版本 1.17.0 改进了概览 (Overview) 页面，现在可以自动设置打印格式。

以下是在 Adobe Acrobat Reader 中打开的示例报告：

在 CASB、Web 应用程序 (Web Application) 和 DLP 规则向导中，以及在 SaaS 标头例外 (SaaS Header Exceptions) 和企业网关 IP (Corporate Gateway IPs) 页面上，如果在已有提交正在进行中时快速单击提交 (Submit) 按钮，则可能会多次提交表单。网络连接速度较慢时，效果更为明显。

当用户转到 Cloud Web Security > 配置 (Configure) > SSL 证书 (SSL Certificate)，然后单击此页面上的任一下载证书 (Download Certificate) 按钮时，可能会出现此问题。

 借助日志导出功能，客户可以将有关 Cloud Web Security 活动的近实时日志转发到客户控制的 SIEM（安全信息和事件管理）端点以进行存储和分析。

有关详细信息，请参阅 Cloud Web Security 文档中的日志导出一节。

Cloud Web Security 引入了新的监控 (Monitor) > 概览 (Overview) 页面。此仪表板在单个页面上提供了更简洁、更易于访问的关键信息，同时还会将用户引导至每个数据类别的更详细信息。顶部图形为用户提供了 Cloud Web Security 在配置的时间段内已执行的操作 (Actions Taken) 以及该客户的当前规则分布 (Rules Distribution)。

此外，用户还可以进一步滚动并查看访问次数靠前的网站 (Top Websites Visited)、排名靠前的 SaaS 应用程序 (Top SaaS Applications)、威胁细目 (Threat Breakdown) 和用户细目 (User Breakdown) 的概览图表。

在配置使用多项输入字段的标记、域、电子邮件地址以及类似项目时，添加逗号分隔列表是一种常见的省时做法。由于存在此问题，逗号会被 UI 忽略，并且列表仅生成一项。例如，如果为 Web 安全规则粘贴标记列表，则结果是只生成一个标记。

在 CWS UI 中将选项添加到各种列表和标记时，不支持多项输入字段获得键盘焦点或进行操作。这通常用于输入标记、域、电子邮件地址或其他类似项目。

例如，在选择目标 (Select Destinations) 屏幕上，浏览此屏幕并选择多个类别 (Categories) 的操作无法通过键盘来完成。

编辑 URL 筛选 (URL Filtering) 规则时，在最后一步中快速单击更新 (Update) 多次可能会导致规则内容被损坏。内容被损坏后，用户需要重新创建规则及其内容。

仅当用户在文件类型 (File Type) 和文件哈希 (File Hash) 之间切换类别类型时，UI 才会重置内容检查 (Content Inspection) 中的策略操作。但是，如果用户将文件类型更改为检查 (Inspect)，则 UI 也会重置策略操作，并且用户必须手动将策略操作重置回其预期值。

用户启用 SAML 详细调试后，就无法将其禁用。此外，在启用详细调试 2 小时后，状态会自动设置为已禁用/否 (disabled/No)，但实际仍为已启用/是 (enabled/yes)。

例如，如果用户尝试第二次添加同一企业网关，则该操作会通过 API 触发一个错误，但 UI 无法显示错误通知。

当用户在 UI 中依赖键盘导航时，很难在弹出的提示信息内容上聚焦或滚动。

在 UI 的 CASB 规则配置对话框和 CASB 应用程序页面上不加载 CASB 应用程序图标。

Web 应用程序规则网格中不显示目标域，用户而是会看到“任意”(Any)。

用户只看到“上载”(Uploads) 以及“上载和下载”(Uploads and Downloads) 选项的文件类型选择菜单；对于“下载”(Download) 类型，这些文件类型选项处于隐藏状态。

每个 Cloud Web Security 策略均以一组显示默认行为的不可编辑规则开头。虽然这通常是“允许”(Allow)，但对于内容检查，默认行为应该是“检查”(Inspect)，而不是“标记为正常”(Mark As Clean)。

