本節說明如何設定 VMware Cloud Web Security 的安全性原則。

開始之前:

若要設定安全性原則,使用者必須先建立安全性原則。如需如何建立安全性原則的特定指示,請參閱建立安全性原則

關於此工作:

在本節中,使用者將瞭解如何設定在標題為建立安全性原則的小節中建立的安全性原則。在建立安全性原則時,使用者可以設定以下規則類別:安全通訊端層 (SSL) 檢查、雲端存取安全性代理 (CASB)、資料遺失防護 (DLP)、Web 安全性和 Web 應用程式。

建立 Web 安全性原則規則時,使用者可以設定:URL 篩選、地理位置型篩選、內容篩選和內容檢查。

備註: 使用者在設定前述任何類別後,即會覆寫預設規則。
提示: 最佳做法:阻止或停用 QUIC 通訊協定

Google 開發了 QUIC (快速 UDP 網際網路連線) 通訊協定,以提高 HTTPS 和 HTTP (TCP 443 和 TCP 80) 連線的效能。自 2014 年以來,Chrome 瀏覽器為該通訊協定提供了實驗性支援,且 Chromium (例如 Microsoft Edge、Opera 和 Brave) 和 Android 裝置中也使用了該通訊協定。

QUIC 連線不需要 TCP 信號交換。不過,SSL 檢查需要使用 TCP 工作階段資訊,且依預設,Cloud Web Security 會執行 SSL 檢查 (除非明確設定略過規則以阻止這項檢查),因此,Cloud Web Security 無法檢查正在執行 SSL 檢查的 QUIC 工作階段。假設啟用了 QUIC 且正在執行 SSL 檢查,這可能導致在使用者工作階段期間未套用原則。

為了確保會一致套用 Cloud Web Security 原則,建議在瀏覽器上封鎖或停用 QUIC 通訊協定。

若要封鎖 QUIC,請將瀏覽器或防火牆設定為封鎖 UDP 443 和 UDP 80,因為這些是 QUIC 通訊協定使用的連接埠。當封鎖 QUIC 通訊協定時,QUIC 有一種故障安全機制會回復成 TCP。這會啟用 SSL 檢查,而不會對使用者體驗造成不利影響。

若要在 Chromium 瀏覽器上停用 QUIC,請檢查對應瀏覽器的說明文件。

若要在 Chrome 瀏覽器上停用 QUIC,請執行以下動作:

  1. 開啟 Chrome。
  2. 在網址列中,輸入:chrome://flags。
  3. 在搜尋列中,輸入:quic。
  4. 按一下下拉式清單,然後選取 [已停用 (Disabled)]。
  5. 當選取 [預設值 (Default)] 時,Chrome 將嘗試使用 QUIC。
  6. 在出現提示時,按一下 [立即重新啟動 (Relaunch Now)],以重新啟動 Chrome,並套用變更。
有關在 Chrome 上停用 QUIC 的錄影示範,請觀看 封鎖 QUIC 以啟用 SSL 檢查

程序:

若要設定安全性原則:
  1. VMware SD-WAN Orchestrator 新 UI 的 [安全性原則 (Security Policies)] 頁面中,按一下要設定之原則的安全性原則名稱。

    所選原則的安全性原則 (Security Policies) 畫面隨即出現。

  2. 從選取的 [安全性原則 (Security Policies)] 頁面中,使用者可以設定以下規則類別的規則:SSL 檢查、雲端存取安全性代理 (CASB)、Web 安全性、Web 應用程式和資料遺失防護 (DLP)。
    重要: 依預設,安全性原則具有「全部允許」和「全部解密」規則。藉由設定上面列出的 5 種規則類別中的任何類別,使用者將會覆寫預設規則,並建立由自己的規則組成的原則。

    如需如何為每種類別設定規則的完整說明,請參閱:
  3. 在設定安全性原則後,按一下發佈 (Publish) 按鈕以發佈安全性原則。
  4. 按一下發佈原則 (Publish Policy) 快顯對話方塊中的是 (Yes) 按鈕,以發佈該原則。

    畫面頂端會顯示一個綠色橫幅,指出正在發佈該安全性原則。

    備註: 在設定程序期間,隨時可以發佈安全性原則,並且只要使用者重新設定它,就可重新發佈。

後續步驟: