当安全策略阻止用户访问网站或云应用程序时，VMware Cloud Web Security 会默认向所有用户显示 VMware 品牌的阻止页面。

借助可自定义的阻止页面功能，用户可以创建和自定义自有品牌的阻止页面，以在其流量（Web 或数据丢失防护流量）被阻止时向用户显示。使用 Orchestrator 的配置 (Configure) > 页面自定义 (Page Customization) 部分，Cloud Web Security 管理员可以自定义：

• VMware Cloud 用于响应违反已配置安全策略的 HTTP 请求或文件上载的阻止页面。

• 当用户尝试上载违反已配置的 DLP 规则的文件时，VMware Cloud 返回的阻止页面。

有关如何配置自定义阻止页面的详细信息，请参见页面自定义。

创建数据丢失防护 (DLP) 规则时，用户会看到不正确的“最大文件大小”(Maximum File Size) 工具提示信息。工具提示指出“如果上载的文件大小大于指定的值，则会丢弃该文件并通知审核员”(If the uploaded file size is more than the specified value, the file is dropped, and auditor is informed)，这个信息不正确。可以通过将工具提示改写为“如果上载的文件大小大于指定的值，则 DLP 不会检查该文件，并允许其通过”(If the uploaded file size is more than the specified value, the file is not inspected by DLP and is allowed through) 来解决此问题。

Cloud Web Security Web 日志仅包含威胁类型，并且不显示风险详细信息。要增强用户监控 Web 流量的能力，除了确定的威胁类型以外，还应显示漏洞的风险详细信息。

在检查非浏览器 Web 应用程序上的浏览器流量时，老客户在发布非浏览器 Web 应用程序安全策略规则时可能会看到错误。出现该问题的原因是，没有为支持的浏览器配置默认值。新客户不会看到此问题。

以前，用户可以配置 CWS 安全策略规则，以检查基于浏览器的 Web 应用程序（如 Chrome、Edge、Firefox、Safari 等），但该规则不适用于非浏览器 Web 应用程序（如 Slack 或 Dropbox）。

从版本 1.10.0 开始，用户可以选择配置规则来检查非浏览器 Web 应用程序上的浏览器流量。

用户可以查看、添加和移除非浏览器 Web 应用程序流量的规则。要为非浏览器 Web 应用程序配置规则，请执行以下操作：

1. 导航到 Cloud Web Security > 配置 (Configure) > 安全策略 (Security Policy)，然后选择现有策略并单击 Web 应用程序 (Web Applications) 选项卡。

   

2. 单击 + 添加规则 (+ ADD RULE)，然后输入所需的全部详细信息（例如“源类型”(Source type)、“目标类型”(Destination type)、“请求和文件类型”(Request and File types)、“操作和日志”(Action and Log) 详细信息），以创建新的非浏览器 Web 应用程序规则。

   

   字段	描述
   源 (Source)	根据 IP 地址/IP 范围、用户代理或浏览器选择源。 注： 每个规则只能选择一种源类型。
   目标 (Destination)	根据域、IP 地址/IP 范围、URL、类别、线程或地理位置选择目标。 注： 每个规则只能选择一个目标类型。
   请求和文件类型 (Request And File Type)	选择要应用规则的请求类型（上载、下载或两者）和文件类型。您也可以为上载请求类型选择 HTTP 方法（POST、PUT）。（可选）您还可以输入要应用操作的最小文件大小。
   操作和日志 (Action And Log)	选择在满足规则条件时要执行的操作（允许或拒绝）。（可选）您可以通过打开捕获日志 (Capture Logs) 切换按钮来收集此规则的日志。
   名称、原因和标记 (Name, Reason and Tags)	为基于地理位置的规则配置名称、标记、原因和位置。确保为规则指定唯一的名称。（可选）您可以为规则添加原因和标记，以用于排序和筛选。 注： 位置 (Position) 字段指定该规则在 Web 应用程序规则列表中的位置。

3. 单击完成 (Finish)，新创建的 Web 应用程序规则将显示在 Web 应用程序 (Web Application) 列表中。 

   

