Umbrella 漫游安全

Umbrella 漫游安全模块要求订用 Umbrella 漫游安全服务(包含 Professional、Insights、Platform 或 MSP 软件包)。Umbrella 漫游安全在没有 VPN 活动时提供 DNS 层安全保护,而 Cisco Umbrella 订用添加了智能代理。此外,思科 Umbrella 订用还将提供内容过滤、多重策略、稳健性报告、Active Directory 集成等更多功能。无论订用情况如何,都将使用相同的 Umbrella 漫游安全模块。

Umbrella 漫游安全模块配置文件 (OrgInfo.json) 会将各种部署与相对应的服务关联起来,并将自动启用相对应的保护功能。

可以通过 Umbrella 控制面板实时查看源自 Umbrella 漫游安全模块的所有互联网活动。策略和报告中的精细度级别取决于 Umbrella 订用情况。

有关各个服务级别订用中包含哪些功能的详细对比,请参阅 https://umbrella.cisco.com/products/packages

Cisco Secure Client 的 Umbrella 模块(适用于 Android OS)

适用于 Android 操作系统的 Cisco Secure Client Umbrella 模块是托管的 Android 设备的漫游客户端,它提供 DNS 层保护,这种保护延伸到 Android 工作配置文件所涵盖的应用和浏览。

要将此客户端部署到 Android 设备并将 Umbrella 配置推送到 Android 设备,需要有移动设备管理系统 (MDM)。有关支持的 MDM 和其他前提条件的列表,请参阅在 Android 操作系统上部署 AnyConnect Umbrella 模块的前提条件

在 Android 上,某些 Cisco Secure Client 功能在配合 Umbrella 使用时可能功能受限:
  • 由于操作系统限制,Per-App VPN 不能与 Umbrella 模块配合使用。如果远程访问 VPN 处于活动状态,Umbrella 只能保护通过 VPN 隧道截获的 DNS 流量。如果为 Per-App VPN 配置了远程访问,则 Umbrella 只能保护隧道应用的 DNS 流量。

  • 不应将永远在线 VPN 与锁定 (Fail Close) 选项配合使用。当 VPN 服务器无法接通时,它将停止互联网访问。请参阅您的 MDM 指南,了解如何在永远在线 VPN 设置为“开”时关闭锁定设置。

有关完整的 Umbrella 功能集的说明,请参阅 AnyConnect Umbrella 模块(Android 操作系统)文档。

在 Android 操作系统上部署 Cisco Secure Client Umbrella 模块的前提条件



Cisco Secure Client 监控在 MDM 中创建的工作配置文件内应用和浏览器生成的流量,并相应地阻止或允许浏览。不监控应用和/或浏览器在工作配置文件外生成的任何流量。


  • 用于部署软件并将 Umbrella 配置推送到移动设备的移动设备管理系统 (MDM)。当前测试的版本有 Mobile Iron、Meraki、VMWare workspace 1 (Airwatch) 或 Microsoft Intune。

  • 安装有 Android OS 6.0.1 及更高版本的 Android (Samsung/Google Pixel) 移动设备。

  • 用于配置 DNS 策略、管理注册的 Android 设备以及报告用途的 Umbrella 许可证。

  • 用于启用该功能的 Umbrella 组织 ID。

  • 对于可信网络检测 (TND):

    • 如果 Umbrella 模块检测到启用了 HTTPS 的虚拟设备 (VA),它将自行停用;但是,如果 VA 不支持 HTTPS,则 Umbrella 模块将继续。

    • 必须启用 umbrella_va_fqdns 中的所有 VA FQDN。

适用于 Cisco Secure Client 的 Umbrella 模块(适用于 Windows 或 macOS)

获得思科 Umbrella 帐户

Umbrella 控制面板 (http://dashboard.umbrella.com/) 是登录页面,您可在此获得用于要包括在您的部署中的 Umbrella 漫游安全模块的配置文件 (OrgInfo.json)。您还可以在此对漫游客户端活动的策略和报告进行管理。

从控制面板下载 OrgInfo 文件

OrgInfo.json 文件包含关于您的 Umbrella 控制面板实例的具体信息,可让 Umbrella 漫游安全模块了解向哪里报告,以及需要实施哪些策略。

您必须获取来自 Umbrella 控制面板 (https://dashboard.umbrella.com) 的 OrgInfo.json 文件。

点击“身份 (Identities)”菜单结构中的漫游计算机 (Roaming Computers),然后点击页面左上角的 + 符号。向下滚动到 Umbrella 漫游安全模块并点击模块配置文件 (Module Profile)。有关具体说明/部署步骤以及软件包和文件的具体信息,请参阅 Cisco Secure Client 部署概述



在首次部署 OrgInfo.json 文件时,会将该文件复制到数据子目录 (/umbrella/data) 中,还会在该子目录中创建几个其他注册文件。因此,如果您需要部署替代 OrgInfo.json 文件,则必须删除该数据子目录。或者,您也可以卸载 Umbrella 漫游安全模块(这将删除该数据子目录),然后使用新 OrgInfo.json 文件重新安装。

