VMware Cloud Web Security 允许用户配置 CWS 安全策略规则以检查基于浏览器的 Web 应用程序(例如 Chrome、Edge、Firefox、Safari 等),但该规则不适用于非浏览器 Web 应用程序(例如 Slack 或 Dropbox)。从 1.10.0 版本开始,用户可以选择配置规则以检查非浏览器 Web 应用程序上的浏览器流量。

用户可以查看、添加和移除非浏览器 Web 应用程序流量的规则。要为非浏览器 Web 应用程序配置规则,请执行以下步骤:
  1. 导航到 Cloud Web Security > 配置 (Configure) > 安全策略 (Security Policies)
  2. 选择一个安全策略以配置 Web 应用程序规则。在选定的安全策略 (Security Policies) 屏幕中,单击 Web 应用程序 (Web Application) 选项卡。
  3. 单击 + 添加规则 (+ ADD RULE),然后输入所需的全部详细信息(例如“源类型”(Source type)、“目标类型”(Destination type)、“请求和文件类型”(Request and File types)、“操作和日志”(Action and Log) 详细信息),以创建新的非浏览器 Web 应用程序规则。
  4. 源 (Source) 屏幕中,选择要应用非浏览器 Web 应用程序检查的源。用户可以根据 IP 地址/IP 范围、用户代理或浏览器选择源,如下表中所述。
    字段 描述
    任意 (Any) 默认设置为任意 (Any),策略检查非浏览器 Web 应用程序上来自所有源类型的浏览器流量。
    IP 地址/IP 范围 (IP Address/IP Range) 指定 IP 地址(例如 10.0.0.1)或 IP 范围(例如 10.01.1-10.0.2.225)以应用规则。
    用户代理 (User Agent) 根据使用以下内容指定的匹配条件(文本或表达式)设置策略操作:
    • 等于
    • 开头为
    • 包含
    • 结尾为
    • 正则表达式

    (可选)用户还可以包括特定的源 IP 地址/IP 范围或使用默认设置任意源 IP 地址 (Any Source IP Address)
    浏览器 指定 Web 浏览器以应用规则。用户可以根据任何以下 Web 浏览器设置策略操作:
    • Google Chrome
    • Microsoft Internet Explorer
    • Microsoft Edge
    • Mozilla Firefox
    • Apple Safari
    • Samsung Internet

    (可选)用户还可以包括特定的源 IP 地址/IP 范围或使用默认设置任意源 IP 地址 (Any Source IP Address)
    注: 每个规则只能选择一种源类型。

    单击下一步 (Next)。将显示目标 (Destination) 屏幕。

  5. 目标 (Destination) 屏幕中,选择要应用非浏览器 Web 应用程序检查的目标。用户可以根据域、IP 地址/IP 范围、URL、类别、威胁或地理位置选择目标,如下表中所述。
    字段 描述
    任意 (Any) 默认设置为任意 (Any),策略检查非浏览器 Web 应用程序上到所有目标类型的浏览器流量。
    域/IP 地址/IP 范围 (Domain/IP Address/IP Range) 指定完全限定域名 (Fully Qualified Domain Name, FQDN)、IP 地址(例如 10.0.0.1)或 IP 范围(例如 10.01.1-10.0.2.225)以应用规则。
    URL - 正则表达式 (URL - Regex) 根据使用以下内容指定的匹配条件(文本或表达式)为 URL 设置策略操作:
    • 等于
    • 开头为
    • 正则表达式
    类别 (Category) 选择所有类别 (All Categories)自定义选择 (Custom Selection)所有类别 (All Categories) 选项会突出显示所有可用的类别,并对其应用规则。对于自定义选择 (Custom Selection) 选项,用户可以单击每种类别以指定将哪些类别应用于规则。
    威胁 (Threat) 选择所有威胁 (All Threats)自定义选择 (Custom Selection)所有威胁 (All Threats) 选项突出显示所有可用的威胁,并将它们应用于规则。对于自定义选择 (Custom Selection) 选项,用户可以单击每个威胁以指定将哪些威胁应用于规则。
    地理位置 (Geo-Location) 选择所有位置 (All Locations)自定义选择 (Custom Selection)所有位置 (All Locations) 选项突出显示所有可用的位置,并将它们应用于规则。对于自定义选择 (Custom Selection) 选项,用户可以单击每个位置以指定将哪些位置应用于规则。
    注: 每个规则只能选择一个目标类型。

    单击下一步 (Next)。将显示请求和文件类型 (Request And File Type) 屏幕。

  6. 请求和文件类型 (Request And File Type) 屏幕中,为要应用的规则选择“请求类型”(Request Type)(“上载”(Uploads)、“下载”(Downloads) 或“两者”(Both))和“文件类型”(File Type)。用户还可以为上载请求类型选择 HTTP 方法(POST、PUT)。(可选)用户还可以为要应用的操作输入最小文件大小。

    单击下一步 (Next)。将显示操作和日志 (Action and Log) 屏幕。

  7. 操作和日志 (Action and Log) 屏幕中,选择满足规则条件时执行的操作(“允许”(Allow) 或“阻止”(Block))。(可选)用户可以打开捕获日志 (Capture Logs) 切换按钮以收集该规则的日志。

    单击下一步 (Next)。将显示名称、原因和标记 (Name, Reason and Tags) 屏幕。

  8. 名称、原因和标记 (Name, Reason and Tags) 屏幕中,配置唯一的规则名称(必需)、标记(如果使用)、原因(如果需要)以及规则在非浏览器 Web 应用程序规则列表中的位置(选项为“列表顶部”(Top of List) 或“列表底部”(Bottom of List))。
    注: “位置”(Position) 字段指定规则在 Web 应用程序规则列表中的位置。
  9. 单击完成 (Finish),新创建的 Web 应用程序规则将显示在 Web 应用程序 (Web Application) 列表中。
  10. 要使新的安全策略规则生效,请选择该规则,然后单击屏幕右上角的发布 (Publish) 按钮。
  11. 在发布安全策略后,用户可以应用安全策略
  12. 对于现有的安全策略,用户可以选中该策略的复选框以执行以下操作:
    • 编辑 (Edit) - 允许修改现有的策略规则。
    • 克隆 (Clone) - 允许从现有的策略中克隆策略。
    • 删除 (Delete) - 允许删除策略。