云防火墙的Web过滤功能基于自定义URL模板,对出向流量执行放行、观察或拒绝操作。该功能支持按域名及路径匹配流量,将管控粒度细化至应用层,便于实现精细化的上网行为管理与业务防护。
Web过滤功能目前处于邀测阶段。如需开通,请联系您的商务经理。
新建Web过滤模板
登录云防火墙控制台。
在左侧导航栏,选择。
单击新增模板,并完成以下配置。
配置项
说明
模板名称与模板描述
设置便于识别的模板名称与描述。
模板开关
控制模板的启用状态,仅开启状态下配置方可生效。
自定义规则
填写目标URL与处置动作,可通过添加规则配置多条规则。对于HTTPS流量,需要优先配置TLS检查以提取URL信息,否则该功能无法正常使用。
目标URL填写要求如下:
格式构成:目标URL需包含主机名与路径两部分,系统将基于此与HTTP请求中的对应部分进行匹配。
必须包含斜杠:路径格式需完整,末尾必须包含
/。正确示例:
example.com/错误示例:
example.com
禁止包含:协议头(如
https://)及请求参数。
通配符使用限制:通配符
*仅允许在路径末尾使用,且每条规则仅支持一个通配符。正确示例:
example.com/*或example.com/test/*。错误示例:
*.example.com、example.com/*/test或example.com/test*。
支持的动作类型如下:
观察:放行请求,同时在日志审计的事件日志模块中记录。
放行:放行请求,不记录事件日志。
拒绝:拦截请求,并记录事件日志。
说明当同一域名配置了多条 URL 规则时,系统将遵循最长匹配原则进行生效。
例如,若同时配置了放行
example.com/*和拒绝example.com/test/*,当实际业务访问example.com/test/test时,由于后者匹配的路径更长,该请求将被拒绝。
后续步骤
模板创建完成后,即可在互联网边界出向访问控制策略中引用,具体操作,请参见配置互联网边界访问控制策略。
日常运维
在Web过滤页面页签,支持对已创建的模板执行以下操作:
设置模板开启状态:通过模板开关列的按钮开启或关闭模板。
编辑模板:单击模板操作列的编辑,调整模板配置。
删除模板:单击模板操作列的删除。若模板被访问控制策略引用,则不支持删除。