如果添加了超过 21 个策略规则，则尝试在第二页或之后的页面上通过拖放对规则重新排序，或者尝试将规则从第二页或之后的页面移动到第一页时，操作会失败。

此外，当用户位于 SaaS 标头(SaaS Header)、CASB、DLP、Web 应用程序 (Web Application) 或 Web 安全 (Web Security) 规则的第二页或之后的页面上时，如果他们尝试移动一个或多个规则，则规则将暂时显示正确进行了重新排序，但刷新后又恢复为原始顺序。

对于希望移动到第一页的单个规则，用户可以通过删除并重新添加该规则，同时在规则创建向导的最后一页上指定“列表顶部”(Top of List) 或“列表底部”(Bottom of List) 来解决此问题；或者，如果要对规则列表重新排序，请使用 API 调用而不是 Orchestrator UI。

为 CASB 控件还原“搜索”(Search) 控件的唯一方法是，选择“浏览器操作”(Browser Action) 下的“阻止”(Block) 以关闭所有切换开关。然后，再次切换“阻止”(Block) 以允许所有 Instagram 规则。切换单个控件不起作用时，这将可以还原“搜索”(Search) 控件。

 在安全策略规则屏幕（例如，SSL 检查 (SSL Inspection)）上，使用 Tab 键聚焦现有规则的名称时，浏览器的焦点跳过规则名称，并且选择时间的唯一方法是使用鼠标/触摸板。

使用屏幕阅读器或辅助工具时，用户很难识别页面中具有“主要”角色的部分，因为没有相应标题或横幅指向该部分。

使用屏幕阅读器或辅助工具聚焦于左侧导航中的项目时，生成的标题变得混乱，并且有多余的公告。

借助 Cloud Web Security，您现在能够使用计划功能仅在指定的时间段内应用某些 URL 筛选规则。在配置 URL 筛选 (URL Filtering) 类型的 Web 安全规则时，此功能将添加到操作、日志和计划 (Action, Log and Schedule) 部分中。

计划功能为 URL 筛选规则提供了两个计划类型 (Website Categorie) 选项：定期 (Periodic)和一次 (One Time)。

定期 (Periodic) 选项允许您在 URL 筛选规则处于活动状态时为其配置每周轮换计划。此定期 (Periodic) 计划基于全局时区、每周几天以及一个或多个开始和结束时间段。

一次 (One-time) 选项指定规则处于活动状态时包含开始和过期日期和时间的单个时间块，或者指定规则无限期处于活动状态的开始日期和时间。

有关详细信息，请参阅《Cloud Web Security 指南》中的配置安全策略 > 配置 Web 安全规则 > URL 筛选文档

如果同一规则中的两个目标域重复，也会出现此问题。该错误含糊不清，并且在对阻止规则验证的配置问题进行故障排除方面没有为用户提供任何帮助。用户只能在 SSL 检查规则中查找重复的域、IP、CIDR 或 IP 范围（包括快速例外规则的内容），并将其从除一个规则之外的所有规则中移除。现在，错误将描述哪些源或目标存在冲突，或者规则本身是否存在重复。

Cloud Web Security 不会清除手动配置的用户和/或组，更正此问题的唯一方法是取消选中“所有用户和组”(All Users and Groups)，然后手动移除所有用户和组，并重新选中“所有用户和组”(All Users and Groups)。

当用户尝试保存具有无效规则的 SSL 规则时，该规则将被拒绝。问题在于，用户不应该在进入流程后才发现 SSL 规则 IP 地址、IP CIDR 或域无效。Orchestrator 应在 SSL 规则编辑步骤中使用 SSL 规则向导向用户发出警示。

“DLP 字典”(DLP Dictionary) 和“DLP 审核员”(DLP Auditors) 上的筛选器未本地化为非英语语言。在此修复中，字符串筛选器已升级为复选框筛选器，这不仅修复了本地化语言问题，而且还让用户能够更轻松地筛选这些部分。

