本节介绍如何为 VMware Cloud Web Security 配置安全策略。

开始之前:

要配置安全策略,用户必须先创建了一个安全策略。有关如何创建安全策略的具体说明,请参阅创建安全策略

关于此任务:

在本节中,用户将了解如何配置在标题为创建安全策略的一节中创建的安全策略。在创建安全策略时,用户可以配置以下规则类别:安全套接字层 (Secure Socket Layer, SSL) 检查、云访问安全代理 (CASB)、数据丢失防护 (DLP)、Web 安全和 Web 应用程序。

在创建 Web 安全策略规则时,用户可以配置:URL 筛选、基于地理位置的筛选、内容筛选和内容检查。

注: 通过配置其中的任何类别,用户将覆盖默认规则。
提示: 最佳做法:阻止或禁用 QUIC 协议

Google 开发了 QUIC(快速 UDP Internet 连接)协议以提高 HTTPS 和 HTTP(TCP 443 和 TCP 80)连接的性能。自 2014 年以来,Chrome 浏览器为该协议提供了实验性支持,并且在 Chromium(例如 Microsoft Edge、Opera 和 Brave)和 Android 设备中也使用了该协议。

QUIC 连接不需要 TCP 握手。不过,SSL 检查需要使用 TCP 会话信息,并且 Cloud Web Security 默认执行 SSL 检查(除非明确配置绕过规则以禁止该检查),因此,Cloud Web Security 无法检查正在执行 SSL 检查的 QUIC 会话。在激活了 QUIC 并且正在执行 SSL 检查的这些情况下,这可能会导致在用户会话期间未应用策略。

为了确保一致地应用 Cloud Web Security 策略,建议在浏览器上阻止或停用 QUIC 协议。

要阻止 QUIC,请将浏览器或防火墙配置为阻止 UDP 443 和 UDP 80,因为这些是 QUIC 协议使用的端口。在阻止 QUIC 协议时,QUIC 使用一种防故障机制以回退到 TCP。这会激活 SSL 检查,而不会对用户体验造成不利影响。

要在 Chromium 浏览器上停用 QUIC,请查看相应浏览器的文档。

要在 Chrome 浏览器上停用 QUIC,请执行以下操作:

  1. 打开 Chrome。
  2. 在地址栏中,键入 chrome://flags。
  3. 在搜索栏中,键入“quic”。
  4. 单击下拉列表,然后选择“已禁用”(Disabled)。
  5. 在选择“默认值”(Default) 时,Chrome 将尝试使用 QUIC。
  6. 在出现提示时,单击“立即重新启动”(Relaunch Now) 以重新启动 Chrome 并应用更改。
有关在 Chrome 上禁用 QUIC 的录制演示,请观看 阻止 QUIC 以启用 SSL 检查

过程:

要配置安全策略,请执行以下操作:
  1. VMware SD-WAN Orchestrator 新 UI 的“安全策略”(Security Policies) 页面中,单击要配置的安全策略的策略名称。

    此时将显示所选策略的安全策略 (Security Policies) 屏幕。

  2. 从选定的安全策略页面中,用户可以配置以下规则类别的规则:SSL 检查、云访问安全代理 (CASB)、Web 安全、Web 应用程序和数据丢失防护 (DLP)。
    重要说明: 默认情况下,安全策略具有“全部允许”(allow all) 和“全部解密”(decrypt all) 规则。通过配置上面列出的 5 种规则类别中的任何类别,用户将覆盖默认规则并创建由自己的规则组成的策略。

    有关如何为每种类别配置规则的完整说明,请参阅:
  3. 配置安全策略后,单击发布 (Publish) 按钮以发布该安全策略。
  4. 单击发布策略 (Publish Policy) 弹出对话框中的是 (Yes) 按钮以发布该策略。

    将在屏幕顶部显示一个绿色横幅,以指示正在发布该安全策略。

    注: 可以在配置过程中随时发布安全策略,并且可以在每次用户重新配置该安全策略时重新进行发布。

后续操作: