Cisco Cisco Web Security Appliance S670 User Guide
16-4
思科网络安全设备 AsyncOS 8.8 用户指南
第 16 章 防止敏感数据丢失
评估数据安全和外部 DLP 策略组成员身份
评估数据安全和外部 DLP 策略组成员身份
每个客户端请求均分配一个身份,然后根据其他策略类型进行评估以确定每种类型属于哪个策略
组。 Web 代理根据数据安全和外部 DLP 策略来评估上传请求。 Web 代理根据客户端请求的策
略组成员身份将已配置的策略控制设置应用于客户端请求。
组。 Web 代理根据数据安全和外部 DLP 策略来评估上传请求。 Web 代理根据客户端请求的策
略组成员身份将已配置的策略控制设置应用于客户端请求。
将客户端请求数据安全和外部 DLP 策略组匹配
为确定与客户端请求匹配的策略组, Web 代理遵循匹配组成员身份条件的特定流程。 Web 代理
对组成员身份考虑以下因素:
对组成员身份考虑以下因素:
•
身份。每个客户端请求匹配身份、未通过身份验证并授予访客访问权限,或未通过身份验证
并被终止。
并被终止。
•
授权用户。如果分配的身份需要身份验证,用户必须处于数据安全或外部 DLP 策略组中的
已授权用户列表中,然后才能匹配策略组。如果身份允许访客访问,则已授权用户列表可以
是任意指定组或用户,也可以是访客用户。
已授权用户列表中,然后才能匹配策略组。如果身份允许访客访问,则已授权用户列表可以
是任意指定组或用户,也可以是访客用户。
•
高级选项。您可为数据安全和外部 DLP 策略组成员身份配置几个高级选项。某些选项 (例
如,代理端口和 URL 类别)也可在身份内定义。在身份中配置了高级选项时,在数据安全
或外部 DLP 策略组级别不可配置该选项。
如,代理端口和 URL 类别)也可在身份内定义。在身份中配置了高级选项时,在数据安全
或外部 DLP 策略组级别不可配置该选项。
此部分的信息概述了 Web 代理如何将上传请求与数据安全和外部 DLP 策略组匹配。
Web 代理按顺序读取策略表中的每个策略组。 Web 代理将上传请求状态与第一个策略组的成员
身份条件进行比较。如果匹配, Web 代理应用该策略组的策略设置。
身份条件进行比较。如果匹配, Web 代理应用该策略组的策略设置。
如果不匹配, Web 代理将上传请求与下一个策略组进行比较。 Web 代理会继续此过程,直到它
将上传请求与用户定义的策略组匹配。如果 Web 代理与用户定义的策略组不匹配,则与全局策
略组匹配。当 Web 代理将上传请求与策略组或全局策略组相匹配时,它将应用该策略组的策略
设置。
将上传请求与用户定义的策略组匹配。如果 Web 代理与用户定义的策略组不匹配,则与全局策
略组匹配。当 Web 代理将上传请求与策略组或全局策略组相匹配时,它将应用该策略组的策略
设置。
创建数据安全和外部 DLP 策略
您可以基于若干条件 (例如,一个或多个身份或目标站点的 URL 类别)的组合来创建数据安全
和外部 DLP 策略组。必须至少为策略组成员身份定义一个条件。当您定义多个条件时,上传请
求必须满足所有条件才能匹配策略组。但是,上传请求只需与一个已配置身份匹配。
和外部 DLP 策略组。必须至少为策略组成员身份定义一个条件。当您定义多个条件时,上传请
求必须满足所有条件才能匹配策略组。但是,上传请求只需与一个已配置身份匹配。
步骤 1
依次选择网络安全管理器 (Web Security Manager) > Cisco IronPort 数据安全 (Cisco IronPort
Data Security)(定义数据安全策略组成员)或网络安全管理器 (Web Security Manager) > 外部防
数据丢失 (External Data Loss Prevention) (定义外部 DLP 策略组成员)。
Data Security)(定义数据安全策略组成员)或网络安全管理器 (Web Security Manager) > 外部防
数据丢失 (External Data Loss Prevention) (定义外部 DLP 策略组成员)。
步骤 2
点击添加策略 (Add Policy)。
步骤 3
在 “策略名称” (Policy Name) 字段中输入策略组的名称,在 “说明” (Description) 字段 (可
选)中添加说明。
选)中添加说明。
注
每个策略组名称都必须唯一,并且仅包含字母数字字符或空格字符。
步骤 4
在 “插入到策略上面” (Insert Above Policy) 字段中,选择需要将策略组放入到策略表中的哪个
位置。
位置。
当配置多个策略组时,必须为每个组指定逻辑顺序。为策略组排序,确保发生正确的匹配。