以前，当用户配置包含 URL 筛选规则的 Web 安全规则时，如果客户希望按域进行筛选，则只能选择静态域列表 (Static Domain List) 选项，并且必须在 Orchestrator UI 上进行手动配置和维护。对于存在大量域或域中列表频繁发生更改的情况，此选项并不理想。从版本 v1.12.0 开始，客户在筛选域时现在可以选择一个附加选项：动态域列表 (Dynamic Domain List)。

对于此选项，Cloud Web Security 引用 FQDN 格式的域的文本列表，此文本列表远程存储在客户选择的位置。该位置必须可供服务公开访问。此选项的优势在于，您可以创建一个包含大量域且可轻松编辑和更新的域列表。可以将 Cloud Web Security 配置为每 30 秒（最多每 24 小时）检查一次动态域列表。

有关详细信息，请阅《VMware Cloud Web Security 配置指南》中有关配置 Web 安全规则 > URL 筛选的文档。

SaaS 标头限制功能应该可以供所有 Cloud Web Security 客户使用，但当使用 Standard 许可证的用户单击 SaaS 标头限制 (SaaS Header Restrictions) 链接时，他们会被转到内容检查 (Content Inspection) 页面，而不是预期页面。使用 Advanced 许可证的用户不会出现此问题。

即使未做任何更改，Orchestrator UI 仍会提示客户是否要保存更改，这可能会导致用户产生不必要的困惑。

以前，在公司希望管理访问权限时，他们会限制域名或 IP 地址。在软件即服务 (SaaS) 应用程序托管在公有云中并在共享域名上运行的环境中，此方法会失败。例如，如果企业使用 Office 365，他们将使用 outlook.office.com 和 login.microsoftonline.com 等域名。在 Microsoft 示例中，阻止这些地址会使用户完全无法访问 Outlook 网页版，而不是限制用户只能访问已批准的标识和资源。

解决该问题的方法是限制租户访问，而 Cloud Web Security 可以通过使用 SaaS 标头限制功能来实现这一点。借助此功能，管理员可以在 Office 365 和 G Suite 等 SaaS 服务中强制执行租户限制策略。例如，您可能希望允许所有员工访问 Office 365 企业帐户，但禁止他们访问个人帐户。为此，可以通过插入 HTTP 标头以指定允许的租户来实现这些限制。

此功能已添加到 Cloud Web Security > 配置 (Configure) 页面的企业设置 (Enterprise Settings) 下：

客户可以从六个预定义的应用程序中选择一个应用程序来配置 SaaS 标头规则：“Office 365 - 企业”(Office 365 - Enterprise)、“Office 365 - 用户”(Office 365 - Consumer)、“G Suite”、“Slack”、“YouTube”和“Dropbox”。在这些预定义的应用程序中，每一个都包含不同级别的详细信息，如受限制的域和标头。根据应用程序的不同，客户可能需要提供其他输入才能完成规则。

客户还可以创建自定义应用程序，前提是该应用程序支持通过标头限制租户。

例如，菜单术语安全策略 (Security Policies) 被翻译并显示为 Directivas De Seguridad，而它应当显示为 Directivas de seguridad。实际上，如果英语菜单项是一个单词，而翻译后的项目是多个单词，Orchestrator 会将每个额外的单词首字母大写，而正确的做法是将额外的单词首字母保持小写。

UI 不会考虑“未保存的更改”(Unsaved changes) 页脚高度而在较小的 Web 浏览器上滚动，因而此页脚会遮盖这些相应页面上的其他内容。

客户可能会误以为 DLP 处理会先于 Web 安全规则处理，但事实并非如此。在修复后的版本中，“DLP”选项卡现在显示在末尾，以表示它在处理流中的实际位置。

当“SSL 检查”(SSL Inspection) 的快速例外 (Quick Exception) 按钮翻译为某些非英语语言时，用户可以单击该按钮的外部边缘，但不会得到任何结果。在修复后的版本中，无论鼠标光标放置在何处，现在都可以完全单击快速例外 (Quick Exception) 按钮。