4. 要使新的安全策略规则生效，请选择该规则，然后单击屏幕右上角的发布 (Publish) 按钮。

5. 发布安全策略后，用户就可以应用安全策略。

在以前的版本中，VMware Cloud Web Security 可以检查标准 Web 端口 80 和 443 上的流量。版本 1.9.1 允许检查非标准 Web 端口上的浏览器流量 (HTTP/HTTPS)。

用户可以通过导航到 Cloud Web Security > 配置 (Configure) > 企业设置 (Enterprise Settings) > 非标准 Web 端口 (Non-Standard Web Ports) 来查看、添加和移除端口规则。

要允许并检查非标准 Web 端口上的流量，请输入端口号。单击相应行上的“+”按钮可添加更多非标准 Web 端口。

用户可以编辑现有规则，或通过单击关联的“-”按钮来移除规则。编辑后，单击保存更改 (Save Changes) 按钮。

与内容检查规则匹配的 Web 日志显示匹配了默认规则，但从不显示 SASE Orchestrator 上创建和配置的规则的实际名称。

如果存在阻止或允许 YouTube 下载操作的 CASB 规则，则可以正确应用该规则，但 Web 日志会将此事件显示为“文件上载”(File Upload) 而不是“文件下载”(File download)，这会影响管理员评估其网络上的活动的能力。

当存在阻止上载所有文件类型的内容筛选规则时，该规则会阻止登录需要从 https://login.microsoftonline.com/ 登录的 Microsoft 应用程序。

用户配置“阻止”规则时，以下 Microsoft 应用程序的 CASB 控制无法按预期工作。如果用户尝试执行以下任何操作，系统不会阻止这些操作，用户反而能够成功完成这些操作：

• Microsoft Teams - 文件上载、创建、删除

• Microsoft Outlook - 文件上载、下载、删除

• Microsoft OneDrive - 删除

• Microsoft OneNote - 下载

实施 Cloud Web Security 策略后，用户访问某些网站时，由于跨域资源共享 (CORS) 问题，页面可能无法加载。用户将在控制台日志中看到类似以下内容的错误：“xxxx 已被 CORS 策略阻止: ‘Access-Control-Allow-Origin’标头包含多个值‘*’”(xxxx has been blocked by CORS policy: The 'Access-Control-Allow-Origin' header contains multiple values '*')。

当存在阻止 OneDrive 的所有应用程序控制的 CASB 规则时，该 CASB 规则不会阻止 SharePoint 操作。

虽然会阻止 Google Drive 的上载和下载操作，但任何人都可以在 Google Drive 中创建文件夹。

在版本 1.9.1 及更高版本中，默认情况下，用户无法在 Google Drive 中创建文件夹，并且此应用程序不再需要配置选项。

在 Cloud Web Security 的早期版本中，如果用户需要创建规则来绕过对常用 Web 应用程序的检查，则需要手动创建 SSL 检查规则。添加“简易 SSL 绕过”后，用户可以快速创建这些 SSL 检查规则。

新功能在 Cloud Web Security > 配置 (Configure) > 安全策略 (Security Policies) 的 SSL 检查 (SSL Inspection)选项卡下显示为快速例外 (Quick Exception) 按钮。

单击添加快速例外 (Add Quick Exception) 将打开快速例外 (Quick Exception) 配置屏幕，用户可以在该屏幕中选择一个或多个要从 SSL 检查中排除的应用程序。用户选择应用程序后，将从 SSL 检查中排除与该应用程序关联的所有 URL。

使用“快速例外”(Quick Exception) 选项时，只能创建一个规则，而无法创建其他规则。此规则始终称为快速例外规则 (Quick Exception Rule)，并且该名称无法在“快速例外”(Quick Exception) 向导中更改。

该规则将始终是网格中的倒数第二个规则，并且可通过单击快速例外规则 (Quick Exception Rule) 名称来快速访问。添加“快速例外规则”(Quick Exception Rule) 后，添加快速例外 (Add Quick Exception) 菜单选项将更改为快速例外 (Quick Exception)，表示存在可以编辑的现有快速例外规则 (Quick Exception Rule)，并且无法添加此类型的其他规则。

