允许/拒绝规则

允许规则是指允许用户、组或设备访问特定项目,比如文件、文件夹或应用程序、网路连接和 URL 重定向,但不提供完全的管理权限。

拒绝规则是指拒绝用户、组或设备访问特定项目,比如文件、文件夹或应用程序、网路连接和 URL 重定向。

规则创建工作流程的步骤:

  1. 想要创建什么规则
  2. 想要允许/拒绝访问什么项目? 您可以允许/拒绝以下类型:
  3. 何时分配规则?
  4. 摘要和保存

内容选项

文件/应用程序选项允许您创建允许/拒绝特定应用程序或文件执行的规则。

要配置文件/应用程序,请参阅 为文件/应用程序创建允许/拒绝规则

借助应用程序网络访问控制 (ANAC),可以根据规则处理的结果,通过 IP 地址、主机名、URL、UNC 或端口控制出站网络连接。

可以使用以下连接类型:

  • IP 地址 - 选择此项可控制对特定 IP 地址的访问。

  • 网络共享 - 选择此项可控制对 UNC 路径的访问。 前缀 \\\\ 被添加到“主机”字段。

  • 主机名 - 选择此项可控制对特定主机名的访问。

可以使用以下连接选项:

  • 主机:网络连接的 IP 地址或主机名。 这取决于所选的连接类型。 可以使用 ? 和 * 通配符。 -(连字符)可用于指定范围,但仅限选择 IP 地址时使用。

    • IP 地址必须采用 IP4 八进制格式。 例如,n.n.n.n

    • 如果选择网络共享作为连接类型,则必须有 \\ 前缀。

    • 在“主机”中可以输入目标资源的完整路径。

  • 端口:网络连接的端口号。 这可以与 IP 地址或主机名结合使用来控制对特定端口的访问。 范围和逗号分隔的值可以作为端口号的一部分。
    点击端口可显示常用端口的列表。 根据需要选择任意数量的端口。

  • 路径:网络连接的路径。 可以使用 ? 和 * 通配符。 使用方法:

    • 文本包含通配符 - 选择此项可在路径中使用字符 ? 和 * 作为通配符。 如果未选择,? 和 * 将被视为 URL 分隔符。

    • 使用正则表达式 - 选择此选项可为所选路径使用正则表达式。

    • 包括子目录 - 选择此项可在规则处理中包含子目录。

    • 仅在选择连接类型“网络共享”时适用。

    路径仅与控制 HTTP 相关。

要配置 ANAC,请参阅 为网络连接/应用程序网络访问控制 (ANAC) 创建允许/拒绝规则

URL 重定向允许管理员创建规则,以便在用户尝试访问指定 URL 时自动重定向用户。 通过定义禁止的 URL 列表,您可以将任何尝试访问列出的 URL 的用户重定向到默认警告页面或自定义网页。 您还可以选择允许某些 URL,当与重定向结合使用时,它们可以为您提供进一步的灵活性和控制力,并可让您创建网站允许列表。

* 默认的“拒绝访问”页面显示被阻止的 URL。
* 对于 Chrome 和 Edge 浏览器中的 URL 重定向,所有托管端点都必须是域的一部分。

要配置 URL 重定向,请参阅为 URL 创建允许/拒绝规则

创建允许/拒绝规则 - 您想要允许什么?

  1. 想要做什么?页面上,选择想要允许/拒绝
  2. 点击下一步
    允许/拒绝规则 - 想要允许/拒绝什么?页面随即显示。
  3. 选择以下选项并点击下一步
    • 文件/应用程序:允许/拒绝特定应用程序或文件执行。
  4. 选择来源中,使用下拉菜单选择项目的来源。 选择自:
    • 被可信所有者阻止(仅适用于允许规则):选择此选项可使用 App Control 已记录为被阻止的所有项目的列表填充源项目部分,因为它们不属于可信所有者。
    • 应用程序模板:选择此选项可使用已在 App Control 中创建的所有应用程序模板的列表填充应用程序模板部分。
    • 也可以选择手动添加文件以显示规则项目设置面板,用户可以在这里指定要为哪个文件创建允许规则。
  5. 选择所需的项目。 选择后,每个项目都会添加到所选项目部分。
    您可以编辑项目设置:点击 省略号图标 以打开规则项目设置面板来编辑“属性”和“元数据”。
  6. 点击下一步
    允许/拒绝规则 - 何时分配?页面随即显示。
  7. 继续创建允许/拒绝规则 - 何时分配?和摘要步骤。
  1. 想要做什么?页面上,选择想要允许/拒绝
  2. 点击下一步

