伊势 2.3 - 新 政策 Sets

在此博客文章中,我将介绍ISE 2.3中的新策略集。很多人来找我,认为他们需要重新学习ISE以适应新的政策。好吧,我对您有个好消息:尽管有一些增强,但它并不是您想的那样新颖或新颖。有增强功能吗?当然!但是,您对策略集的了解仍然很多。 

 

升级到ISE 2.3之后,您将导航到 政策>Policy Sets 并注意一点变化!现在看起来有些不同。旧的“策略集”屏幕如下所示:

现在看起来像这样:

 

您可能想知道所有身份验证和授权规则发生了什么!不要害怕,他们仍然在那里。新“策略集”屏幕上的视图仅是旧“策略集”的这一部分:

 

您仍然可以单击复选框在此处添加新的策略集:

 

如果要在现有策略集的上方或下方复制策略集,请在此处单击现有策略集旁边的齿轮:

 

如果要创建一个新的“允许的协议”列表,请选中该框旁边的+号,这样就可以在不退出策略集的情况下即时创建一个:

 

如果要查看身份验证/授权规则,请单击右侧的箭头进入该特定策略集:

 

您会立即发现有些不同。默认情况下,所有策略均已折叠,但是您可以轻松地对其进行扩展。现在,如果您选择使用本地例外和全局例外策略,则可以使用它:

到目前为止,大多数情况是相同的,只是布局有所不同。似乎是长期的ISE用户的真正区别在于,当您在别人那里更改或向“授权/身份验证”规则添加条件时,会弹出新的Condition Studio。如您所见,乍一看看起来很吓人:

 

哇!真的不一样吧?不用担心您仍然可以像以前在ISE中一样创建条件,但速度更快。这样考虑:左侧与旧布局中的“从库中选择现有条件”相同,右侧与“创建新条件(高级选项)”相同-旧外观如下所示:

 

当您习惯从旧版式中选择一个时,您必须缓慢地在嵌套条件中导航以找到所需的属性,并且如果您知道自己需要多个属性,则将花费一段时间,并且每当您不小心在菜单中单击时框,您必须重做:

 

幸运的是,它不再是这种方式了。如果单击“编辑器”下面的顶部框,它将快速拉出可用属性:

 

如果要跳到一组词典条件,则可以从左侧的可用词典下拉列表中进行选择,如下图所示:

 

如果您甚至不想打扰,并且对自己的状况有所了解,则可以开始在右侧输入,然后将包含这些字符的所有内容快速拉起:

 

是的,您可以快速添加属性,而不必慢慢浏览大量嵌套属性。这是一件好事。它并没有改变ISE的性质或添加属性的方式,只是使它变得更容易,更快捷地完成。 

 

添加新属性后,单击  to add another one: 

 

现在,假设您有一组条件,您将要反复使用。回到早期版本的ISE,您可以导航到 政策>Policy Elements>Conditions 并创建您自己的复合条件,然后导航回“策略集”并使用它们。现在您不需要这样做。 伊势的创建者希望使您能够更轻松地在同一屏幕上执行所有操作,因此,如果您决定要使用一组复合条件,则可以单击  将其保存在Conditions工作室左侧的Libary中:

 

现在,当您想在将来的规则中重用该复合条件时,只需在条件工作室的左侧开始键入它以将其拉出,然后将其拖放到右侧:

 

规则和条件的其他增强功能是可以执行多个逻辑AND和OR语句的能力,例如,在下面查找正在使用的PEAP-EAP-TLS的条件,并且它来自WLAN ID#1或WLAN ID#5。这使得简化某些规则和策略集变得更加容易。

 

策略集中的另一个选项是,如果您选择设置“ Is NOT”限定词的能力。

 

再次,这是希望减少重复的规则,因此您不必为每个不同的选项创建规则。您可以选择继续执行策略集和条件,方法与以前相同。就像我希望在上面传达的那样,它的布局是相同的,但是还有一些更简单的选项可以增强和简化规则。 

您会在新的策略集中发现ISE的创建者希望使创建策略集中的事情变得更加容易,而不必单击按钮即可快速切换屏幕来创建您的授权配置文件或新的安全组标签:

 

希望您发现这篇博客很有趣,并且这消除了对新政策集的一些误解。最终结果是,如果您什么都不想更改,则可以继续像以前一样制定条件和策略-完全可以!如果有的话,ISE制造商通过摆脱嵌套条件,可以更快地制定这些策略。但是,如果您发现自己需要创建一些更复杂的条件,那么现在您知道了选择。