• 区域 (Region) 字段指示用于 Web 事件的 SASE PoP，这有助于定位事件发生在世界的哪个位置。

• 用户组 (User Group) 字段指示在其中使用 SAML 配置的 SAML 用户组。

这两个增加的字段共同增强了用户监控 Web 流量的能力。

在某些情况下，尽管配置了策略以阻止恶意文件下载操作，用户仍可能会发现下载了恶意文件。

从任何网站下载受密码保护的文件时，系统应提示用户输入密码，因为这是内容筛选中的默认操作。但在 OneDrive 和 Dropbox 上，没有提示输入密码便阻止文件下载，并且无法下载文件。

如果存在阻止或允许 YouTube 下载操作的 CASB 规则，则可以正确应用该规则，但 Web 日志会将此事件显示为“文件上载”(File Upload) 而不是“文件下载”(File download)，这会影响管理员评估其网络上的活动的能力。

如果用户创建并应用一个 CASB 规则，该规则允许浏览器操作，同时阻止所有应用程序控制操作，然后用户登录 OneDrive 并尝试执行所有应被阻止的操作，则这些操作均不会被阻止。未阻止的操作包括创建和删除文件夹。

当存在阻止在 Microsoft O365 Outlook 中执行删除、下载、上载或搜索操作的 CASB 规则时，如果用户尝试在 Microsoft O365 Outlook 中执行其中任何操作，这些操作均不会被阻止。

在该问题中，日志仅显示在 Web 请求中执行的策略标头（只是标识代码），而不是明确说明正在调用的策略。用户能够确定所使用策略的唯一方法是，获取策略标头，然后打开“网络”(Network) 选项卡，以将该策略标头映射到策略名称。

当存在阻止在 Microsoft O365 SharePoint 中执行 Microsoft Word 文件上载和下载操作的 CASB 规则时，如果用户尝试将 Word 文件上载到 SharePoint 或从 SharePoint 下载 Word 文件，则不会阻止上载和下载操作。

VMware Cloud Web Security 的 Web 代理功能旨在支持独立使用 Cloud Web Security 服务，而无需 VMware SD-WAN 或 VMware Secure Access。任何具有现代浏览器且可以支持网络代理配置（手动配置或通过代理自动配置 (PAC) 文件自动配置）的设备，都可以将其 Web 流量重定向到 Cloud Web Security 服务以进行安全检查。

版本 1.6.1 引入了克隆安全策略的功能，也可以将这些安全策略存储为备份。

此功能还包括对安全策略中的不同规则类型进行克隆的功能，例如：SSL 检查、CASB、DLP 和 Web 安全。

创建 Cloud Web Security 规则时，用户看到“其他下载”(Other Downloads) 和“其他文档”(Other Documents) 文件类别，对于它们的作用并不是很清楚。该问题已通过以下方法解决：将“其他下载”(Other Downloads) 重命名为“其他文件和文档”(Other Files and Documents)，将“其他文档”(Other Documents) 重命名为“杂项文档”(Miscellaneous Documents)，以此来减少歧义。

如果用户为应用程序“Mega”创建一个 CASB 规则以阻止上载和下载操作，然后登录 mega.io 并尝试上载或下载文件，则用户会发现可正确阻止文件上载操作，但不会阻止下载操作。

无论是否配置了 CASB 规则以阻止下载 Gmail 附件，当用户尝试仅通过单击 Gmail 附件的下载图标来下载该附件时，都会阻止下载，但不会记录任何日志。如果用户尝试在新选项卡中下载附件，则不会出现该问题。

