在Umbrella中從Web策略更改為基於規則的策略

簡介

本文檔介紹從Cisco Umbrella中的Web策略到基於規則的策略的更改。

必要條件

需求

本文件沒有特定需求。

採用元件

本檔案中的資訊是根據Cisco Umbrella安全網際網路閘道(SIG)。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

概觀

自2021年3月31日起，Umbrella Secure Internet Gateway(SIG)客戶普遍可使用名為「基於規則的策略」的新功能。已將Web策略的當前策略模型轉換為規則模型。舊的Web策略對策略元件使用靜態操作順序，策略元件表示一個或多個目標，因為元件包括允許/阻止目標清單、應用程式設定和內容類別。靜態操作順序如下:

1.允許目標清單  

2.允許應用程式設定  

3.安全類別塊  

4.阻止目標清單  

5.阻止應用程式設定  

6.內容類別塊 

策略模型的另一個限制是與策略關聯的所有標識都將收到策略。因此，如果單個使用者或標識組需要更改其Web策略，則必須為其建立新的Web策略。

但是，新規則模型將完全控制權交給管理員。建立了一些規則，這些規則會影響大量身份，而其他規則應用於單個身份或較小身份組，而無需將這些身份移動到單獨的策略。另外，管理員只需對規則重新排序，即可輕鬆控制操作的順序。 

比較規則與舊策略模型

新規則允許終端使用者執行這些操作，而舊模型不能：

• 執行「允許」操作後覆蓋安全性
• 用於規則應用程式的日和週時間計畫
• 對內容類別執行「警告」操作
• 建立虛擬瀏覽器，通過規則的集標識「隔離」主機到目標的請求

Screen_Shot_2021-05-05_at_3.51.38_PM.png

有關更多資訊，請閱讀Umbrella設定文檔：管理Web策略

轉換操作

為了便於規則的處理，必須在Umbrella中建立一個新的規則語言，並據此建立了一個儲存這些規則的新資料庫。這一過渡有兩個步驟： 

1.將現有策略元件從Web策略使用的舊資料庫複製到規則使用的新資料庫。這些元件被刪除任何操作（如allow或block），因為規則可以執行操作。因此，政策內容變得與行動無關。但是，複製的元件在其名稱中繼承了「允許」或「阻止」標籤，以指定它們在舊系統中用於上下文的意圖。應用程式設定是特殊情況，因為它們是唯一的，因為它們同時執行allow和block操作。執行這兩項操作的任何應用程式設定元件將被拆分為兩部分：一個用於允許的應用，一個用於阻止的應用。為每個已轉換的Web策略建立了最多5個規則。如果某個Web策略沒有為其配置所有型別的策略元件，則只有為該Web策略配置的元件進行了轉換，導致自動生成的規則較少。此螢幕截圖是使用自動生成的所有5個規則進行轉換的Web策略的示例：

2.後端完全轉換後，新UI即啟用。請注意，在啟用新UI之前，登入到儀表板的任何人都會看到舊的UI並能夠與其互動。 

• 啟用新UI後，會儲存在此不完整階段對Web策略所做的任何更改。

過渡時間

您獲得了進行轉換的日期和時間範圍，並由您的客戶成功代表和/或控制面板中的Umbrella消息傳遞系統傳達該資訊。對於所有以前的Web策略，每個已配置的策略元件都有一個自動生成的規則，該規則的位置和優先順序順序相同。啟用新UI後，轉換過程是無縫的，由於自動生成的規則反映了舊式Web策略的相同操作和優先順序，因此從Web策略到規則集的轉換行為沒有變化。在此過渡期間，Web策略實施沒有停機時間。

2021年3月31日後的變化

在轉換期間，對您的Web策略所做的任何更改都會捕獲到新規則集中。這是因為正在將現有策略元件從舊資料庫複製到新資料庫。複製完成後，啟用新UI時出現延遲。在啟用新UI之前，Web策略處於活動狀態，對這些Web策略所做的任何更改都會寫入舊資料庫，不會轉換為規則。

技術支援

如果您與客戶成功經理、技術客戶經理或服務交付經理合作，他們可以回答問題。向Cisco Umbrella Support報告技術問題。