You need to enable JavaScript to run this app.
导航
飞连
  • 文档首页
    • /飞连/管理员指南/终端管控/配置终端上网管控策略
配置终端上网管控策略
最近更新时间:2025.04.23 12:07:39首次发布时间:2025.04.23 10:13:19
我的收藏
有用
有用
无用
无用

企业管理员通过配置终端上网管控策略,可阻断非法网站访问请求,保障员工上网安全。本文将介绍如何配置终端上网管控策略,以及策略生效后如何查看策略统计数据。

新建终端上网管控策略

  1. 登录飞连管理后台。

  2. 在左侧导航栏,选择终端管控 > 终端上网管控
    如果是首次使用该功能,先在页面底部单击进入管理页面,也可以按需选择配置允许策略或者禁止策略。

  3. 进入管理页面后,单击策略配置页签。

  4. 在页面右侧单击新建策略
    您也可以跟随页面顶部展示的配置引导,逐步完成终端上网管控配置。
    Image

  5. 添加策略页面,完成以下配置,并在页面底部单击确定

    配置项

    说明

    策略名称

    自定义名称,用于标识当前策略。

    优先级

    策略可同时生效多条,系统在匹配策略时按照优先级数值从大到小的顺序,依次匹配策略,命中策略后停止匹配。若一直未命中策略,则执行完所有策略后停止。若存在两条优先级数值相同的策略,则优先执行“策略修改时间为最新”的一条策略。
    终端上网管控策略与其他功能策略的生效优先级说明:

    • 如果策略处置动作是禁用,则终端上网管控策略与其他功能策略之间的生效优先级为威胁情报 > 终端防火墙 > 终端上网管控
    • 如果策略处置动作是允许,则其他功能策略正常生效。

    域名管控范围

    管控域名区域按需选择网站(分为内置网站自定义网站两类),已选择的网站在列表右侧查看。

    • 内置网站:指飞连管理后台资源管理 > 内置资源库中的网站分类库
    • 自定义网站:内置网站未包含的网站,您可以在飞连管理后台资源管理 > 地址管理中手动添加,然后在当前的自定义网站列表中选取。添加域名地址的操作说明,请参见添加域名地址

    您可以选择开启排除分类/网站名开关,并单击添加排除分类/网站名,配置需要排除的内置网站名、内置分类、自定义网站名、自定义分类,支持添加多个排除项。最终生效的域名管控范围为管控域名减去排除分类/网站名
    Image

    处置动作

    处置动作分为禁用允许,一条策略内只能单选。

    说明

    • macOS 开启策略后,客户端需要授予网络拓展权限,因此无此权限的客户端将会收到强制授权弹窗,请确认影响范围后再开启。
    • 如已采购 MDM 且设备已安装好描述文件,权限将静默授予,用户无感。
    • 禁用域名管控范围内的网站在生效对象中被禁止访问。选择该处置动作后,还需要选择是否开启禁用通知,开启后当员工设备访问被禁用的网站时,会有消息通知。开启禁用通知后,单击修改配置,可以在右侧通知配置界面查看多语言通知内容,默认内容支持自定义修改。
      Image
    • 允许域名管控范围内的网站在生效对象中允许访问,单击右侧展开按钮,可选择开启是否上报审计日志开关,开启后,生效对象访问域名管控范围内的网站时,将被统计到飞连管理后台。该处置动作主要用于统计员工设备访问指定网站的信息。

    生效网络环境

    设置当前策略生效的网络环境,支持选择全部内部环境外网环境

    说明

    启用生效网络环境判断需先至通用配置 > 客户端配置 > 客户端网络环境探测启用内网环境探测功能。

    生效对象

    支持以员工设备维度限制生效范围:

    • 员工:通过部门角色限制员工范围。
    • 设备:通过设备操作系统分组限制设备范围。

    您也可以设置将某些员工、角色或设备等对象排除在外。排除对象将不生效该策略。最终生效对象为生效对象减去排除对象

    1. 开启排除对象右侧的开关。
    2. 单击添加排除对象,根据需要以设备、设备组、部门、角色或员工维度,添加排除对象。您可以添加多条排除对象。

    说明

    您可以将特定的员工或设备添加到白名单中。一旦加入白名单,这些员工或设备将不受终端上网管控策略的限制。具体操作,请参考配置全局白名单

管理终端上网管控策略
  1. 登录飞连管理后台。
  2. 在左侧导航栏,选择终端管控 > 终端上网管控
  3. 进入管理页面后,单击策略配置页签。
    Image
    在该页签内,支持的操作有:
    • 在页面顶部设置策略名称员工设备信息以及生效状态等过滤条件,筛选指定范围的策略。
    • 在策略列表内,可查看策略名称优先级管控策略类型以及生效对象等信息。
    • 在策略列表的是否启用列,控制当前策略的生效状态。
    • 在策略列表的操作列,支持以下操作:
      • 单击复制,可基于当前策略内容添加新的策略。
      • 单击编辑,可修改当前策略内容。
      • 单击删除,经过二次确认后删除当前策略。

        注意

        策略一旦删除无法恢复,请谨慎操作。

查看事件列表
  1. 登录飞连管理后台。
  2. 在左侧导航栏,选择终端管控 > 终端上网管控
  3. 进入管理页面后,单击事件列表页签。
    在该页签内统计了员工设备访问网站时,命中终端上网管控策略所产生的各类事件。其中:
    • 在页签顶部日志概览区域,统计 TOP10 审计网站TOP10 拦截网站TOP10 拦截用户的次数。您可以在右上角设定时间段进行查询,最多可查询近 180 天的统计数据。
      Image
    • 事件列表中,默认展示允许访问的事件,你可以手动切换并查看禁止访问的事件。
      Image
    • 事件列表内支持的操作说明如下:
      • 在列表上方可以设置员工部门以及设备信息等筛选条件,过滤指定范围的事件信息。
      • 在列表内可以查看事件上报时间用户信息设备信息以及网站名称等详细信息。
      • 命中策略列,单击策略名称可以跳转查看策略详情。
      • 操作列,单击查看详情,可查看当前事件详情,包括网站信息、员工信息、设备信息。

常见问题

配置了禁止访问策略,但还想要审计允许访问的网站如何操作?

您在配置禁止访问策略后,再添加一条终端上网管控策略,并进行以下配置:

  • 策略优先级要高于禁止访问策略的优先级。
  • 域名管控范围里,把您需要审计的网站添加进来。
  • 处置动作选择允许,并开启是否上报审计日志
    Image
  • 生效对象设置为您预期需要生效的员工及设备。

生效该条允许访问策略后,即可审计允许访问的网站数据了,审计数据在终端上网管控事件列表页签内查看。

如果某一域名既属于禁止访问策略,又属于允许访问策略,最终的结果是什么?

结果取决于策略的优先级。系统仅生效优先级最高的一条策略,如果多个策略的优先级一致,则仅生效“策略修改时间为最新”的一条策略。

如何查看策略是否已下发到飞连客户端?

  1. 登录飞连管理后台。
  2. 在左侧导航栏,选择终端资产 > 终端列表
  3. 在终端列表内找到需要查看策略生效状态的设备,并单击设备名称进入设备详情页。
  4. 在设备详情页,进入策略生效状态页签。
  5. 相关策略生效情况区域,查看终端管控下的终端上网管控功能是否生效了最新策略。
    Image