Cisco Umbrella

應用測序管理、目標列表、文件檢測、智能代理、身份驗證

外部認證數據庫

連接器服務器

• 為了支持與雨傘AD (Umbrella Active Directory)集成，必須在以下環境下配置AD域的成員服務器:
• Windows Server 2012, 2012 R2, 2016, 2019或2022，最新的服務包和100MB空閑硬盤空間。SP2之前的服務包不受支持。
• .NET Framework 4.5或以上版本
• 如果本地防病毒應用程序正在運行，則允許列出OpenDNSAuditClient.exe和OpenDNSAuditService.exe進程。
• 連接器可以直接部署在域控制器上。在這種情況下，域控制器必須滿足上面列出的所有先決條件。只需要一個連接器來提供AD域的身份信息，如果需要，還需要一個可選的連接器來實現冗余。

出站網絡訪問Cisco Umbrella

• 443 (TCP)到api.opendns.com
• Windows可能需要訪問端口80/443 (TCP)上的其他url才能執行證書撤銷列表和代碼簽名檢查。有關端口的完整列表，請參見?通信流和故障排除。
• 443 (TCP)到disthost.gumbrella.com(用于下載升級)
• 如果您使用的是透明HTTP web代理，請確保80/443端口上的上述url不屬于代理，且不受認證約束。

連接器的賬戶

在部署連接器時，需要在AD域中創建新的用戶帳戶。該帳戶應包括:

登錄名(sAMAccountName)設置為OpenDNS_Connector。也可以使用自定義用戶名，但必須按照下面列出的權限配置。

‘密碼永不過期’?選中

注意:?密碼不能包含反斜杠、引號(單引號或雙引號)、大于或小于圓括號(< >)和冒號。

已分配“讀取”和“復制目錄更改”權限。另外，您可以使連接器帳戶成為內置的“企業只讀域控制器”組的成員，該組將自動分配這些權限。

**注意:**連接器將AD結構初始化到Umbrella。在此之后，它檢測AD結構的變化，并只將這些變化傳達給用戶。檢測更改需要“復制目錄更改”權限，因此沒有此權限連接器無法工作。“復制目錄更改”權限不同于“復制目錄更改所有”權限，后者允許檢索密碼散列。連接器不讀取密碼散列，因此不需要“全部更改復制目錄”權限。

報告

安全活動、應用發現、主要威脅、高級身份報告、管理員審計報告等

漫游客戶端

Umbrella 漫游客戶端是一個非常輕量級的 DNS 客戶端，可在 Windows 或 macOS 計算機上運行。*它不是*VPN客戶端或本地防病毒引擎。它允許保護傘安全和基于策略的保護，包括我們的智能代理，無論您連接到哪個網絡，都可以強制執行。無論您是在辦公室、酒店、咖啡店還是使用移動熱點，Umbrella 漫游客戶端都會強制執行您在 Umbrella 中設置的策略。它包括提供精細的策略實施和報告有關特定計算機標識甚至登錄的Active Directory用戶的信息的功能。

原理

在 Windows 上，Umbrella 漫游客戶端綁定到 127.0.0.1：53（IPv4 的 localhost）和 [：：1]：53（IPv6 的 localhost），并將自身設置為計算機上每個網絡連接上的獨占 DNS 服務器，確保所有 DNS 請求都定向到最近的 Umbrella 數據中心，同時使用內部域正常處理本地網絡資源。對于 macOS，Umbrella 漫游客戶端僅綁定到 127.0.0.1：53（IPv4 的本地主機）。

通過 Umbrella 發送的 DNS 查詢經過加密、身份驗證，并按照組織管理員的指示進行安全和內容篩選。如果計算機嘗試訪問 Umbrella 或組織管理員認為不安全的域名，則計算機的瀏覽器將被定向到安全阻止頁面。

雨傘漫游客戶端的優勢

使用我們傳統的基于網絡的服務，或者使用大多數傳統的基于設備的網絡外圍網關，Umbrella 漫游客戶端可以克服兩個限制：

• 漫游/網絡外 - 如果筆記本電腦離開辦公室并且始終未使用全隧道 VPN（速度可能很慢），則在網絡外部漫游時，筆記本電腦將不受威脅和不良內容的保護。
• 粒度報告和過濾 - 僅使用基于網絡的服務，Umbrella 報告中可見的所有 DNS 流量都來自單個網絡標識。Umbrella 漫游客戶端提供在 Umbrella 中設置的策略中指定的計算機級粒度。您不僅可以在每臺計算機上強制實施不同的安全和內容篩選設置，還可以查看計算機級別的報告。
• 用戶身份支持 — 身份支持是對漫游客戶端的增強，除了用戶和專用 LAN IP 報告外，它還提供基于 Active Directory 用戶和組身份的策略。

