在Umbrella中从Web策略更改为基于规则的策略

简介

本文档介绍Cisco Umbrella中从Web策略到基于规则的策略的更改。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于Cisco Umbrella安全互联网网关(SIG)。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

概述

自2021年3月31日起，一项名为“基于规则的策略”的新功能已向Umbrella安全互联网网关(SIG)客户普遍提供。Web策略已从其当前策略模型转换为规则模型。旧的Web策略对策略组件使用静态操作顺序，这些组件表示一个或多个目标，因为组件包括允许/阻止目标列表、应用设置和内容类别。静态操作顺序如下:

1.允许目标列表  

2.允许应用程序设置  

3.安全类别块  

4.阻止目标列表  

5.阻止应用程序设置  

6.内容类别块 

策略模型的另一个限制是与该策略关联的所有标识都将接收策略。因此，如果单个用户或标识组需要更改其Web策略，则必须为其创建新的Web策略。

但是，新规则模型将完全控制权交到了管理员手中。创建的一些规则会影响大量身份，而另一些规则应用于单个身份或较小身份组，无需将这些身份移动到单独的策略。此外，管理员只需对规则重新排序，即可轻松控制操作顺序。 

比较规则与旧策略模型

新规则允许最终用户执行这些操作，而旧模式不能：

• 执行“允许”操作后覆盖安全性
• 用于规则应用的一天中的时间和一周中的某一天计划
• 对内容类别执行“警告”操作
• 创建虚拟浏览器，通过规则的集合身份“隔离”主机到目标的请求

Screen_Shot_2021-05-05_at_3.51.38_PM.png

有关更多信息，请阅读Umbrella设置文档：管理Web策略

转换操作

必须在Umbrella中创建一个新的规则语言来方便规则的处理，并据此创建了一个新的数据库来存储这些规则。此过渡包括两个步骤： 

1.将现有策略组件从Web策略使用的旧数据库复制到规则使用的新数据库。这些组件被删除任何操作（例如allow或block），因为规则可以执行操作。因此，政策组成部分变得与行动无关。但是，复制的组件在其名称中继承了“允许”或“阻止”标签，以指定其在旧系统中的上下文意图。应用设置是特殊情况，因为它们是唯一的，因为它们同时执行allow和block操作。执行这两项操作的任何应用设置组件都拆分为两部分：一个用于允许的应用，一个用于阻止的应用。为每个过渡的Web策略创建了最多5个规则。如果某个Web策略没有为其配置所有类型的策略组件，则只有为该Web策略配置的转换组件才会产生较少的自动生成的规则。此屏幕截图是自动生成的全部五条规则转换的Web策略示例：

2.后端完全过渡后，新UI即启用。请注意，在启用新UI之前，登录到控制面板的所有用户仍会看到旧的UI并与之交互。 

• 启用新UI后，会保存在此不完整阶段对网络策略所做的任何更改。

过渡时间

您获得了进行过渡的日期和时间范围，并由您的客户成功代表和/或Umbrella消息系统在您的控制面板中转达。对于所有之前的Web策略，自动生成的规则会占据每个已配置策略组件的位置和优先级顺序。启用新UI后，转换过程将无缝进行，并且由于自动生成的规则反映了旧版Web策略的相同操作和优先级，因此从Web策略过渡到规则集的行为没有变化。在此过渡期间，Web策略实施没有停机时间。

2021年3月31日之后的变化

在过渡期，对Web策略所做的任何更改都会捕获到新规则集中。这是因为正在将现有策略组件从旧数据库复制到新数据库。复制完成后，启用新UI时出现延迟。在启用新UI之前，Web策略处于活动状态，对这些Web策略的所有更改都已写入旧数据库，且未转换为规则。

技术支持

如果您使用的是客户成功经理、技术客户经理或服务交付经理，那么他们可以回答问题。向Cisco Umbrella Support报告技术问题。