从版本 11.1.1 开始，Cloud Web Security UI 现在对侧边导航菜单进行了以下更改：

• 新区域：“策略设置”(Policy Settings)

• CASB 和 DLP 已移至策略设置 (Policy Settings)

• 检查引擎 (Inspection Engine) 已重命名为内容检查 (Content Inspection) 并移至策略设置 (Policy Settings)

• 移除了证书 (Certificates) 区域

• 身份验证 (Authentication) 已重命名为身份提供程序 (Identity Provider) 并移至企业设置 (Enterprise Settings)

• SSL 终止 (SSL Termination) 已重命名为 SSL 证书 (SSL Certificate) 并移至企业设置 (Enterprise Settings)

• 企业网关 (Corporate Gateways) 已重命名为企业网关 IP (Corporate Gateway IPs)

用户可能希望配置两个不同的非标准 Web 端口规则，这两个规则的端口值相同，但目标 IP 地址不同。在版本 11.1.1 中，用户可以执行该操作。

现在，客户可以根据内容或用户所在的地理区域阻止或允许 Internet 流量。此功能已添加到配置 (Configure) > 安全策略 (Security Policies) > Web 安全 (Web Security) 部分中，可通过单击基于地理位置的筛选 (Geo-Based Filtering) 选项卡来使用该功能。

配置基于地理位置的筛选 (Geo-Based Filtering) 规则时，用户可以指定该规则适用的用户和组，然后可以从包含 251 个国家/地区的列表（其中添加了“未知国家/地区”(Unknown Countries)、“匿名代理”(Anonymous Proxy) 和“卫星提供商”(Satellite Provider) 流量选项）中进行选择，确保用户无法绕过规则。

如果用户希望刷新和更新监控 (Monitor) 页面上的信息（例如，“Web 日志”(Web Logs) 或“DLP 日志”(DLP Logs)），Orchestrator 会在页面底部包含一个刷新 (Refresh) 按钮。

但是，如果用户单击刷新 (Refresh)，则由于 Orchestrator 组件中的底层更改，数据不会更新。

症状：对于 Google Drive，CASB 仅支持上载 (Upload) 和下载 (Download) 控制选项，因此在版本 1.11.0 及更高版本中移除了创建 (Create) 控制选项。

CASB 不再支持 Telegram 应用程序，并且在此版本中移除了为该应用程序配置 CASB 规则的选项。

如果客户的现有 CASB 规则将 Telegram 作为目标应用程序，他们应当在将 Cloud Web Security 版本升级到 1.11.0 或更高版本后移除该应用程序，因为 CASB 规则将不再强制应用于该应用程序。

在更高版本中，Cloud Web Security 将自动从所有 CASB 规则中移除 Telegram 应用程序，并将此操作记录为一个事件。

当安全策略阻止用户访问网站或云应用程序时，VMware Cloud Web Security 会默认向所有用户显示 VMware 品牌的阻止页面。

借助可自定义的阻止页面功能，用户可以创建和自定义自有品牌的阻止页面，以在其流量（Web 或数据丢失防护流量）被阻止时向用户显示。使用 Orchestrator 的配置 (Configure) > 页面自定义 (Page Customization) 部分，Cloud Web Security 管理员可以自定义：