虛擬域名支持

• Umbrella 漫游客戶端適用于大多數拆分隧道和全隧道 VPN。
• 有關支持思科拆分隧道 VPN 所需的特殊注意事項的信息，請參閱傘形漫游客戶端：VPN 和 VPN 兼容性
• 有關與 Umbrella 漫游客戶端不兼容的 VPN 客戶端的列表，請參閱不兼容的 VPN 客戶端。

防病毒和端點安全軟件支持

雨傘漫游客戶端的唯一功能是處理DNS請求，因此第三方安全軟件不應干擾雨傘漫游客戶端。所有繁重的處理都是在Umbrella數據中心和云中完成的;因此，您不會受到與傳統防病毒軟件相關的緩慢影響。

先決條件

支持操作系統

• Windows 7 SP1或更新版本，帶有。net 4.6.2+
• macOS 10.13或更新版本(客戶端2.3或更高版本)

不支持的操作系統

• Windows Server(所有版本)
• Windows 10 Enterprise Multi-Session
• 基于Windows RT的ARM處理器
• macOS 10.12及以上版本。

Umbrella 漫游安全模塊 -AnyConnect

思科AnyConnect的思科雨傘漫游安全模塊在任何網絡、任何地點、任何時間提供始終開啟的安全——無論是開啟還是關閉您的企業VPN。漫游安全模塊在DNS層強制安全，以阻止惡意軟件，網絡釣魚，以及命令和控制回調在任何端口。傘提供實時可見的所有互聯網活動每個主機名(和可選的AD用戶名)在您的網絡或VPN內外。根據網絡設置，可以選擇在網絡上禁用客戶端。

VA 向導

Umbrella virtual appliances (VAs)是一種輕量級虛擬機，可兼容VMWare ESX/ESXi、Windows Hyper-V、KVM管理程序以及Microsoft Azure、谷歌云平臺和Amazon Web Services云平臺。當在您的網絡中用作有條件的DNS轉發器時，Umbrella VAs記錄DNS請求的內部IP地址信息，以便在報告、安全實施和分類過濾策略中使用。此外，虛擬網關還對DNS數據進行加密和認證，以增強安全性。

VAs還支持Active Directory (AD)集成，這擴展了VAs的功能，除了內部IP地址可見性和DNS加密外，還包括AD識別信息。

Umbrella Virtual Appliances 是如何工作的

虛擬服務器在您的網絡中充當有條件的DNS轉發器，智能地將公共DNS查詢轉發到思科雨傘的全球網絡，并將本地DNS查詢轉發到您現有的本地DNS服務器和轉發器。每一個發送到Umbrella的公共DNS查詢都是經過加密、認證的，并且包含了客戶端的內部IP地址。


VAs不緩存DNS記錄;由權威DNS服務器設置的DNS記錄的TTL被終端視為正常。VAs為您的本地DNS基礎設施添加了一個無縫的超低延遲層。

VA的好處

細粒度的身份信息

如果你已經將DNS指向雨傘，或者計劃指向雨傘，那么雨傘報告中所有可見的DNS流量都來自一個單一的網絡身份。VAs提供內部IP可視性，允許您跟蹤網絡中的惡意或不適當流量到特定的IP地址。

沒有VA

安全和DNS流量相關的調查不能追溯到個人計算機或IP地址。

有VA

VAs記錄每個DNS請求的內部IP地址。安全和DNS流量相關調查允許您將流量關聯到一個單獨的內部IP地址。

與AD集成(作為補充特性添加)

VAs還根據Umbrella的策略記錄AD用戶、組或計算機。

細粒度的策略管理

通過指定內部IP或IP范圍，為“自帶設備”(BYOD)企業網絡、客戶Wi-Fi、僅供服務器的網絡等設置不同的策略。粒度策略控制使得在每個網絡的基礎上過濾不想要的內容和惡意流量變得很容易。

