允许/拒绝规则
允许规则是指允许用户、组或设备访问特定项目,比如文件、文件夹或应用程序、网路连接和 URL 重定向,但不提供完全的管理权限。
拒绝规则是指拒绝用户、组或设备访问特定项目,比如文件、文件夹或应用程序、网路连接和 URL 重定向。
规则创建工作流程的步骤:
- 想要创建什么规则?
- 想要允许/拒绝访问什么项目? 您可以允许/拒绝以下类型:
- 文件/应用程序: 实现文件/应用程序执行
- 网络连接: 实现应用程序网络访问控制 (ANAC) - 网络连接
- URL: 实现 URL 重定向
- 何时分配规则?
- 摘要和保存
内容选项

文件/应用程序选项允许您创建允许/拒绝特定应用程序或文件执行的规则。
要配置文件/应用程序,请参阅 为文件/应用程序创建允许/拒绝规则。

借助应用程序网络访问控制 (ANAC),可以根据规则处理的结果,通过 IP 地址、主机名、URL、UNC 或端口控制出站网络连接。
可以使用以下连接类型:
-
IP 地址 - 选择此项可控制对特定 IP 地址的访问。
-
网络共享 - 选择此项可控制对 UNC 路径的访问。 前缀 \\\\ 被添加到“主机”字段。
-
主机名 - 选择此项可控制对特定主机名的访问。
可以使用以下连接选项:
-
主机:网络连接的 IP 地址或主机名。 这取决于所选的连接类型。 可以使用 ? 和 * 通配符。 -(连字符)可用于指定范围,但仅限选择 IP 地址时使用。
-
IP 地址必须采用 IP4 八进制格式。 例如,n.n.n.n
-
如果选择网络共享作为连接类型,则必须有 \\ 前缀。
-
在“主机”中可以输入目标资源的完整路径。
-
-
端口:网络连接的端口号。 这可以与 IP 地址或主机名结合使用来控制对特定端口的访问。 范围和逗号分隔的值可以作为端口号的一部分。
点击端口可显示常用端口的列表。 根据需要选择任意数量的端口。 -
路径:网络连接的路径。 可以使用 ? 和 * 通配符。 使用方法:
-
文本包含通配符 - 选择此项可在路径中使用字符 ? 和 * 作为通配符。 如果未选择,? 和 * 将被视为 URL 分隔符。
-
使用正则表达式 - 选择此选项可为所选路径使用正则表达式。
-
包括子目录 - 选择此项可在规则处理中包含子目录。
-
仅在选择连接类型“网络共享”时适用。
路径仅与控制 HTTP 相关。
-
要配置 ANAC,请参阅 为网络连接/应用程序网络访问控制 (ANAC) 创建允许/拒绝规则。

URL 重定向允许管理员创建规则,以便在用户尝试访问指定 URL 时自动重定向用户。 通过定义禁止的 URL 列表,您可以将任何尝试访问列出的 URL 的用户重定向到默认警告页面或自定义网页。 您还可以选择允许某些 URL,当与重定向结合使用时,它们可以为您提供进一步的灵活性和控制力,并可让您创建网站允许列表。
* 默认的“拒绝访问”页面显示被阻止的 URL。
* 对于 Chrome 和 Edge 浏览器中的 URL 重定向,所有托管端点都必须是域的一部分。
要配置 URL 重定向,请参阅为 URL 创建允许/拒绝规则。
创建允许/拒绝规则 - 您想要允许什么?

- 在想要做什么?页面上,选择想要允许/拒绝。
- 点击下一步。
允许/拒绝规则 - 想要允许/拒绝什么?页面随即显示。 - 选择以下选项并点击下一步。
- 文件/应用程序:允许/拒绝特定应用程序或文件执行。
- 在选择来源中,使用下拉菜单选择项目的来源。 选择自:
- 被可信所有者阻止(仅适用于允许规则):选择此选项可使用 App Control 已记录为被阻止的所有项目的列表填充源项目部分,因为它们不属于可信所有者。
- 应用程序模板:选择此选项可使用已在 App Control 中创建的所有应用程序模板的列表填充应用程序模板部分。
- 也可以选择手动添加文件以显示规则项目设置面板,用户可以在这里指定要为哪个文件创建允许规则。
- 选择所需的项目。 选择后,每个项目都会添加到所选项目部分。
您可以编辑项目设置:点击以打开规则项目设置面板来编辑“属性”和“元数据”。
- 点击下一步。
允许/拒绝规则 - 何时分配?页面随即显示。 - 继续创建允许/拒绝规则 - 何时分配?和摘要步骤。

