简介
本文档介绍Cisco Umbrella中从Web策略到基于规则的策略的更改。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于Cisco Umbrella安全互联网网关(SIG)。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
概述
自2021年3月31日起,一项名为“基于规则的策略”的新功能已向Umbrella安全互联网网关(SIG)客户普遍提供。Web策略已从其当前策略模型转换为规则模型。旧的Web策略对策略组件使用静态操作顺序,这些组件表示一个或多个目标,因为组件包括允许/阻止目标列表、应用设置和内容类别。静态操作顺序如下:
1.允许目标列表
2.允许应用程序设置
3.安全类别块
4.阻止目标列表
5.阻止应用程序设置
6.内容类别块
策略模型的另一个限制是与该策略关联的所有标识都将接收策略。因此,如果单个用户或标识组需要更改其Web策略,则必须为其创建新的Web策略。
但是,新规则模型将完全控制权交到了管理员手中。创建的一些规则会影响大量身份,而另一些规则应用于单个身份或较小身份组,无需将这些身份移动到单独的策略。此外,管理员只需对规则重新排序,即可轻松控制操作顺序。
比较规则与旧策略模型
新规则允许最终用户执行这些操作,而旧模式不能:
- 执行“允许”操作后覆盖安全性
- 用于规则应用的一天中的时间和一周中的某一天计划
- 对内容类别执行“警告”操作
- 创建虚拟浏览器,通过规则的集合身份“隔离”主机到目标的请求
Screen_Shot_2021-05-05_at_3.51.38_PM.png
有关更多信息,请阅读Umbrella设置文档:管理Web策略
转换操作
必须在Umbrella中创建一个新的规则语言来方便规则的处理,并据此创建了一个新的数据库来存储这些规则。此过渡包括两个步骤:
1.将现有策略组件从Web策略使用的旧数据库复制到规则使用的新数据库。这些组件被删除任何操作(例如allow或block),因为规则可以执行操作。因此,政策组成部分变得与行动无关。但是,复制的组件在其名称中继承了“允许”或“阻止”标签,以指定其在旧系统中的上下文意图。应用设置是特殊情况,因为它们是唯一的,因为它们同时执行allow和block操作。执行这两项操作的任何应用设置组件都拆分为两部分:一个用于允许的应用,一个用于阻止的应用。为每个过渡的Web策略创建了最多5个规则。如果某个Web策略没有为其配置所有类型的策略组件,则只有为该Web策略配置的转换组件才会产生较少的自动生成的规则。此屏幕截图是自动生成的全部五条规则转换的Web策略示例:

2.后端完全过渡后,新UI即启用。请注意,在启用新UI之前,登录到控制面板的所有用户仍会看到旧的UI并与之交互。
- 启用新UI后,会保存在此不完整阶段对网络策略所做的任何更改。
过渡时间
您获得了进行过渡的日期和时间范围,并由您的客户成功代表和/或Umbrella消息系统在您的控制面板中转达。对于所有之前的Web策略,自动生成的规则会占据每个已配置策略组件的位置和优先级顺序。启用新UI后,转换过程将无缝进行,并且由于自动生成的规则反映了旧版Web策略的相同操作和优先级,因此从Web策略过渡到规则集的行为没有变化。在此过渡期间,Web策略实施没有停机时间。
2021年3月31日之后的变化
在过渡期,对Web策略所做的任何更改都会捕获到新规则集中。这是因为正在将现有策略组件从旧数据库复制到新数据库。复制完成后,启用新UI时出现延迟。在启用新UI之前,Web策略处于活动状态,对这些Web策略的所有更改都已写入旧数据库,且未转换为规则。
技术支持
如果您使用的是客户成功经理、技术客户经理或服务交付经理,那么他们可以回答问题。向Cisco Umbrella Support报告技术问题。