    允许/拒绝规则 - 想要允许/拒绝什么?页面随即显示。
  3. 从以下选项中选择:
    • 网络连接:允许/拒绝特定网络连接。
  4. 选择源中,使用下拉菜单选择网络连接
  5. 在网络连接中,指定连接类型并输入相关的主机、端口或路径来配置连接详细信息:
    • IP 地址:允许/拒绝 IP 地址或 IP 地址范围。
    • 网络共享:允许/拒绝网络共享。 在主机中输入网络共享的路径。
    • 主机名: 允许/拒绝主机。 输入主机名
  6. 点击添加 > 下一步
    允许/拒绝规则 - 何时分配?页面随即显示。
  7. 继续创建允许/拒绝规则 - 何时分配?和摘要步骤。
  1. 想要做什么?页面上,选择想要允许/拒绝
  2. 点击下一步

    允许/拒绝规则 - 想要允许/拒绝什么?页面随即显示。
  3. 从以下选项中选择:
    • URL:允许/拒绝特定的 URL。
  4. 选择源中,使用下拉菜单选择 URL
  5. 在 URL 中,指定允许/拒绝访问的 URL。
  6. (可选):拒绝规则:从以下选项中选择要为拒绝访问显示的适用内容:

    • URL 受拒时显示 Application Control 默认警告页面

    • URL 受拒时显示自定义页面

      • 输入您想要显示的 URL。

  7. 点击添加 > 下一步
    允许/拒绝规则 - 何时分配?页面随即显示。
  8. 继续创建允许/拒绝规则 - 何时分配?和摘要步骤。

创建允许/拒绝规则 - 何时分配?和摘要

  1. 选择来源中,使用下拉菜单选择项目的来源,选择或添加的任何来源都将显示在所选项目部分。 选择自:
    • AD 组:AD 显示名称和组名称将列出,可使用搜索和筛选器来优化列表。 您也可以点击手动添加来手动添加组。
    • AD 用户:输入域\用户名,然后点击添加
    • App Control 用户:App Control 已为其记录事件的用户的用户名。 选择所需的用户。
    • 计算机组:输入计算机组,例如:CN=ComputerGroup。 如果想要包含嵌套组,请选择“搜索嵌套组”。 点击添加
    • 设备组织单位:输入组织单位,例如:OU=Corporation。 如果想要包含子 OU,请选择包含子 OU。 点击添加
    • 设备:所有 Neurons 发现的窗口设备的设备名称和主机名将列出,可使用搜索和筛选器来优化列表。 您也可以点击手动添加来手动添加设备。
    • IP 地址:输入 IP 地址,然后选择是否要匹配 IP 地址的正则表达式。 点击添加

      示例
      • 192.168.0.1:选择 IP 为 192.168.0.1 的客户端设备
      • 192.168.0.*:选择 IP 为 192.168.0.<任意数字> 的客户端设备
      • 192.168.0.15-25:选择 IP 范围在 192.168.0.15 到 192.168.0.25 的所有客户端设备

    • 也可以选择所有人为“所有人”组创建规则,其中包括成功部署配置的设备上的任何登录用户,管理员除外。
  2. 设置完“所选项目”, 点击下一步

    保存规则和规则摘要页面随即显示。
  3. 输入规则的名称,然后可以选择输入规则描述
  4. 类别中,输入规则的可选类别标记。

    用户可以添加现有类别,也可以创建新类别。 分配给规则的类别将在配置规则表格中显示。
    • 要添加:点击类别以显示现有类别的下拉列表,然后选择所需的类别。
    • 要创建:点击类别并键入新类别标签,然后点击字段外的位置以创建并保存类别。
  5. 规则的默认状态为活动,如果还不想启用规则,请将规则状态切换为“关闭”。
  6. 点击保存以保存规则并返回配置,随即便可在规则部分看到列出的新规则。

    也可以点击保存并添加另一个以保存规则并返回想要做什么?页面,以便为配置创建另一个规则。
  7. 将所有规则添加到配置后,点击保存将配置保存为草稿。 也可以点击保存并发布以保存配置的版本。
    一旦发布,配置即可分配给策略。