• VMware Cloud 用于响应违反已配置安全策略的 HTTP 请求或文件上载的阻止页面。

• 当用户尝试上载违反已配置的 DLP 规则的文件时，VMware Cloud 返回的阻止页面。

有关如何配置自定义阻止页面的详细信息，请参见页面自定义。

创建数据丢失防护 (DLP) 规则时，用户会看到不正确的“最大文件大小”(Maximum File Size) 工具提示信息。工具提示指出“如果上载的文件大小大于指定的值，则会丢弃该文件并通知审核员”(If the uploaded file size is more than the specified value, the file is dropped, and auditor is informed)，这个信息不正确。可以通过将工具提示改写为“如果上载的文件大小大于指定的值，则 DLP 不会检查该文件，并允许其通过”(If the uploaded file size is more than the specified value, the file is not inspected by DLP and is allowed through) 来解决此问题。

Cloud Web Security Web 日志仅包含威胁类型，并且不显示风险详细信息。要增强用户监控 Web 流量的能力，除了确定的威胁类型以外，还应显示漏洞的风险详细信息。

在检查非浏览器 Web 应用程序上的浏览器流量时，老客户在发布非浏览器 Web 应用程序安全策略规则时可能会看到错误。出现该问题的原因是，没有为支持的浏览器配置默认值。新客户不会看到此问题。

以前，用户可以配置 CWS 安全策略规则，以检查基于浏览器的 Web 应用程序（如 Chrome、Edge、Firefox、Safari 等），但该规则不适用于非浏览器 Web 应用程序（如 Slack 或 Dropbox）。

从版本 1.10.0 开始，用户可以选择配置规则来检查非浏览器 Web 应用程序上的浏览器流量。

用户可以查看、添加和移除非浏览器 Web 应用程序流量的规则。要为非浏览器 Web 应用程序配置规则，请执行以下操作：

1. 导航到 Cloud Web Security > 配置 (Configure) > 安全策略 (Security Policy)，然后选择现有策略并单击 Web 应用程序 (Web Applications) 选项卡。

   
   

2. 单击 + 添加规则 (+ ADD RULE)，然后输入所需的全部详细信息（例如“源类型”(Source type)、“目标类型”(Destination type)、“请求和文件类型”(Request and File types)、“操作和日志”(Action and Log) 详细信息），以创建新的非浏览器 Web 应用程序规则。

   
   

   字段	描述
   源 (Source)	根据 IP 地址/IP 范围、用户代理或浏览器选择源。 注： 每个规则只能选择一种源类型。
   目标 (Destination)	根据域、IP 地址/IP 范围、URL、类别、线程或地理位置选择目标。 注： 每个规则只能选择一个目标类型。
   请求和文件类型 (Request And File Type)	选择要应用规则的请求类型（上载、下载或两者）和文件类型。您也可以为上载请求类型选择 HTTP 方法（POST、PUT）。（可选）您还可以输入要应用操作的最小文件大小。
   操作和日志 (Action And Log)	选择在满足规则条件时要执行的操作（允许或拒绝）。（可选）您可以通过打开捕获日志 (Capture Logs) 切换按钮来收集此规则的日志。
   名称、原因和标记 (Name, Reason and Tags)	为基于地理位置的规则配置名称、标记、原因和位置。确保为规则指定唯一的名称。（可选）您可以为规则添加原因和标记，以用于排序和筛选。 注： 位置 (Position) 字段指定该规则在 Web 应用程序规则列表中的位置。

3. 单击完成 (Finish)，新创建的 Web 应用程序规则将显示在 Web 应用程序 (Web Application) 列表中。 

   
   

4. 要使新的安全策略规则生效，请选择该规则，然后单击屏幕右上角的发布 (Publish) 按钮。

5. 发布安全策略后，用户就可以应用安全策略。

在以前的版本中，VMware Cloud Web Security 可以检查标准 Web 端口 80 和 443 上的流量。版本 1.9.1 允许检查非标准 Web 端口上的浏览器流量 (HTTP/HTTPS)。

用户可以通过导航到 Cloud Web Security > 配置 (Configure) > 企业设置 (Enterprise Settings) > 非标准 Web 端口 (Non-Standard Web Ports) 来查看、添加和移除端口规则。

