佳实践。

Cisco Umbrella服务运行状况和系统状态

将http://208.69.38.170/和https://146.112.59.2/#/添加为书签，这样即使本地DNS不可用，您也能检查Umbrella System Status页面。
订阅Cisco Umbrella服务状态页面(位于https://146.112.59.2/#/)，接收有关服务降级、服务中断和/或维护与事件的通知。
点击思科社区的Umbrella Announcements页面。
定期检查Cisco Umbrella控制面板“消息中心”，了解产品警报和通知。

网络注册

与您的组织关联的所有IP地址和IP地址CIDR范围都必须向Umbrella注册。有关更多信息，请参阅Umbrella文档。

本地防火墙和代理

配置本地防火墙以允许Umbrella IP地址CIDR范围。
如果使用HTTP代理，请确保已对其进行配置。请参阅将Umbrella DNS与HTTP代理一起使用。

推广阶段

在可能的情况下，逐步部署并在大规模部署之前进行测试。要测试新功能，请将策略应用于用户和计算机的子集。如果测试成功，请将策略应用于更多用户和计算机。
使用策略测试程序验证身份和单个域的预期策略功能。
通过浏览器访问测试页来验证功能。有关详细信息，请参阅验证Umbrella配置是否正确。
创建一个或多个计划报告，以帮助监控您的环境的安全相关事件。有关此问题的详细信息，请参阅Umbrella文档。

智能代理/阻止页面

在部署中包括根CA，尤其是当使用或计划使用智能代理功能时。安装它也是个好主意，因为站点在https://时会被阻止(例如：https://facebook.com)生成没有它的错误。

思科Umbrella虚拟设备

如果使用虚拟设备(VA)，请确保在部署之前已填写Internal Domains 列表。
如果在VMWare上使用虚拟设备，请使用VMXNET3适配器。
如果使用虚拟设备，请通过VMWare或Hyper-V主机定期检查每个VA的控制台。在右侧，所有服务和连接条目显示为绿色。
按照为Umbrella部署配置内部DNS服务器中的详细信息配置内部DNS服务器。

第三方集成

如果使用Check Point或Cisco AMP Threat Grid等集成，请将任何希望从未阻止的域添加到全局允许列表（或根据您的Umbrella策略添加到其他域列表）：
- 您组织的主页(mydomain.com)。
- 代表您提供的服务的域，可以同时具有内部和外部记录(mail.myservicedomain.com、portal.myotherservicedomain.com)。
- 您可能非常依赖于Cisco Umbrella知晓或不在其自动域验证中包含的知名度较低的云应用(localcloudservice.com)

Active Directory集成

如果Cisco Umbrella与Active Directory集成，请将服务帐户添加到AD用户例外列表。

漫游客户端

如果使用漫游客户端，请确保Internal Domains列表已填写。
确保您的所有漫游客户端在Cisco Umbrella控制面板上的Identities > Roaming Computers处都处于相同版本。
如果使用思科安全客户端（以前称为AnyConnect），请使用Umbrella漫游安全模块，而不是独立漫游客户端。
如果在航空WiFi上使用漫游客户端，请参阅漫游客户端和航空/酒店WiFi最佳实践。

日志记录

详细日志仅保留30天，然后将其细分为汇总报告数据。如果您希望将更详细数据的副本保留超过30天，请在设置>日志管理中设置Amazon S3存储桶以将数据导出到。

托管服务控制台最佳实践

托管服务控制台MSP专业服务自动化(PSA)集成：

如果您是与PSA集成的MSP，请验证“PSA INTEGRATION”图标显示为绿色。

双因素身份验证

为Cisco Umbrella用户实施双因素身份验证。
为Cisco Umbrella MSP管理员实施两步身份验证。请参阅为Umbrella for MSP启用和管理两步验证。

与Cisco Umbrella支持团队联系和合作

登录到Umbrella控制面板后，向Umbrella支持团队提交请求。
如果您从Cisco Umbrella购买了电话支持，您会看到Cisco Umbrella Dashboard右上角的电话图标。单击电话图标以显示支持服务的电话号码。
提供有关您的问题或问题的完整详细信息。
使用支持案例的Umbrella诊断工具的输出。

修订历史记录

版本	发布日期	备注
1.0	08-Sep-2025	初始版本

由思科工程师提供

此文档是否有帮助?

反馈

联系我们

提交支持案例
(需要思科服务合同)