Cisco Cisco Web Security Appliance S380 Guía Del Usuario
10-4
思科网络安全设备 AsyncOS 8.8 用户指南
第 10 章 创建策略以控制互联网请求
策略
每个策略类型使用一个策略表来存储和管理其策略。每个策略表具有一个预定义全局策略,用于
维护策略类型的默认操作。此外,系统会根据需要创建用户定义的策略并将其添加到策略表。策
略按其在策略表中列出的顺序进行处理。
维护策略类型的默认操作。此外,系统会根据需要创建用户定义的策略并将其添加到策略表。策
略按其在策略表中列出的顺序进行处理。
各个策略定义其管理的用户请求类型以及它们对这些请求执行的操作。每个策略定义有两个主要
部分:
部分:
•
标识配置文件和用户 - 标识配置文件用于策略成员身份条件,并且尤为重要,因为它们包含
许多用于标识 Web 事务的选项。它们还与策略共享许多属性。
许多用于标识 Web 事务的选项。它们还与策略共享许多属性。
•
高级 - 用于标识应用于策略的用户的条件。可以在策略中指定一个或多个条件,必须匹配所
有条件才算满足条件。
有条件才算满足条件。
–
协议 (Protocols) - 允许在各种网络设备之间传输数据,例如 http、 https、 ftp 等。
–
代理端口 (Proxy Ports) - 请求用于访问 Web 代理的编号端口。
–
子网 (Subnets) - 联网设备的逻辑分组 (例如地理位置或局域网 [LAN]),这是请求的发
出位置
出位置
–
时间范围 (Time Range) - 可在策略中创建时间范围,用于根据发起请求的时间或日期识
别操作或将操作应用到 Web 请求。时间范围可以作为单个单元来创建。
别操作或将操作应用到 Web 请求。时间范围可以作为单个单元来创建。
–
URL 类别 (URL Categories) - URL 类别是网站的预定义或自定义类别,例如新闻、商
业、社交媒体等。这些类别可用于识别操作或将操作应用到 Web 请求。
业、社交媒体等。这些类别可用于识别操作或将操作应用到 Web 请求。
–
用户代理 (User Agents) - 这些是用于发起请求的客户端应用(如 Web 浏览器 Firefox 或
Chrome)。您可以根据用户代理定义策略条件,并可以根据用户代理指定控制设置。您
还可以豁免用户代理进行身份验证,这对于无法提示输入凭证的应用非常有用。您可以
定义自定义客户端应用,但无法将这些定义重新用于其他策略。
Chrome)。您可以根据用户代理定义策略条件,并可以根据用户代理指定控制设置。您
还可以豁免用户代理进行身份验证,这对于无法提示输入凭证的应用非常有用。您可以
定义自定义客户端应用,但无法将这些定义重新用于其他策略。
注
定义多个成员身份条件时,客户端请求必须满足所有条件才能与策略相匹配。
策略顺序
策略在策略表中列出的顺序决定了它们应用到 Web 请求的优先级。系统将会针对策略 (从表最
上面的策略开始,到第一个匹配的策略结束)对 Web 请求进行检查。在表格中找到匹配策略后,
不会处理之后的任何策略。
上面的策略开始,到第一个匹配的策略结束)对 Web 请求进行检查。在表格中找到匹配策略后,
不会处理之后的任何策略。
如果没有用户定义的策略与 Web 请求匹配,则会应用该策略类型的全局策略。全局策略通常位
于策略表最后面的位置,并且无法重新排序。
于策略表最后面的位置,并且无法重新排序。
创建策略
准备工作
•
启用相应的代理:
–
Web 代理 (针对 HTTP、已解密 HTTPS 和 FTP)
–
HTTPS 代理
–
SOCKS 代理