- 在想要做什么?页面上,选择想要允许/拒绝。
- 点击下一步。
允许/拒绝规则 - 想要允许/拒绝什么?页面随即显示。 - 从以下选项中选择:
- 网络连接:允许/拒绝特定网络连接。
- 在选择源中,使用下拉菜单选择网络连接。
- 在网络连接中,指定连接类型并输入相关的主机、端口或路径来配置连接详细信息:
- IP 地址:允许/拒绝 IP 地址或 IP 地址范围。
- 网络共享:允许/拒绝网络共享。 在主机中输入网络共享的路径。
- 主机名: 允许/拒绝主机。 输入主机名
- IP 地址:允许/拒绝 IP 地址或 IP 地址范围。
- 点击添加 > 下一步。
允许/拒绝规则 - 何时分配?页面随即显示。 - 继续创建允许/拒绝规则 - 何时分配?和摘要步骤。

- 在想要做什么?页面上,选择想要允许/拒绝。
- 点击下一步。
允许/拒绝规则 - 想要允许/拒绝什么?页面随即显示。 - 从以下选项中选择:
- URL:允许/拒绝特定的 URL。
- 在选择源中,使用下拉菜单选择 URL。
- 在 URL 中,指定允许/拒绝访问的 URL。
- (可选):拒绝规则:从以下选项中选择要为拒绝访问显示的适用内容:
URL 受拒时显示 Application Control 默认警告页面
URL 受拒时显示自定义页面
输入您想要显示的 URL。
- 点击添加 > 下一步。
允许/拒绝规则 - 何时分配?页面随即显示。 - 继续创建允许/拒绝规则 - 何时分配?和摘要步骤。
创建允许/拒绝规则 - 何时分配?和摘要

- 在选择来源中,使用下拉菜单选择项目的来源,选择或添加的任何来源都将显示在所选项目部分。 选择自:
- AD 组:AD 显示名称和组名称将列出,可使用搜索和筛选器来优化列表。 您也可以点击手动添加来手动添加组。
- AD 用户:输入域\用户名,然后点击添加。
- App Control 用户:App Control 已为其记录事件的用户的用户名。 选择所需的用户。
- 计算机组:输入计算机组,例如:CN=ComputerGroup。 如果想要包含嵌套组,请选择“搜索嵌套组”。 点击添加。
- 设备组织单位:输入组织单位,例如:OU=Corporation。 如果想要包含子 OU,请选择包含子 OU。 点击添加。
- 设备:所有 Neurons 发现的窗口设备的设备名称和主机名将列出,可使用搜索和筛选器来优化列表。 您也可以点击手动添加来手动添加设备。
- IP 地址:输入 IP 地址,然后选择是否要匹配 IP 地址的正则表达式。 点击添加。
示例:- 192.168.0.1:选择 IP 为 192.168.0.1 的客户端设备
- 192.168.0.*:选择 IP 为 192.168.0.<任意数字> 的客户端设备
- 192.168.0.15-25:选择 IP 范围在 192.168.0.15 到 192.168.0.25 的所有客户端设备
- 也可以选择所有人为“所有人”组创建规则,其中包括成功部署配置的设备上的任何登录用户,管理员除外。
- 设置完“所选项目”, 点击下一步。
保存规则和规则摘要页面随即显示。 - 输入规则的名称,然后可以选择输入规则描述。
- 在类别中,输入规则的可选类别标记。
用户可以添加现有类别,也可以创建新类别。 分配给规则的类别将在配置规则表格中显示。- 要添加:点击类别以显示现有类别的下拉列表,然后选择所需的类别。
- 要创建:点击类别并键入新类别标签,然后点击字段外的位置以创建并保存类别。
- 规则的默认状态为活动,如果还不想启用规则,请将规则状态切换为“关闭”。
- 点击保存以保存规则并返回配置,随即便可在规则部分看到列出的新规则。
也可以点击保存并添加另一个以保存规则并返回想要做什么?页面,以便为配置创建另一个规则。 - 将所有规则添加到配置后,点击保存将配置保存为草稿。 也可以点击保存并发布以保存配置的版本。
一旦发布,配置即可分配给策略。