飞连安全 Web 网关（Secure Web Gateway，简称 SWG）是飞连一体化办公安全解决方案的重要组成，旨在为企业提供一体化的互联网访问控制、云应用安全管控与网络侧数据防泄漏能力。它替代了传统分散、昂贵的本地安全硬件，通过统一的平台，帮助企业安全、高效、合规地连接互联网和 SaaS 服务。

核心能力矩阵 #

飞连 SWG 提供的安全能力可划分为以下四个维度，各维度通过策略联动实现闭环管理：

• 流量接管层：由【引流策略】​负责。基于网络位置（如办公区、未知网络）识别终端环境，确定哪些流量进入 SWG 隧道进行安全管控，哪些流量执行本地直连。
• 协议处理层：由【SSL 解密策略】​负责。作为流量预处理器，决定是否对 HTTPS 加密报文执行拆解，并提供连接层的证书安全校验。
• 业务管控层：由【网站内容过滤】、【云应用管控】、【威胁防护】​组成。在流量解密后，分别执行地址准入、应用动作控制及恶意代码检测。
• 运维保障层：提供【接入设备管理】​与【高级配置】​能力。通过实时连接监控、故障自动逃生及强制门户认证等手段，确保业务连续性。

流量处理时序逻辑 #

当终端发起一项互联网访问请求时，飞连 SWG 按照以下逻辑顺序进行数据流转处理：

1. 引流匹配：客户端匹配“引流策略”。若命中“排除对象”，流量不进入隧道；若未排除，流量被引流至 SWG 节点。
2. 解密决策判定：流量到达网关后，系统识别协议类型。针对 HTTPS 请求，优先匹配 SSL 解密策略：
   • 若匹配到 SSL 解密策略且动作为 “不解密”：系统停止拆包处理，流量直接转发，后续所有 Web 访问控制策略均不生效。
   • 若匹配到 SSL 解密策略且动作为 “解密”：系统执行解密并提取明文数据。
   • 若未配置 SSL 策略，但业务管控策略引用了该资源：系统执行业务驱动自动解密。
3. 内容审计与过滤：在明文数据流中，系统并行或依次匹配高级威胁防护、网站内容过滤、云应用管控规则。
4. 转发响应：经过全量策略校验且未触发“阻断”动作后，流量由网关出口发往目标服务器。

模块间的依赖与制约关系 #

理清功能间的逻辑依赖，有助于在复杂运维环境下快速排障：

逻辑依赖（前提条件） #

• 引流策略是所有安全能力的基础：若未配置引流策略，流量不经过网关，网站过滤、云应用管控、威胁防护均无法生效。
• 证书分发是深度审计的核心支撑：所有涉及 SSL 解密的技术能力（如关键字过滤、云应用动作识别、敏感数据扫描等），均以终端成功信任企业 CA 证书为技术前提，否则系统将无法穿透加密流量执行安全检测，导致管理员面临审计盲区与管控失效的风险。

优先级制约（冲突处理） #

• SSL 解密策略具有最高判定权：SSL 解密策略中的“不解密”动作优先级高于“网站内容过滤”和“云应用管控”的自动触发逻辑。若配置了“不解密”，针对该资源的关键字拦截或文件审计将失效。
• 业务驱动属性：网站内容过滤与云应用管控具备自动触发 SSL 解密的能力，无需管理员为每个受控应用手动配置 SSL 解密策略。

开始使用 #

在您理解了安全 Web 网关（SWG）的基本概念和工作原理后，可以按照以下路径开始配置，逐步构建起完善的企业上网安全体系。

1. 接管并解密流量 #

这是启用 SWG 功能的起点，也是所有上层策略生效的前提。

• 配置引流策略：通过配置引流策略，将需要管控的终端流量接入 SWG 隧道。此过程通常会引导您完成企业根证书的初始化配置，这是后续进行 HTTPS 内容审计的基础。
  • 参考文档：配置引流策略
• 配置 SSL 解密策略：虽然各类管控策略会按需自动触发解密，但 SSL 解密策略拥有最高优先级。您可以通过它来强制“不解密”某些高度信任或对延迟敏感的业务（如视频会议），以优化性能和保障业务兼容性。
  • 参考文档：配置 SSL 解密策略

2. 配置核心安全策略，定义防护规则 #

流量成功接入后，您可以根据企业的安全目标，选择性地配置以下一项或多项策略。

• 网站内容过滤：如希望管控员工对不同类型网站（如社交、游戏、视频）的访问权限，或者禁止访问已知的风险站点（如钓鱼、恶意软件网站），请配置此策略。
  • 参考文档：配置网站内容过滤策略
• 云应用管控：如需要对 SaaS 应用（如个人网盘、公共邮箱、AI 工具）进行更精细的管控，例如禁止使用某个应用，或审计/阻断在应用内的文件上传、文本外发等行为，请配置此策略。
  • 参考文档：配置云应用管控策略
• 威胁防护：如希望防御针对 Web 的高级攻击，如 SQL 注入、跨站脚本（XSS）、Web Shell 后门等，请配置此策略。
  • 参考文档：配置威胁防护

3. 特殊场景处理与性能优化 #

在核心策略之上，您可以通过以下配置来保障业务高可用性、处理特殊业务场景，并优化性能。

• 管理高级配置：配置 SWG 服务高可用能力，保障业务的连续性。
  • 参考文档：管理高级配置

4. 日常监控与运维 #

策略上线后，您需要持续监控其运行状态并处理日常事件。

• 管理在线设备：实时查看当前连接到 SWG 的设备列表。在紧急情况下，您可以对特定设备执行强制断开或临时放行（生成口令让用户临时绕过管控）操作。
  • 参考文档：管理接入设备
• 分析访问数据：通过可视化的仪表盘和报表，分析员工的上网行为趋势、流量分布和热门访问网站，为策略的持续优化提供数据支撑。
• 审计事件日志：定期审查由各项策略产生的告警或阻断日志，及时发现潜在风险、处置安全事件，并根据日志判断是否存在误报，进而反向优化策略。