為Umbrella配置SWG策略

簡介

本文檔介紹如何配置與Umbrella一起使用的Web策略。

背景資訊

歡迎使用Umbrella安全Web閘道(SWG)。 部署之後，最重要的步驟是定義Web策略，以確保收到的基線行為符合您的預期。現在，此策略流準確映象DNS層策略。

Umbrella Web策略

Umbrella Web策略使用頂部匹配應用演算法運行。也就是說，將應用與當前身份集匹配的第一個策略，並忽略所有後續策略匹配。這是所有Umbrella策略的基礎，可能不同於任何預先存在的對基於代理的Web策略的期望。

策略功能如此流程圖所示。與查詢中包含的任何身份相匹配的第一個策略被應用，而不考慮任何進一步的策略。

Flowchart-SWG.png

由於此流對於不是來自Umbrella DNS策略的使用者來說是新流，因此下面是一個策略集示例，其中幾個策略應用於同一使用者或組。請注意僅使用應用於Phil（或Phil的使用者組）的第一個策略，而忽略所有其餘匹配項。其他匹配項不會在Umbrella策略中聚集，只是簡單地忽略。

Flowchart-flow.png

因此，這些在Umbrella SWG策略中不可用：

• 巢狀策略
• 允許並阻止橫向於任何策略的應用程式或網站的排除項
  • 範例：Phil的策略排除項允許使用Facebook、允許Instagram和允許Dropbox排除，但Phillis僅允許使用Facebook和允許Instagram。
    • 在Umbrella策略中，這是兩個獨特的策略。
      • 允許Facebook、Instagram、Dropbox申請到Phil
      • 允許Facebook、Instagram應用到Phillis
    • 每個允許或阻止的單個應用程式的組合都必須建立一個新策略，並將適用的使用者新增到該策略中。

此外，任何非HTTP/S的流量都會收到此類流量的DNS層策略。

有關雲交付的防火牆和SWG的重要說明

Umbrella CDFW通過Umbrella SWG傳送任何允許的HTTP/S流量，因此也應用策略。定義策略後，策略應用流的工作方式與SWG流相同。

Flowchart-cdfw.png

有關漫遊安全模組策略的重要說明

使用Umbrella漫遊模組時，策略的有效性與網路策略不同。漫遊模組與網路代理配置或PAC檔案不相容，僅支援網路外的使用案例。在網路上時可以禁用它。

將漫遊模組與SWG策略一起使用時，DNS策略首先對所有塊（包括安全塊）生效。如果DNS策略的結果不是阻止，則應用代理策略。此外，對於非HTTP/S流量的任何流量，DNS策略都以獨佔方式應用。因此，策略應用順序如下：

1. DNS策略（用於塊）
2. SWG策略

Flowchart-module.png

想要瞭解更多資訊？檢視我們的教程影片：Umbrella Web策略。