Cisco Cisco Web Security Appliance S670 User Guide
16-5
思科网络安全设备 AsyncOS 8.8 用户指南
第 16 章 防止敏感数据丢失
创建数据安全和外部 DLP 策略
步骤 5
在 “身份和用户” (Identities and Users) 部分,选择一个或多个身份组以应用于此策略组。
步骤 6
(可选)展开 “高级” (Advanced) 部分,定义其他成员身份要求。
步骤 7
要通过任何高级选项来定义策略组成员身份,请点击高级选项的链接并在显示的页面上配置
选项。
选项。
高级选项
说明
协议 (Protocols)
选择是否按照客户端请求中使用的协议来定义策略组成员身份。选择要包
括的协议。
括的协议。
“所有其他” (All others) 表示此选项上未列出的任何协议。
注
当 HTTPS 代理启用时,只有解密策略应用于 HTTPS 事务。您无法
通过 HTTPS 协议为访问、路由、出站恶意软件扫描、数据安全或外
部 DLP 策略定义策略成员身份。
通过 HTTPS 协议为访问、路由、出站恶意软件扫描、数据安全或外
部 DLP 策略定义策略成员身份。
代理端口
(Proxy Ports)
选择是否按照用于访问 Web 代理的代理端口来定义策略组成员身份。在
“代理端口” (Proxy Ports) 字段中输入一个或多个端口号。使用逗号分隔
多个端口。
对于显式转发连接,此代理端口为浏览器中配置的端口。对于透明连接,
此代理端口与目标端口为同一端口。如果您将一组客户端配置为在某个端
口上显式转发请求,并将另一组客户端配置为在另一个端口上显式转发请
求,则您可能要在代理端口上定义策略组成员身份。
此代理端口与目标端口为同一端口。如果您将一组客户端配置为在某个端
口上显式转发请求,并将另一组客户端配置为在另一个端口上显式转发请
求,则您可能要在代理端口上定义策略组成员身份。
当设备采用显式转发模式进行部署,或者当客户端明确地将请求转发给设
备时,思科建议仅通过代理端口定义策略组成员身份。当客户端请求透明
地重定向到设备时,如果您通过代理端口定义策略组成员身份,则某些请
求会被拒绝。
备时,思科建议仅通过代理端口定义策略组成员身份。当客户端请求透明
地重定向到设备时,如果您通过代理端口定义策略组成员身份,则某些请
求会被拒绝。
注
如果与此策略组关联的身份按此高级设置定义成员身份,则此设置无
法在 SOCKS 策略组级别配置。
法在 SOCKS 策略组级别配置。
子网 (Subnets)
选择是否按子网或其他地址定义策略组成员身份。
您可以选择使用可通过关联的身份定义的地址,也可以在此处输入具体
地址。
地址。
注
如果与此策略组关联的身份按地址定义其成员身份,则在此策略组
中,您输入的地址必须是身份中定义的地址的子集。在策略组中添加
地址会进一步缩小与此策略组匹配的事务列表的范围。
中,您输入的地址必须是身份中定义的地址的子集。在策略组中添加
地址会进一步缩小与此策略组匹配的事务列表的范围。
URL 类别
(URL
Categories)
Categories)
选择是否按 URL 类别定义策略组成员身份。选择用户定义的或预定义的
URL 类别。
URL 类别。
注
如果与此策略组关联的身份按此高级设置定义成员身份,则此设置无
法在 SOCKS 策略组级别配置。
法在 SOCKS 策略组级别配置。
用户代理
(User Agents)
选择是否按照客户端请求中使用的用户代理来定义策略组成员身份。可以
选择一些常见的定义浏览器,也可使用正则表达式定义您自己的浏览器。
选择此策略组将适用于选定的用户代理还是适用于不在选定的用户代理列
表中的任何用户代理。
选择一些常见的定义浏览器,也可使用正则表达式定义您自己的浏览器。
选择此策略组将适用于选定的用户代理还是适用于不在选定的用户代理列
表中的任何用户代理。
注
如果与此策略组关联的身份按此高级设置定义成员身份,则此设置无
法在 SOCKS 策略组级别配置。
法在 SOCKS 策略组级别配置。
用户位置
(User Location)
选择是否按照用户位置 (不管是远程还是本地)来定义策略组成员身份。
此选项仅当启用移动安全时显示。