簡介
本文檔介紹Umbrella DNS策略測試器的限制和限制。
必要條件
需求
本文件沒有特定需求。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- 安全Web網關
- 安全網際網路閘道
- Umbrella(DNS新增層)
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
Umbrella Policy Tester可用於確定特定身份訪問時,思科是否可以阻止或允許特定目的地。但是,在某些情況下,策略測試程式當前無法返回給定目標的準確(或任何)資訊。本文概述了這些限制。
技術詳細資料
策略測試程式一般概述可在Umbrella Policy Tester的Umbrella文檔中找到。
這些策略測試程式結果可能不正確:
安全Web網關
安全網際網路閘道
Umbrella(DNS新增層)
- 被智慧代理阻止的目標可能會被策略測試程式錯誤地報告為「允許」。這也包括:
- 自定義URL阻止清單
- Proxy-blocklist或greylist域
- 檔案檢查塊
- 被阻止的目標型別「應用程式」(例如Dropbox、Box、Facebook等)可能被策略測試程式錯誤地報告為「允許」。
- 當網路也應用到Web策略時,Web策略可能會錯誤顯示。對於同時屬於Web策略一部分的網路,此時不支援策略測試程式。
- 不提供所有相關身份資訊的測試可能顯示不正確的結果。例如,在受保護的網路上啟用具有Active Directory(AD)整合的漫遊電腦:如果只提供了AD使用者,但漫遊電腦贏得了策略決策,則測試可能會失敗。
- 由於內容類別而被阻止的目標可以顯示為允許(如果它們是用大寫字母和小寫字母輸入或大寫)。例如,如果您要阻止「裸體」類別,域playboy.com可以顯示為已阻止,而Playboy.com顯示為允許狀態。
- 如果選擇了安全類別,則可以阻止「動態DNS」目標,但策略測試程式可能會錯誤地報告為「允許」。
- 應用程式控制允許的目標可能會在策略測試程式中錯誤地顯示為已阻止。
- 被自定義整合的Umbrella Enforcement API阻止的目標可能會被策略測試程式錯誤地報告為「允許」。
- 被Umbrella AMP Threat Grid Integration阻止的目標可能會被策略測試程式錯誤地報告為「允許」。
- 策略測試程式可能會將因CNAME而被阻止的目標錯誤報告為「允許」。
- 目前,策略測試程式不支援作為IP地址的目標。
- 策略測試程式目前不支援作為URL的目標。
- 策略測試程式可能會將阻止解析到惡意IP的目標錯誤報告為「允許」。
- 如果選擇了安全類別,則可能會阻止「可能有害的」目標,但策略測試程式可能會錯誤地報告為「允許」。
- 自動DDOS保護暫時阻止受影響域的DNS響應的目標無法由策略測試程式檢視。
- 被阻止的內容類別「德國青年保護」下的目的地可能被策略測試員錯誤地報告為「允許」。在策略測試器的結果中不能提到該類別。
- 由於「Cryptocurrency」安全分類而被阻止的目標可能錯誤地顯示為「Allowed」(允許),即使被安全設定阻止。
- 由於DNS隧道VPN類別而導致的塊無法在策略測試器中正確顯示結果。它們錯誤地顯示為「允許」。
- 虛擬裝置後面的Chromebook裝置可能會顯示錯誤的策略。Chromebook(UCC)身份塊可以覆蓋虛擬裝置應用的策略,但虛擬裝置塊可以覆蓋UCC允許的情況。
- 未將組同步到Umbrella的AD組的成員(包括父域或子域中的組以及未選擇性地同步到Umbrella的組的成員)可以在策略測試器中顯示為與顯示的策略匹配。使用者策略無法在雲中應用。通過將單個使用者新增到策略中進行確認,並在5分鐘內確認其正確應用。
- 位於內部域清單上的目標。報告測試結果時,策略測試器不進入「內部域」清單。
- 未顯示在OpenDNS社群域標籤站點的類別不能保證在策略測試程式上顯示正確的類別。僅表示一個分類源。
- 在搜尋身份時,策略測試程式限製為顯示20個結果。
- AD使用者是巢狀AD組的成員,但在建立DNS策略時,在標識中僅選擇父AD組。策略測試程式查詢可能無法與正確的策略匹配。
- 策略測試程式可能會將受保護允許清單中的目標錯誤報告為「已阻止」。
意見