当存在阻止上载和下载恶意软件文件的内容筛选规则时，某些文件会被阻止，而某些文件则不会被阻止。

如果存在阻止与字典匹配的文本输入的 DLP 规则，则在 LinkedIn 中发送与字典匹配的消息时，不会阻止该消息。

如果用户创建一个 CASB 规则以阻止 YouTube 下载操作，然后尝试下载 YouTube 上的任何视频，则不会阻止下载操作。

当存在阻止搜索等操作的 CASB 规则时，会阻止应用程序中的搜索功能。现在，如果浏览器中的 URL 具有搜索参数，并且刷新了页面，则不会阻止搜索结果。

阻止下载“所有文件”（应包括所有图片格式）的内容筛选规则不会阻止下载 JPEG。如果未进行该修复，解决办法是使用自定义文件类型选项并添加应阻止的文件扩展名（例如，JPEG）。

即使文件内容与 DLP 规则匹配，也不会在 G-Drive 上阻止扩展名为 .doc、.docx、.ppt 和 .pptx 的文件。

用户可以配置一个规则，以通过 URL 筛选规则阻止所有威胁类别，但某些应归类为恶意的站点不会被阻止。

如果存在应当仅应用于指定组中用户的安全规则，则不会强制执行该规则。因此，应当应用于组中用户的所有规则都不会正确应用。

允许浏览 Microsoft Teams Web 应用程序，但阻止所有其他操作的 CASB 控制策略不会阻止用户发布内容。

• 应用规则以阻止“所有文档”时，用户会发现不仅会阻止文档上载操作，而且还会阻止文件和存档上载操作。

• 应用规则以阻止“所有文件”时，用户会发现不仅会阻止文件上载操作，而且还会阻止文档和存档上载操作。

Orchestrator UI 中没有相应的选项来允许用户打开和关闭资源日志，以便他们能够更好地识别更相关的日志。

由于我们禁用和隐藏选项卡的方式，该选项卡组件进入错误状态。

Orchestrator 后端存在一个问题，该问题会导致 UI 无法获取 DLP 预定义字典。此问题不会影响客户定义的字典，这些字典可以正常加载。

CASB 功能的以下项目不可见：

• 配置 (Configure) > CASB 菜单项和视图。 

• 监控 (Monitor) > CASB 分析 (CASB Analysis) 菜单项和视图。

• 这些特定组件使用的 API。

用户在 Cloud Web Security 服务中配置单点登录时可能会遇到以下问题：

• 证书错误显示在“身份验证”(Authentication) 主页面上，而不是显示在“证书”(Certificate) 页面上。

• 用户有时可以保存无效的证书。

• 更改证书时，有时可能会重置“身份验证”(Authentication) 表单中的其他值。

• 个别字段不显示字段内嵌的验证消息。

• 保存“身份验证”(Authentication) 页面时，Orchestrator UI 不显示进度旋转图标。

• “详细调试”(Verbose Debugging) 工具提示显示“t+2hrs”，而不是实际时间。•在某些语言中，“单点登录”(Single Sign-On) 切换标签换行为多行。

• 保存更改 (Save Changes) 页脚布局在短屏幕上不正确。

对问题 91054 的修复解决了以上列出的所有问题。

配置向导和 API 的 SSL 检查规则源中均不接受 CIDR IP，此修复解决了该问题。

出现该问题的原因是，Cloud Web Security 后端服务器拒绝在使用向导时输入的配置值，从而导致“完成”(Finish)/“更新”(Update) 按钮在收到此验证错误后停止响应。

如果用户同时为“类别”(Categories) 选择了“所有”(ALL)，则内容筛选规则将覆盖所提供的配置域。或者，如果用户为“类别”(Categories) 选择“无”(NONE)，向导会将此选项默认为“所有”(ALL) 类别，因此，此处也不接受这些域。这是由于内容筛选向导和 API 中存在的问题所致。如果用户至少配置了一个类别，则 Orchestrator 会接受域。

在未进行此修复的 Orchestrator 上，用户将需要配置特定类别以及域，然后 Orchestrator 才会在内容筛选中接受域。

在 CASB 可见性中，用户可能会发现，如果证书仍然有效并将在实际过期时续订，Orchestrator UI 会将该证书列为已过期。另一个问题是，许多应用程序将在应用程序详细信息 (Application Details) 下显示“成立于 1970 年”(Founded in 1970)，而该应用程序的起源时间显然更近。