安装和运行 Umbrella 漫游安全

在部署 Cisco Secure Client 时,Umbrella 漫游安全模块是您可以引入以启用额外功能的众多可选模块之一。

要解释 Umbrella 安全模块的状态和条件,请参阅《AnyConnect 插件:Umbrella 安全客户端管理员指南》。

配置 OrgInfo.json 文件

OrgInfo.json 文件包含关于您的 Umbrella 服务订用的具体信息,可让 Umbrella 漫游安全模块了解向哪里报告,以及需要实施哪些策略。可以使用 CLI 或 GUI 从 Cisco Secure Firewall ASA 或 ISE 来部署 OrgInfo.json 文件并启用 Umbrella 漫游安全模块。下面的步骤首先描述了如何从 Cisco Secure Firewall ASA 启用,然后描述了如何从 ISE 启用:

Cisco Secure Firewall ASA CLI

  1. 将您从 Umbrella 控制面板 (https://dashboard.umbrella.com) 获得的 OrgInfo.json 上传到 Cisco Secure Firewall ASA 文件系统。

  2. 发布以下命令,针对您的配置根据需要调整组策略名称。

    webvpn
    	anyconnect profiles OrgInfo disk0:/OrgInfo.json
    
    group-policy DfltGrpPolicy attribute
    	webvpn
    		anyconnect profiles value OrgInfo type umbrella
ASDM GUI
  1. 导航到 配置 (Configuration) > 远程访问 VPN (Remote Access VPN) > 网络(客户端)访问 (Network [Client] Access) > AnyConnect 客户端配置文件 (AnyConnect Client Profile)

  2. 选择添加 (Add)

  3. 为简档命名。

  4. 从“配置文件用途”(Profile Usage) 下拉菜单中选择 Umbrella 安全漫游客户端类型。OrgInfo.json 文件将填充在 Profile Location 字段中。

  5. 点击上传 (Upload),然后浏览到您从控制面板下载的 OrgInfo.json 文件的位置。

  6. 将其与 Group Policy 下拉菜单上的 DfltGrpPolicy 关联起来。请参阅启用其他 Cisco Secure Client 模块以在组策略中指定新模块名称。

ISE

按照以下步骤操作,以从 ISE 启用:

  1. 上传来自 Umbrella 控制面板 https://dashboard.umbrella.com 的 OrgInfo.json。

  2. 重命名文件 OrgInfo.xml。

  3. 按照配置 ISE 以部署 Cisco Secure Client中的步骤操作。

配置安全策略以及审核报告

您必须有思科 Umbrella 帐户,才能接受保护、查看报告信息以及配置策略。请访问 https://docs.umbrella.com/product/umbrella/ 以了解深入说明,或请访问 https://support.umbrella.com 以了解更多信息。

在安装后,可在 90 分钟至 2 小时后在您的 Umbrella 控制面板中看到漫游计算机。导航到 https://dashboard.umbrella.com 进行身份验证,然后转到 Identities > Roaming Computers,将显示漫游客户端的列表(包括处于活动状态和非活动状态的漫游客户端),以及关于每个已安装客户端的详情。

最初将为您的漫游计算机应用包含基本安全筛选级别的默认策略。此默认策略可在控制面板的 Policies 部分(或 Configuration > Policy for Cisco Umbrella accounts)中找到。

可在 Policies 部分下找到漫游客户端的报告。选中“活动搜索”(Activity Search) 报告以查看来自装有 Umbrella 漫游安全模块并已关闭 VPN 的计算机的 DNS 流量。

对诊断进行解读

您应运行 DART 报告,以诊断任何 Umbrella 漫游安全模块问题。有关如何运行的说明,请参阅此处。有关 Umbrella 的问题和故障排除详情,请参阅 Cisco Umbrella 故障排除

SWG 调试日志记录

通过将 SWGConfigOverride.json 文件复制到 SWG 文件夹,可以启用调试日志记录。如果 SWGConfig.json 存在值,则 SWGConfigOverride.json 中的配置值将覆盖其日志级别 {"logLevel":"1"} 和自动调整 {"authtuning:"1"} 配置。SWG 文件夹的位置如下:

  • Windows (Secure Client)— C:\ProgramData\Cisco\Cisco Secure Client\Umbrella\SWG

  • macOS (Secure Client)— /opt/cisco/secureclient/umbrella/swg

复制覆盖文件后,您需要重新启动 SWG 服务(或 Umbrella 服务)。

将 SWGConfigOverride.json 文件复制到相应的 SWG 文件夹后,请执行以下操作以启用调试日志记录:

Umbrella 漫游安全模块

Umbrella Roaming Security 模块提供 DNS 层的安全保护,而 Cisco Secure Client Umbrella Secure Web Gateway (SWG) Agent 模块则在终端上提供了一层安全保护,提高了更多部署场景的灵活性和可能性。Umbrella 安全 Web 网关允许您在非预期和预期两种情况上安全地对 Web 流量进行身份验证和重定向。此实施需要从 Umbrella 增订 SIG Essentials 或 SIG。

