飞连
飞连
- 文档首页
飞连管理员指南安全 Web 网关管理高级配置
文档反馈
问问助手高级配置模块提供了一系列保障服务高可用性、环境兼容性与特定业务优化的工具。通过灵活配置各项高级策略机制,管理员可以有效平衡安全审计深度与员工办公体验,确保在极端网络环境或复杂业务场景下互联网访问的连续性与安全性。
本文详细介绍如何通过高级配置实现对 SWG 运行状态的精细化调控。
操作路径
- 登录管理后台。
- 在左侧导航栏,选择安全 Web 网关 > 高级配置。
管控策略生效对象
管控策略生效对象提供了统一调整企业根证书分发范围的入口,管理员可快速修改证书的自动安装对象,确保安全审计范围与实际业务需求(如组织架构变动或管理需求调整)保持同步。
- 在管控策略生效对象区域单击前往配置,可跳转至企业设置 > 企业信息 > 通用配置功能页,在企业自签根证书管理区域可更新证书的自动分发范围。
- 在 ②证书自动安装范围区域单击配置。
- 根据当前的运维需求,重新定义生效维度。
- 点击确定。配置保存后,飞连客户端将自动同步最新的分发策略,并在新增的目标终端上静默导入证书。
客户端故障逃生策略
若将 SWG 作为企业互联网访问的必经路径,其连接稳定性将直接影响业务连续性。在极端的网络波动或网关节点异常场景下,若客户端无法建立加密隧道,可能会导致员工无法访问互联网。
客户端故障逃生策略提供了一套自动化的服务可用性监测与降级机制。系统通过客户端对网关节点进行实时探测,当判定连接质量极差或所有节点均不可用时,将允许客户端暂时绕过 SWG 隧道直连公网,确保业务不因安全系统的通信故障而中断。
配置方法:在客户端故障逃生策略区域,点击编辑,在弹出的窗口中配置以下参数:
故障判定机制
配置项
说明与判定逻辑
探测间隔
定义客户端发起节点可用性检测的频率。例如设置为 5 秒,则客户端每隔 5 秒向所有可选节点发送一次探测包以获取延时信息。
连续探测次数
定义触发动作所需的连续异常采样次数。连续多次探测可过滤由于偶发网络抖动导致的误判。
延时故障阈值
定义判定节点不可用的硬性指标。若当前节点的探测延时连续超过此阈值,系统将判定该节点发生故障,并立即触发切换节点操作。若所有节点均满足此故障特征,则触发故障逃生。
延迟健康阈值
用于优化上网体验的性能门槛。当当前节点延时超过设定值(如 100ms),且与其它延时最低的可用节点的差值达到设定值(如 50ms)时,客户端将自动执行节点切换,将连接迁移至最优节点。
流量转发动作
定义故障逃生触发后的执行逻辑。目前固定为 客户端直接访问互联网,即系统暂时解除 SWG 引流接管,使流量直接通过本地网络出口传输。
客户端逃生机制
定义故障逃生触发后的执行逻辑。目前固定为客户端直接访问互联网,即系统暂时解除 SWG 引流接管,使流量直接通过本地网络出口传输。
配置影响:
- 安全合规性临时降级:当逃生机制触发并执行直连互联网动作时,受控终端产生的上网流量将不再经过飞连 SWG 进行审计与过滤,网站内容过滤、云应用管控及威胁防护等策略将暂时失效。
- 自动恢复管控:客户端在逃生期间仍会持续探测节点状态。一旦识别到 SWG 节点恢复可用,系统将立即重新建立安全隧道,并恢复所有安全管控策略。
强制门户认证
在公共 Wi-Fi(如机场、酒店网络)环境下,网络通常会重定向用户请求至特定的 Web 认证页面,要求用户执行登录或点击确认后方可访问互联网。若 SWG 在认证完成前尝试建立加密隧道,可能会导致认证页面加载失败,使用户陷入无法连网的故障状态。
强制门户认证检测功能支持自动识别此类网络环境。在认证期间,系统将暂时放行终端流量以确保认证流程顺利完成,并在联网后自动恢复安全防护。
- 配置说明:
- 在强制门户认证区域,点击编辑。
- 在弹出的配置页面,开启认证门户检测开关。
- 设置客户端临时放行时间,即触发放行后的无防护状态最大持续时间(单位为分钟,默认 10 分钟)。超过该阈值后,系统将强制尝试重新建立安全隧道。为防止终端长时间暴露在无防护状态下,请勿设置过长的时间。
- 点击确定完成配置。
- 客户端提示:
- 用户提醒:检测到认证门户并触发放行时,飞连客户端将弹出提示框告知用户当前处于临时放行状态。该提醒在 10 秒后自动关闭,用户也可手动关闭。
