You need to enable JavaScript to run this app.
文档中心
文档备案控制台
飞连

飞连

请输入
  • 文档首页
    • 飞连管理员指南安全 Web 网关配置云应用管控策略
复制全文
下载 pdf
我的收藏
安全 Web 网关
配置云应用管控策略
复制全文
下载 pdf
我的收藏
配置云应用管控策略

云应用管控用于规范员工访问及使用 SaaS 应用(云应用)的行为。通过配置管控策略,企业可以有效防止数据经由未授权应用泄露,管控“影子 IT”风险,保障业务合规,并提升员工的办公效率。区别于传统的基于 IP 和端口的网络防火墙(三/四层),云应用管控作用于应用层(OSI 第七层),从以下两个维度提供精细化的控制能力:

  • 访问控制:决定员工能否使用某个应用。
  • 内容保护:在允许使用应用的前提下,进一步审计或阻断应用内的数据传输行为,例如文件上传、下载和文本外发。

适用场景包括:

  • 防范数据泄露:禁止员工向个人网盘或公共邮箱上传包含“源代码”、“财务报表”等关键字的文件。
  • 管控“影子 IT”:审计并禁止员工使用未经公司审批的生成式 AI 工具或项目管理软件。
  • 提升办公效率:仅允许特定部门(如市场部)的员工在工作时间访问社交媒体应用。
  • 精细化操作审计:允许员工访问企业邮箱,但禁止下载任何附件,或仅对高风险员工的邮件外发内容进行审计。

前置条件

已参考配置引流策略说明,完成以下配置:

  1. 配置引流策略:确保受控终端的流量经过 SWG 隧道接管。
  2. 分发企业根证书:确保终端已信任企业 CA 证书,使系统具备解密 HTTPS 流量以进行内容识别的能力。

注意

云应用管控的生效依赖于 SSL/TLS 解密。

  • 自动解密:若策略中引用了特定应用资源,系统默认会自动触发解密。
  • SSL 策略优先:若您在 SSL 解密策略中针对该应用配置了“不解密”,则由于 SSL 策略优先级最高,系统将跳过拆包环节,导致云应用管控(如关键字识别、文件审计等)失效。

配置管控策略

  1. 登录管理后台。

  2. 在左侧导航栏选择安全 Web 网关 > 云应用管控 > 策略配置

  3. 点击开启云应用管控(首次配置)或点击页面右侧 + 新增策略
    Image

  4. 根据需求选择策略类型。
    Image

    配置项

    说明

    访问管控策略

    针对应用入口的管控策略,用于解决“员工是否允许使用某应用”的准入问题。

    应用保护策略

    针对应用内动作的管控策略,通过深度包检测技术,解决“员工在应用内是否允许执行特定操作”的问题。

  5. 选定策略类型后,填写策略基本信息

    配置项

    说明

    策略名称

    自定义名称,用于标识当前策略。

    优先级

    策略执行的优先级数值(0-100)。数值越高,优先级越高。当多个策略的生效应用和生效对象冲突时,系统仅执行优先级最高的策略。优先级相同时,执行最新添加/修改的策略。

    应用范围

    定义受控的目标应用。飞连内置应用识别库涵盖了企业管理、市场营销、开发工具、安全、电商、IT、生成式人工智能等 40 余类、数万款主流 SaaS 应用。支持直接搜索调用,或前往系统设置 > 资源管理 > 资源库 > 应用识别库添加自定义应用资源。详细操作说明参看SWG Web 资源库管理

  6. 处置方式区域,根据需求选择对应的管控策略。

    • 访问管控策略

      管控策略

      说明

      访问禁用

      阻断员工对目标应用的访问。支持配置以下禁用提示方式:

      • 不提示:直接终止访问连接,无任何跳转与提示消息。
      • 使用飞连内置信息:重定向至安全警告页,支持多语言自定义文案。
      • 使用自定义重定向页面:跳转至企业指定的内部 URL。

      访问审计

      允许员工访问,但系统会持续记录其访问时间、频率及路径,产生的日志存放在访问事件记录中。

    • 应用保护策略

      管控策略

      说明

      仅审计

      根据需要选择审计文本外发审计文件下载

      • 审计文本外发 :监控通过受控应用发送的消息、表单、评论等。可关联内置或自定义敏感词库(前往系统设置 > 资源管理 > 敏感数据库 > SWG 敏感词库添加),当检测到外发文本中包含敏感词时生成告警日志。支持设置检测文本的长度下限(单位:KB)。
      • 审计文件下载 :监控从云端下载文件的行为,并产生对应告警。可选择内置文件类型,或通过输入文件后缀添加自定义文件类型。支持设置检测文件的体积下限(单位:MB)。

      审计并阻断

      配置方法参考“仅审计”,配置效果为在产生告警的同时,会直接阻断文本外发或文件下载。

日志归属说明:应用保护策略产生的详细审计记录将统一存放于 DLP 事件记录中。

  1. 在生效对象区域,根据需要选择员工设备设置生效对象。
  2. (可选)设置策略执行的高级条件。
    • 访问时间段:指定策略生效的时间段。
    • 请求方式:指定触发策略的具体 HTTP 请求方法。系统支持对标准的 HTTP 动作及 WebDAV 扩展动作进行过滤。
  3. 单击确定完成配置。

管理管控策略

策略配置页签下,管理员可以对已创建的策略执行以下维护操作:
Image

  • 状态监控:通过列表顶部的统计数据查看各类策略的占比分布和策略总数。
  • 筛选检索:支持按策略名称、生效对象、应用范围等维度组合查询。
  • 状态切换:通过生效状态开关一键启用或停用策略,无需删除即可使规则临时失效。
  • 运维操作
    • 复制:以现有策略为模板快速创建新规则。
    • 编辑:修改策略的参数、处置方式或生效范围。
    • 删除:永久移除不再需要的策略。删除操作不可撤回,请在确认业务影响后执行。

查看告警日志

管理员可以通过以下两个维度对管控效果进行回溯分析:

  1. 访问事件记录:查看由“访问管控策略”触发的事件,包含触发时间、员工身份、访问应用及命中策略等概览信息。
  2. DLP 事件记录:查看由“应用保护策略”触发的内容级告警,支持查看外发的具体敏内容、下载的文件名、文件类型及大小等深度数据。点击详细日志记录查看详情,可获取完整的报文级日志信息。
    Image
最近更新时间:2026.04.28 11:21:55
这个页面对您有帮助吗?
有用
有用
无用
无用