沒有端點軟件

不需要客戶端軟件。不需要重新配置操作系統鏡像。

輕量級的足跡

一個VA只需要至少一個虛擬CPU核和512MB，每天處理數百萬個DNS查詢。

AD集成

VAs支持AD集成，它在報表和策略中提供用戶、組或計算機名粒度。

先決條件

VA需求

每個Umbrella站點必須成對部署兩個虛擬設備(VAs)，以確保DNS級別上的冗余，并允許在不停機的情況下進行更新。

虛擬數據中心規格—每個虛擬數據中心至少需要分配以下資源:

• 一個虛擬CPU
• 最少512MB RAM(推薦1GB RAM)
• 7GB磁盤空間。

使用這些規范，每個VA每天能夠處理數百萬個DNS請求。如果您認為您的網絡將超過這個數字

正確的日期/時間——確保系統管理程序主機的日期和時間正確。不正確的日期或時間可能導致VAs的更新或同步問題。虛擬機時間獨立同步，默認為UTC。

虛擬化平臺

VMware 、Hyper-V、Cloud Platform、KVM、Nutanix

網絡需求

一旦部署了VAs并準備使用，端點客戶端必須只能通過VAs解析DNS，而不是您的本地DNS轉發器。這通常通過網絡的DHCP配置來完成。

為了保證虛擬網關與Umbrella云服務和本地DNS轉發器/服務器能夠互通，虛擬網關需要滿足以下防火墻/ACL要求。這些需求適用于部署VA的每個平臺。

部署在VMware平臺

1. 下載 OVF 模板

a. Navigate to Deployments > Configuration > Sites and Active Directory and click Download.

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-zRWtYpkH-1650777565434)(…/…/圖片/typora/c337a05-sites_ad_download.jpg)]

b. Click Download for VA VMWare ESXi.

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-gjP4s0zb-1650777565434)(…/…/圖片/typora/ccd1605-Va_for_VMware.jpg)]

2.部署 OVF 模板

a. Log into your VMware vSphere client and select the File tab.
b. Click Deploy OVF Template, choosing the downloaded .ova template.
c. Follow the deployment wizard prompts, but be sure to follow these steps:

• For the source, browse to the .ova file you just downloaded.
• Specify a unique name and location for your VA.
  d. Select the disks appropriate to your environment. It is recommended to select Thin Provision for the disk format, but it is not mandatory.
  e. Select or map a network.
  f. Click Finish.
  The systems will begin deploying the VA and subsequent prompts will update you regarding status.

3.部署第二臺VA

每個傘狀網站需要兩個VAs。至關重要的是，這些虛擬環境不能以任何方式被克隆或復制。必須手動設置和配置每個VA。

在部署第一個VA時，重復步驟配置第二個VA。

4.開啟VA

If all is well, you’ll see the VA console screen. For information about configuring VAs, see Configure Virtual Appliances.

內部網絡

內部網絡允許你根據你的網絡的內部IP地址管理你的計算機子網的Umbrella策略。

在Umbrella virtual appliance, VA部署完成后，可以配置內部網絡標識。要設置這一點，將我們的一個輕量級VAs到您的網絡，引導您的DNS流量通過它，并開始基于特定的內部IP地址和/或子網映射您的網絡。

如果有多個物理位置或有多個內部網絡需要配置，則可以從那里開始構建多個站點。

Umbrella VA將使您的DNS流量指向它進行此配置，并且任何確定來自您定義的網絡的內容都將應用策略。

先決條件

系統需求

• Windows 7(及以上)x86(32位)、x64(64位)操作系統
• VPN模塊需要Visual Studio 2015 32位運行時，它與我們的安裝包綁定在一起。
• 漫游安全模塊需要.net框架(至少4.6.2+)
• Mac OS X 10.9(或更高版本)操作系統

硬件部署

一些思科硬件設備——例如，思科ISR 4000——可以與Umbrella集成，為你提供了增強的部署選項。有關這些選項以及它們如何幫助滿足您的部署需求的更多信息，請參閱我們的硬件部署文檔。

可用硬件選項:

• Cisco 4000 Series Integrated Services Routers (ISR)
• Cisco Umbrella Wireless LAN Controllers (WLC)
• Cisco Integrated Services Routers (ISR) G2
• Meraki Cloud-Managed Networks
• Cisco Adaptive Security Appliances (ASA)
• Cisco Catalyst 9200 and Catalyst 9300 Switches

總結

以上是生活随笔為你收集整理的Cisco Umbrella的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。