- 状态展示:临时放行期间,客户端 SWG 连接状态显示为“已断开”,且用户无法手动进行连接操作。
- 管理端状态:在接入设备页面中,该设备的状态将同步显示为“已断开”。
- 用户提醒:检测到认证门户并触发放行时,飞连客户端将弹出提示框告知用户当前处于临时放行状态。该提醒在 10 秒后自动关闭,用户也可手动关闭。
Microsoft 365 推荐配置
Microsoft 365 服务(如 Teams、SharePoint 等)对网络延迟极其敏感,执行 SSL 解密处理通常会导致音视频卡顿、文件同步失败或客户端无法登录。此外,由于 Microsoft 官方频繁更新其服务的 IP 范围与域名地址,管理员通过手动维护放行名单的成本极高。
为此,飞连提供了 Microsoft 365 推荐配置功能。启用后,系统将通过 API 自动同步 Microsoft 官方最新的网络端点数据,并在后台自动生成高优先级的 SSL 解密豁免规则。该功能旨在减轻管理员手动维护地址列表的负担,同时确保 M365 流量通过透明转发模式绕过加解密引擎,从而保障视频会议及大文件传输的业务连续性。
- 配置方法:开启Microsoft 365 推荐配置区域的功能开关,在弹出的二次确认对话框中,阅读提示信息并点击确定。
- 配置效果:系统将自动生成一条优先级为 100 的针对 Microsoft 365 推荐豁免地址的不解密规则。当受控终端发起针对 Microsoft 365 的访问请求时,系统将优先匹配该条规则,执行“不解密”及“透明转发”动作。
- 策略限制:
- 编辑限制:该自动生成的豁免策略仅支持调整生效对象(人员、部门或设备),其余如优先级、执行动作等配置项均不支持修改。
- 停用逻辑:该自动生成的豁免策略不支持在 SSL 解密策略列表中执行“删除”或“关闭状态”操作。若需停止对 Microsoft 365 流量的优化管控,管理员必须返回高级配置页面关闭 Microsoft 365 推荐配置开关。
- 配置影响:
- 策略自动覆盖:由于该功能生成的规则具有最高匹配优先级,将覆盖管理员手动配置的针对 Microsoft 365 资源的阻断类策略。系统将以“透明转发”为准,确保业务可用性优先。
- 业务访问加速:相关流量将不再消耗网关的加解密算力,访问延迟显著降低。
- 规则动态维护:系统将持续保持与 Microsoft 官方端点数据的实时同步,无需管理员执行后续维护操作。
Web 过滤高级配置
在 SWG 的实际应用中,用户可能会通过 Google 翻译、Bing 快照或 Wayback Machine 等“合法”途径,间接访问被企业禁止的高风险站点(如赌博、色情网站)。由于此类流量的 Top-level 域名为合法服务,常规的网站内容过滤或云应用管控策略可能会产生漏报。
在 Web 过滤高级配置区域,管理员可以开启嵌套网站分类控制功能。该功能提供了一种深层解析机制,能够对嵌套服务流量进行解包审计,防止员工利用合法服务绕过企业的安全管控。
- 配置方法:在高级配置页面,开启嵌入式站点分类解析功能开关即可生效。
- 功能执行逻辑:
- 识别嵌套流量:自动识别通过知名翻译引擎(如 Google Translate)或网页缓存服务发起的请求。
说明
当前版本仅支持解析 Google Translate 与 Wayback Machine 的嵌套流量。
- 提取并校验:提取实际请求的原始目标 URL,并根据企业已配置的云应用管控策略和网站内容过滤策略对其进行二次分类和评估。
- 策略执行:遵循规则优先级(拦截 > 告警 > 审计 > 不生效)。若嵌套站点的访问管控策略优先级高于外层代理或翻译服务的策略时,将以嵌套站点自身的管控策略为准。
- 识别嵌套流量:自动识别通过知名翻译引擎(如 Google Translate)或网页缓存服务发起的请求。
- 配置影响:
- 拦截效果:如果您配置了拦截“赌博”分类的策略,当用户试图通过 Google 翻译访问赌博网站时,即使该请求被包裹在合法的翻译服务域名下,系统也会阻断该嵌套内容的加载并返回标准拦截页面。
- 用户体验提示:若员工反馈正常使用翻译或网页快照功能时被飞连拦截,请提示员工检查其翻译的原始网页内容是否包含企业禁止访问的高风险内容。