要允许并检查非标准 Web 端口上的流量，请输入端口号。单击相应行上的“+”按钮可添加更多非标准 Web 端口。

用户可以编辑现有规则，或通过单击关联的“-”按钮来移除规则。编辑后，单击保存更改 (Save Changes) 按钮。

如果存在阻止某个威胁类别或内容类别的 Web 安全规则，则在访问与这些类别匹配的域时，网站会被阻止。但是，如果在网页中作为资源访问同一域（例如，单击下载文件的链接），则不会阻止该请求。

与内容检查规则匹配的 Web 日志显示匹配了默认规则，但从不显示 SASE Orchestrator 上创建和配置的规则的实际名称。

如果存在阻止或允许 YouTube 下载操作的 CASB 规则，则可以正确应用该规则，但 Web 日志会将此事件显示为“文件上载”(File Upload) 而不是“文件下载”(File download)，这会影响管理员评估其网络上的活动的能力。

当存在阻止上载所有文件类型的内容筛选规则时，该规则会阻止登录需要从 https://login.microsoftonline.com/ 登录的 Microsoft 应用程序。

用户配置“阻止”规则时，以下 Microsoft 应用程序的 CASB 控制无法按预期工作。如果用户尝试执行以下任何操作，系统不会阻止这些操作，用户反而能够成功完成这些操作：

• Microsoft Teams - 文件上载、创建、删除

• Microsoft Outlook - 文件上载、下载、删除

• Microsoft OneDrive - 删除

• Microsoft OneNote - 下载

实施 Cloud Web Security 策略后，用户访问某些网站时，由于跨域资源共享 (CORS) 问题，页面可能无法加载。用户将在控制台日志中看到类似以下内容的错误：“xxxx 已被 CORS 策略阻止: ‘Access-Control-Allow-Origin’标头包含多个值‘*’”(xxxx has been blocked by CORS policy: The 'Access-Control-Allow-Origin' header contains multiple values '*')。

当存在阻止 OneDrive 的所有应用程序控制的 CASB 规则时，该 CASB 规则不会阻止 SharePoint 操作。

虽然会阻止 Google Drive 的上载和下载操作，但任何人都可以在 Google Drive 中创建文件夹。

在版本 1.9.1 及更高版本中，默认情况下，用户无法在 Google Drive 中创建文件夹，并且此应用程序不再需要配置选项。

在 Cloud Web Security 的早期版本中，如果用户需要创建规则来绕过对常用 Web 应用程序的检查，则需要手动创建 SSL 检查规则。添加“简易 SSL 绕过”后，用户可以快速创建这些 SSL 检查规则。

新功能在 Cloud Web Security > 配置 (Configure) > 安全策略 (Security Policies) 的 SSL 检查 (SSL Inspection)选项卡下显示为快速例外 (Quick Exception) 按钮。

单击添加快速例外 (Add Quick Exception) 将打开快速例外 (Quick Exception) 配置屏幕，用户可以在该屏幕中选择一个或多个要从 SSL 检查中排除的应用程序。用户选择应用程序后，将从 SSL 检查中排除与该应用程序关联的所有 URL。

使用“快速例外”(Quick Exception) 选项时，只能创建一个规则，而无法创建其他规则。此规则始终称为快速例外规则 (Quick Exception Rule)，并且该名称无法在“快速例外”(Quick Exception) 向导中更改。

该规则将始终是网格中的倒数第二个规则，并且可通过单击快速例外规则 (Quick Exception Rule) 名称来快速访问。添加“快速例外规则”(Quick Exception Rule) 后，添加快速例外 (Add Quick Exception) 菜单选项将更改为快速例外 (Quick Exception)，表示存在可以编辑的现有快速例外规则 (Quick Exception Rule)，并且无法添加此类型的其他规则。

