Wer kennt es nicht? Man erhält den Auftrag, eine neue URL Policy zu erstellen. Hört sich im ersten Moment einfach an, bis man die Anforderungen liest. Dieser User darf Zugriff haben, diejenige Gruppe nicht und für dasjenige Department soll der Zugriff nur zu bestimmten Zeiten erlaubt sein. Schon ist es soweit, der Knopf im Hirn ist da und man fragt sich, wie kann ich das nun in die Zscaler Policy übertragen?


Voraussetzungen

Die Frage nach der richtigen Policy ist mir in den letzten Jahren oft begegnet. Daher habe ich mir die Zeit genommen und das kleine 1×1 der URL Control in einer Kreuztabelle aufgebaut. Die Vorgabe für die Verwendung der URL Control Policy in der Kreuztabelle ist, dass

    • die Benutzer authentisiert sind.
    • die Lokationen bei Zscaler hinterlegt sind.
    • die Gruppen und Departemente bei der Benutzersynchronisierung nach Zscaler übertragen werden.
    • SSL Inspection aktiv ist.
    • URL-Category, mit den zu blockierenden URLs, erstellt ist.
    • URL Control Lizenz in Ihrem Account vorhanden ist.

Kleines 1x1 der URL Control Policy – Kreuztabelle

Wie ist nun die Kreuztabelle zu lesen? Auf der linken Seite ist jeweils der Test beschrieben und auf der rechten Seite die aktivierten Kriterien. Im Feld Testergebnis ist zu sehen, ob der Zugriff zugelassen wird oder nicht.  Das Ziel der getesteten URL Policy Rule ist den User zu blockieren. Entsprechend sollte das Ergebnis Block sein.

Ja = User stimmt überein mit Kriterium | Nein = User stimmt nicht überein mit Kriterium


Alles klar? Wenn nicht, folgend ein Beispiel Testszenario

In diesem Testszenario haben wir das Ziel, dass der Benutzer nicht auf die Webseite www.avantec.ch zugreifen darf. Als Vorinformation ist es wichtig zu wissen, dass

    • der Benutzer «Peter Test» über die Lokation «ZH-Lokation» ins Internet geht.
    • in der verwendeten URL Kategorie «BLOCK-CATEGORY-TEST» die beiden URLs www.avantec.ch und .avantec.ch enthalten sind.

In diesem Szenario werden die beiden Konfigurationen aus dem Test 1 und Test 5 aus der Kreuztabelle verwendet.

    • Im Test 1 wird der Benutzer als Kriterium definiert.
    • Im Test 5 wird der Benutzer und die Lokation als Kriterium definiert, wobei die Lokation des Benutzers nicht übereinstimmt.

In der folgenden Tabelle sind die jeweiligen URL Control Policy Konfigurationen, die Ergebnisse und die Logeinträge aus dem Zscaler Portal ersichtlich.

Die Ergebnisse zeigen auf, dass der Test 1 wie gewünscht verläuft und geblockt wird. Der Test 5, im Gegensatz, lässt den Zugriff zu. Dies aufgrund davon, dass der Benutzer nicht von der Lokation «ZH-Lokation» ins Internet geht. Der Test 5 zeigt uns auf, dass der User und die Lokation via einem logischen UND verknüpft sind.

Test 1: User ja

Edit URL Filtering Rule 1

Test 5: User Ja - Location Nein

Edit URL Filtering Rule 2

Ergebnis- Zugriff auf Seite blockiert

Ergebnis Zugriff auf Seite blockiert

Ergebnis - Zugriff auf Seite erlaubt

Ergebnis Zugriff auf Seite erlaubt

Logeinträge in Zscaler

Logeinträge in Zscaler 1
Bild anklicken zum Vergrössern.

Logeinträge in Zscaler

Logeinträge in Zscaler 2
Bild anklicken zum Vergrössern.

So ich hoffe nun ist alles klar und es bleibt mir nur noch zu sagen – gutes Policy bauen.