VMware Cloud Web Security 允許使用者設定 CWS 安全性原則規則,以檢查瀏覽器型 Web 應用程式 (如 Chrome、Edge、Firefox、Safari 等),但此規則不適用於非瀏覽器 Web 應用程式 (例如 Slack 或 Dropbox)。從 1.10.0 版開始,使用者可以選擇設定規則,以檢查非瀏覽器 Web 應用程式上的瀏覽器流量。
使用者可以針對非瀏覽器 Web 應用程式流量,檢視、新增和移除規則。若要為非瀏覽器 Web 應用程式設定規則,請執行以下步驟:
- 導覽至 。
- 選取安全性原則,以設定 Web 應用程式規則。在選取的安全性原則 (Security Policies) 畫面中,按一下 Web 應用程式 (Web Application) 索引標籤。
- 按一下 + 新增規則 (+ ADD RULE),然後輸入所有必要的詳細資料 (例如來源類型、目的地類型、要求和檔案類型、動作和記錄詳細資料),以建立新的非瀏覽器 Web 應用程式規則。
- 在來源 (Source) 畫面中,選取要套用非瀏覽器 Web 應用程式檢查的來源。使用者可以根據 IP 位址/IP 範圍、使用者代理程式或瀏覽器,來選取來源,如下表中所述。
欄位 說明 任何 (Any) 預設設定為任何 (Any),原則會檢查非瀏覽器 Web 應用程式上來自所有來源類型的瀏覽器流量。 IP 位址/IP 範圍 (IP Address/IP Range) 指定 IP 位址 (例如 10.0.0.1) 或 IP 範圍 (例如 10.01.1-10.0.2.225),以套用規則。 使用者代理程式 (User Agent) 根據使用以下內容指定的比對準則 (文字或運算式),來設定原則動作: - 等於
- 開頭為
- 包含
- 結尾為
- RegEx
(選用) 使用者也可以包含特定的來源 IP 位址/IP 範圍,或使用預設設定任何來源 IP 位址 (Any Source IP Address)。
瀏覽器 (Browser) 指定 Web 瀏覽器,以套用規則。使用者可以根據下列任何 Web 瀏覽器,來設定原則動作: - Google Chrome
- Microsoft Internet Explorer
- Microsoft Edge
- Mozilla Firefox
- Apple Safari
- Samsung Internet
(選用) 使用者也可以包含特定的來源 IP 位址/IP 範圍,或使用預設設定任何來源 IP 位址 (Any Source IP Address)。
備註: 每個規則只能選取一個來源類型。按下一步 (Next)。會顯示目的地 (Destination) 畫面。
- 在目的地 (Destination) 畫面中,選取要套用非瀏覽器 Web 應用程式檢查的目的地。使用者可以根據網域、IP 位址/IP 範圍、URL、類別、威脅或地理位置,來選取目的地,如下表中所述。
欄位 說明 任何 (Any) 預設設定為任何 (Any),原則會檢查非瀏覽器 Web 應用程式上來自所有目的地類型的瀏覽器流量。 網域/IP 位址/IP 範圍 (Domain/IP Address/IP Range) 指定完整網域名稱 (FQDN)、IP 位址 (例如 10.0.0.1) 或 IP 範圍 (例如 10.01.1-10.0.2.225),以套用規則。 URL - Regex 根據使用以下內容指定的比對準則 (文字或運算式),為 URL 設定原則動作: - 等於
- 開頭為
- RegEx
類別 (Category) 選取所有類別 (All Categories) 或自訂選取項目 (Custom Selection)。所有類別 (All Categories) 選項會醒目顯示所有可用的類別,並將其套用至規則。自訂選取項目 (Custom Selection) 選項可讓使用者按一下每一種類別,以指定要套用至規則的類別。 威脅 (Threat) 選取所有威脅 (All Threats) 或自訂選取項目 (Custom Selection)。所有威脅 (All Threats) 選項會反白顯示所有可用的威脅,並將其套用至規則。自訂選取項目 (Custom Selection) 選項可讓使用者按一下每一個威脅,以指定要套用至規則的威脅。 地理位置 (Geo-Location) 選取所有位置 (All Locations) 或自訂選取項目 (Custom Selection)。所有位置 (All Locations) 選項會反白顯示所有可用的位置,並將其套用至規則。自訂選取項目 (Custom Selection) 選項可讓使用者按一下每一個位置,以指定要套用至規則的位置。 備註: 每個規則只能選取一個目的地類型。按下一步 (Next)。會顯示要求和檔案類型 (Request And File Type) 畫面。
- 在要求和檔案類型 (Request And File Type) 畫面中,針對要套用的規則,選取 [要求類型 (Request Type)] ([上傳 (Uploads)]、[下載 (Downloads)] 或 [兩者 (Both)]) 以及 [檔案類型 (File Type)]。您也可以針對 [上傳 (Uploads)] 要求類型,選取 HTTP 方法 (POST、PUT)。使用者還可以選擇性地輸入要套用動作的檔案大小下限。
按下一步 (Next)。會顯示動作和記錄 (Action and Log) 畫面。
- 在動作和記錄 (Action and Log) 畫面中,選取符合規則準則時要執行的動作 ([允許 (Allow)] 或 [封鎖 (Block)])。或者,使用者可以開啟擷取記錄 (Capture Logs) 切換按鈕,以收集此規則的記錄。
按下一步 (Next)。會顯示名稱、原因和標籤 (Name, Reason and Tags) 畫面。
- 在名稱、原因和標籤 (Name, Reason and Tags) 畫面中,設定唯一的規則名稱 (必要)、標籤 (若有使用)、原因 (如果需要),以及規則在非瀏覽器 Web 應用程式規則清單中的位置 (選項有 [清單頂端 (Top of List)] 或 [清單底部 (Bottom of List)])。
備註: [位置 (Position)] 欄位會指定規則在 Web 應用程式規則清單上的位置。
- 按一下完成 (Finish),新建立的 Web 應用程式規則即會顯示在 Web 應用程式 (Web Application) 清單中。
- 若要讓新的安全性原則規則生效,請選取規則,然後按一下畫面右上角的發佈 (Publish) 按鈕。
- 在發佈安全性原則後,使用者可以套用安全性原則。
- 對於現有的安全性原則,使用者可以選取該原則的核取方塊,以執行以下動作:
- 編輯 (Edit) - 允許修改現有的原則規則。
- 複製 (Clone) - 允許從現有的原則中複製原則。
- 刪除 (Delete) - 允許刪除原則。