• 区域 (Region) 字段指示用于 Web 事件的 SASE PoP，这有助于定位事件发生在世界的哪个位置。

• 用户组 (User Group) 字段指示在其中使用 SAML 配置的 SAML 用户组。

这两个增加的字段共同增强了用户监控 Web 流量的能力。

在某些情况下，尽管配置了策略以阻止恶意文件下载操作，用户仍可能会发现下载了恶意文件。

从任何网站下载受密码保护的文件时，系统应提示用户输入密码，因为这是内容筛选中的默认操作。但在 OneDrive 和 Dropbox 上，没有提示输入密码便阻止文件下载，并且无法下载文件。

如果存在阻止或允许 YouTube 下载操作的 CASB 规则，则可以正确应用该规则，但 Web 日志会将此事件显示为“文件上载”(File Upload) 而不是“文件下载”(File download)，这会影响管理员评估其网络上的活动的能力。

如果用户创建并应用一个 CASB 规则，该规则允许浏览器操作，同时阻止所有应用程序控制操作，然后用户登录 OneDrive 并尝试执行所有应被阻止的操作，则这些操作均不会被阻止。未阻止的操作包括创建和删除文件夹。

当存在阻止在 Microsoft O365 Outlook 中执行删除、下载、上载或搜索操作的 CASB 规则时，如果用户尝试在 Microsoft O365 Outlook 中执行其中任何操作，这些操作均不会被阻止。

在该问题中，日志仅显示在 Web 请求中执行的策略标头（只是标识代码），而不是明确说明正在调用的策略。用户能够确定所使用策略的唯一方法是，获取策略标头，然后打开“网络”(Network) 选项卡，以将该策略标头映射到策略名称。

当存在阻止在 Microsoft O365 SharePoint 中执行 Microsoft Word 文件上载和下载操作的 CASB 规则时，如果用户尝试将 Word 文件上载到 SharePoint 或从 SharePoint 下载 Word 文件，则不会阻止上载和下载操作。

VMware Cloud Web Security 的 Web 代理功能旨在支持独立使用 Cloud Web Security 服务，而无需 VMware SD-WAN 或 VMware Secure Access。任何具有现代浏览器且可以支持网络代理配置（手动配置或通过代理自动配置 (PAC) 文件自动配置）的设备，都可以将其 Web 流量重定向到 Cloud Web Security 服务以进行安全检查。

版本 1.6.1 引入了克隆安全策略的功能，也可以将这些安全策略存储为备份。

此功能还包括对安全策略中的不同规则类型进行克隆的功能，例如：SSL 检查、CASB、DLP 和 Web 安全。

创建 Cloud Web Security 规则时，用户看到“其他下载”(Other Downloads) 和“其他文档”(Other Documents) 文件类别，对于它们的作用并不是很清楚。该问题已通过以下方法解决：将“其他下载”(Other Downloads) 重命名为“其他文件和文档”(Other Files and Documents)，将“其他文档”(Other Documents) 重命名为“杂项文档”(Miscellaneous Documents)，以此来减少歧义。

如果用户为应用程序“Mega”创建一个 CASB 规则以阻止上载和下载操作，然后登录 mega.io 并尝试上载或下载文件，则用户会发现可正确阻止文件上载操作，但不会阻止下载操作。

无论是否配置了 CASB 规则以阻止下载 Gmail 附件，当用户尝试仅通过单击 Gmail 附件的下载图标来下载该附件时，都会阻止下载，但不会记录任何日志。如果用户尝试在新选项卡中下载附件，则不会出现该问题。

当存在阻止上载和下载恶意软件文件的内容筛选规则时，某些文件会被阻止，而某些文件则不会被阻止。

如果存在阻止与字典匹配的文本输入的 DLP 规则，则在 LinkedIn 中发送与字典匹配的消息时，不会阻止该消息。

如果用户创建一个 CASB 规则以阻止 YouTube 下载操作，然后尝试下载 YouTube 上的任何视频，则不会阻止下载操作。

当存在阻止搜索等操作的 CASB 规则时，会阻止应用程序中的搜索功能。现在，如果浏览器中的 URL 具有搜索参数，并且刷新了页面，则不会阻止搜索结果。

阻止下载“所有文件”（应包括所有图片格式）的内容筛选规则不会阻止下载 JPEG。如果未进行该修复，解决办法是使用自定义文件类型选项并添加应阻止的文件扩展名（例如，JPEG）。

