Web过滤

更新时间:
复制 MD 格式

云防火墙的Web过滤功能基于自定义URL模板,对出向流量执行放行、观察或拒绝操作。该功能支持按域名及路径匹配流量,将管控粒度细化至应用层,便于实现精细化的上网行为管理与业务防护。

说明

Web过滤功能目前处于邀测阶段。如需开通,请联系您的商务经理。

新建Web过滤模板

  1. 登录云防火墙控制台

  2. 在左侧导航栏,选择防护配置 > 访问控制 > Web过滤

  3. 单击新增模板,并完成以下配置。

    配置项

    说明

    模板名称模板描述

    设置便于识别的模板名称与描述。

    模板开关

    控制模板的启用状态,仅开启状态下配置方可生效。

    自定义规则

    填写目标URL与处置动作,可通过添加规则配置多条规则。对于HTTPS流量,需要优先配置TLS检查以提取URL信息,否则该功能无法正常使用。

    目标URL填写要求如下:

    • 格式构成:目标URL需包含主机名与路径两部分,系统将基于此与HTTP请求中的对应部分进行匹配。

      • 必须包含斜杠:路径格式需完整,末尾必须包含 /

        • 正确示例:example.com/

        • 错误示例:example.com

      • 禁止包含:协议头(如 https://)及请求参数。

    • 通配符使用限制:通配符 * 仅允许在路径末尾使用,且每条规则仅支持一个通配符。

      • 正确示例:example.com/*example.com/test/*

      • 错误示例:*.example.comexample.com/*/testexample.com/test*

    支持的动作类型如下:

    • 观察:放行请求,同时在日志审计的事件日志模块中记录。

    • 放行:放行请求,不记录事件日志。

    • 拒绝:拦截请求,并记录事件日志。

    说明

    当同一域名配置了多条 URL 规则时,系统将遵循最长匹配原则进行生效。

    例如,若同时配置了放行 example.com/* 和拒绝 example.com/test/*,当实际业务访问 example.com/test/test时,由于后者匹配的路径更长,该请求将被拒绝

后续步骤

模板创建完成后,即可在互联网边界出向访问控制策略中引用,具体操作,请参见配置互联网边界访问控制策略

日常运维

Web过滤页面页签,支持对已创建的模板执行以下操作:

  • 设置模板开启状态:通过模板开关列的按钮开启或关闭模板。

  • 编辑模板:单击模板操作列的编辑,调整模板配置。

  • 删除模板:单击模板操作列的删除。若模板被访问控制策略引用,则不支持删除。