安全 Web 网关客户端将加密信头插入 HTTP 请求,头端提取信头,对其进行解密,并使用其用户数据进行身份和策略的确定和实施。同样,对于 HTTPS 流量,安全 Web 网关客户端使用 SWG 头端发起 HTTP 连接请求,而连接请求会传输加密报头,这些信头会被提取、解密并用于身份/策略确定和实施。

默认情况下,安全 Web 网关会在端口 80 和 443 上拦截 HTTP 或 HTTPS 流量。可以使用 Umbrella 云配置添加非标准端口(除 80 和 443 之外)。配置后,除默认标准端口外,安全 Web 网关还会在这些额外端口上侦听 HTTP/HTTPS 流量。

通过值得信赖的网络检测,用户可以选择在值得信赖的网络上停用安全 Web 网关。在 Umbrella 云中配置此设置后,如果 AnyConnect VPN 隧道处于活动状态,则安全 Web 网关功能将在值得信赖的网络上禁用。“UI 统计信息”(UI Statistics) 窗口中显示的网络保护状态反映了状态的任何更改。



配置此设置后,还会在出现由 Umbrella 的 DNS 保护状态导致的某些错误(例如 Umbrella 解析器无法访问)时停用安全 Web 网关。


任何不应代理的域或 IP 地址可在 Umbrella 控制面板的“部署”>“域管理”下定义。不支持通配符,但 Umbrella 将匹配父级域下属的任何子域;例如,如果 example.com 进入域管理列表,则 www.example.com 也将匹配并被跳过。以无类域间路由 (CIDR) 表示法输入 IP 地址。目前仅支持 IPv4 地址。

如果 Cisco Secure Client 无法打开与 Umbrella 代理的连接,则默认情况下 Cisco Secure Client 会打开失败,从而允许直接访问用户。您不能配置这种硬编码行为。

有关这些 Umbrella UI 配置的其他信息,请参阅《思科 Umbrella SIG 用户指南》

安全 Web 网关的限制

  • 如果安装了 Cisco Secure Client 的本地主机也配置了代理自动配置 (PAC) 文件,PAC 文件优先于 Cisco Secure Client

  • 当前仅支持 IPv4。

  • 本地代理不受支持。

  • 安装后,Umbrella 安全 Web 网关代理可能需要长达 50 分钟的时间与 Umbrella 云同步并接收其配置。不过,默认网络策略应一直应用到同步发生。

Umbrella SWG 的安装和升级

Cisco Secure Client Umbrella 安全 Web 网关模块仅适用于 Windows 或 macOS。您可以选择禁用 VPN 功能并隐藏 Cisco Secure Client UI 上的 VPN 磁贴。如果 AnyConnect VPN 与 Cisco Secure Client Umbrella 安全 Web 网关代理一起安装,则必须在 VPN 配置文件中启用 AllowLocalProxyConnections 设置。

系统支持通过 Cisco Secure Firewall ASA 或 ISE 进行预部署和 Web 部署。

Umbrella SWG 日志文件和消息

Umbrella 以 SWGConfig.json 文件格式将配置信息发送到 Cisco Secure Client SWG 模块。配置文件 SWGConfig.json 存储在以下位置:

  • Windows—C:\ProgramData (x86)\Cisco\Cisco Secure Client\Umbrella\SWG

  • macOS—/opt/cisco/secureclient/umbrella/swg/

Umbrella 漫游安全磁贴中的状态

您可以在“高级统计信息”窗口中验证安全 Web 网关的状态。在该窗口的 Umbrella 漫游安全磁贴中,Web 保护状态表示以下其中一项:

  • 已禁用 - Umbrella 服务已关闭

  • 受保护 - cscswgagent 正在运行

  • 未受保护 - cscswgagent 未运行

  • 配置错误 — SWGConfig.json 中的值不正确

  • 云服务不可用-无法访问伞代理

有关 Umbrella 安全 Web 网关代理的详细统计信息,请打开 Cisco Secure Client UI 并导航到 Umbrella 漫游安全分支,以查看重定向到 Umbrella 代理的 HTTP 请求数、重定向到 Umbrella 代理的 HTTPS 请求数、无法重定向到代理的请求数以及 Cisco Secure Client 连接到的 Umbrella 代理。错误和信息性消息记录在邮件历史记录中。

Umbrella 安全 Web 网关故障排除

如果您在“日志文件选择”(Log File Selection) 窗口中选中“Cisco Secure Client Umbrella 漫游安全模块”(Cisco AnyConnect Umbrella Roaming Secure Module),则运行 DART 捆绑包时,它将包括 SWGConfig.json 和 SWG 相关的日志。转到 http://httpbin.org/ip 以检查流量是否到达 Umbrella 代理。如果您遇到连接重置,请发送 HTTP 请求以查看响应代码:

  • 如果 HTTP 响应代码为 452,请检查客户端的时钟是否同步或者时间戳是否不正确。恶意用户可能正在尝试重放信头。

  • 如果 HTTP 响应代码为 401,则密钥不是最新的。在 "伞控制面板" 上检查设备的上次同步时间。