在Umbrella Secure Internet Gateway中使用基於規則的策略

簡介

本檔案介紹Umbrella安全網際網路閘道(SIG)中的規則型原則功能，並回答常見問題。

基於規則的策略轉換概述

2021年3月31日，基於規則的策略開始向Umbrella SIG客戶開放。Umbrella SIG客戶在數週內從傳統Web策略逐步過渡到基於規則的策略。客戶通過Umbrella控制面板收到有關過渡日期和視窗的通知。此更改不會影響Umbrella DNS客戶或DNS策略設定。

附註：本常見問題解答旨在解答新老和經驗豐富的Umbrella使用者關於從傳統Web策略轉變為規則集的快速問題。  有關更深入的文檔，請參閱更新的Umbrella Admin Guide。

常見問題

什麼是Web策略？

Web策略是Umbrella組織中所有規則集的集合。

什麼是規則集？

規則集是應用於規則集內規則的一組規則和設定的邏輯容器。

為什麼要使用規則集？

規則集可以表示需要不同於組織其他部分管理的特定地理位置、辦公室組或使用者。

可在規則集中配置哪些設定？

配置規則集中提供的設定。這些設定僅適用於該規則集中的規則：

• 規則集名稱
• 規則集標識
• 阻止頁面
• 租戶控制
• 檔案分析
• 檔案型別控制
• HTTPS檢查
• PAC檔案
• 規則集日誌記錄
• SAML
• 安全設定

有關詳細說明，請參閱：配置規則集。

什麼是規則？

規則是一個語句，定義當身份和目標都匹配時要執行的操作。

為什麼要使用規則？

規則允許精細或廣泛的訪問控制。例如，低優先順序規則可以阻止所有使用者的各種網站，而高優先順序規則可以允許訪問目標組的特定站點，所有這些站點都位於同一規則集內。

支援哪些身份？

規則集和規則都支援以下身份：

• AD使用者
• AD組
• 漫遊電腦（AnyConnect終結點）
• 內部網路
• 通道
• 網路

支援哪些目標？

規則支援以下目標：

• 內容類別
• 應用程式設定
• 目標清單

支援哪些操作？

規則支援以下操作：

• 允許
• 封鎖
• 警告
• 隔離

可在規則中配置哪些設定？

規則可以配置為：

• 規則名稱
• 動作
• 身份
• 目的地
• 時間/日計畫

有關詳細資訊，請參閱將規則新增到規則集。

如何評估規則集？

規則集根據可用標識在自上而下的層次結構中進行評估。首先評估具有最高優先順序的規則集。如果未出現匹配項，則會計算下一個最高優先順序規則集，以此類推。如果任何規則集中沒有出現匹配項，則應用預設規則集。

Screen_Shot_2021-04-07_at_2.37.22_PM.png

如何評估規則？

根據可用標識和目標自上而下評估選定規則集中的規則。僅當身份和目標都匹配時，才應用規則。然後應用為規則配置的操作（允許、阻止、警告或隔離）。
Screen_Shot_2021-05-10_at_10.33.03_AM.png

規則是否應用於與規則集匹配的同一標識？

規則可以匹配與規則集相同的標識，但情況並非總是如此。當Umbrella收到Web請求時，它將收集所有存在的標識。然後，將根據同一身份池評估所選規則集中的規則，並且這些規則還必須與目標匹配。規則使用的實際標識可能與與規則集匹配的標識不同。

範例：

• JDoe在網路B中工作。
• 該組織具有以下規則集：
  • 規則集1:網路A
  • 規則集2:網路B
  • 規則集3:網路C

只有規則集2適用於JDoe。在規則集2內：

• Rule 1:身份ASmith，目標域B，操作允許
• 規則2:身份行銷、目標SomeSocialApp、操作允許
• 原則三：標識網路B、目標內容類別（域B、SomeSocialApp）、操作塊

成果：

• JDoe被阻止進入域B（規則3）。
• 作為Marketing的成員，JDoe被允許訪問SomeSocialApp（規則2）。

規則評估順序決定結果。更具體的身份（使用者、組）置於更少的身份（網路）之前。 第一場比賽獲勝。

如何知道事務中使用了哪條規則？

「活動搜尋」(Activity Search)報告可捕獲事務中使用的規則集和規則。此資訊可在Full Details for URL requests下找到。該欄位當前標有「Policy/Rule」，但在客戶從舊式Web策略過渡到規則集時更改為「Ruleset/Rule」。

在哪裡可以找到規則集的線上文檔？

請參閱Umbrella管理指南管理Web策略。