即使文件内容与 DLP 规则匹配，也不会在 G-Drive 上阻止扩展名为 .doc、.docx、.ppt 和 .pptx 的文件。

用户可以配置一个规则，以通过 URL 筛选规则阻止所有威胁类别，但某些应归类为恶意的站点不会被阻止。

如果存在应当仅应用于指定组中用户的安全规则，则不会强制执行该规则。因此，应当应用于组中用户的所有规则都不会正确应用。

允许浏览 Microsoft Teams Web 应用程序，但阻止所有其他操作的 CASB 控制策略不会阻止用户发布内容。

• 应用规则以阻止“所有文档”时，用户会发现不仅会阻止文档上载操作，而且还会阻止文件和存档上载操作。

• 应用规则以阻止“所有文件”时，用户会发现不仅会阻止文件上载操作，而且还会阻止文档和存档上载操作。

Orchestrator UI 中没有相应的选项来允许用户打开和关闭资源日志，以便他们能够更好地识别更相关的日志。

由于我们禁用和隐藏选项卡的方式，该选项卡组件进入错误状态。

Orchestrator 后端存在一个问题，该问题会导致 UI 无法获取 DLP 预定义字典。此问题不会影响客户定义的字典，这些字典可以正常加载。

CASB 功能的以下项目不可见：

• 配置 (Configure) > CASB 菜单项和视图。 

• 监控 (Monitor) > CASB 分析 (CASB Analysis) 菜单项和视图。

• 这些特定组件使用的 API。

用户在 Cloud Web Security 服务中配置单点登录时可能会遇到以下问题：

• 证书错误显示在“身份验证”(Authentication) 主页面上，而不是显示在“证书”(Certificate) 页面上。

• 用户有时可以保存无效的证书。

• 更改证书时，有时可能会重置“身份验证”(Authentication) 表单中的其他值。

• 个别字段不显示字段内嵌的验证消息。

• 保存“身份验证”(Authentication) 页面时，Orchestrator UI 不显示进度旋转图标。

• “详细调试”(Verbose Debugging) 工具提示显示“t+2hrs”，而不是实际时间。•在某些语言中，“单点登录”(Single Sign-On) 切换标签换行为多行。

• 保存更改 (Save Changes) 页脚布局在短屏幕上不正确。

对问题 91054 的修复解决了以上列出的所有问题。

配置向导和 API 的 SSL 检查规则源中均不接受 CIDR IP，此修复解决了该问题。

出现该问题的原因是，Cloud Web Security 后端服务器拒绝在使用向导时输入的配置值，从而导致“完成”(Finish)/“更新”(Update) 按钮在收到此验证错误后停止响应。

如果用户同时为“类别”(Categories) 选择了“所有”(ALL)，则内容筛选规则将覆盖所提供的配置域。或者，如果用户为“类别”(Categories) 选择“无”(NONE)，向导会将此选项默认为“所有”(ALL) 类别，因此，此处也不接受这些域。这是由于内容筛选向导和 API 中存在的问题所致。如果用户至少配置了一个类别，则 Orchestrator 会接受域。

在未进行此修复的 Orchestrator 上，用户将需要配置特定类别以及域，然后 Orchestrator 才会在内容筛选中接受域。

在 CASB 可见性中，用户可能会发现，如果证书仍然有效并将在实际过期时续订，Orchestrator UI 会将该证书列为已过期。另一个问题是，许多应用程序将在应用程序详细信息 (Application Details) 下显示“成立于 1970 年”(Founded in 1970)，而该应用程序的起源时间显然更近。