全部產品
Search

搜尋本產品

    Secure Access Service Edge:上網行為管理與審計

    文件中心

    Secure Access Service Edge:上網行為管理與審計

    更新時間:Oct 28, 2025

    本文檔介紹如何通過佈建網域名的黑、白名單策略,實現對員工互連網訪問的精細化管控,並對所有訪問行為進行日誌審計,確保商業網路安全合規。

    背景介紹

    隨著企業數字化轉型的深入,員工在日常辦公中對互連網的訪問需求日益增加,但同時也帶來了資料泄露、違規訪問等安全風險。為了保障商業網路安全,提升員工上網行為的可控性,通過佈建網域名的黑、白名單能夠有效實現對特定網域名稱或泛網域名稱訪問的精細化管控。同時,結合全面的行為記錄與審計功能,不僅可以滿足企業合規要求,還能為安全事件溯源提供可靠依據,從而構建更加安全、合規的網路環境。

    行為管理原則檢測邏輯

    上網行為管理支援配置白名單策略和黑名單策略,對命中策略的訪問行為,根據配置的動作進行處置。您需要根據實際業務情況以及黑、白名單策略的檢測邏輯配置符合要求的管理原則。對於已信任的使用者、使用者組及網域名稱支援添加白名單。添加白名單後,不對該使用者、使用者組或網域名稱的訪問行為進行管控。

    1. 檢測白名單

      • SASE會檢查該使用者、使用者組及訪問的網域名稱是否已經被添加到白名單中。

    2. 檢測黑名單策略

      • 如果未配置白名單,SASE將進一步檢查是否為生效使用者訪問的網域名稱配置了黑名單策略。

      • 如果已配置黑名單策略,則按照配置的動作執行(如攔截提示、攔截不提示、觀察模式等)。

    3. 檢測白名單策略

      • 如果未配置黑名單策略,SASE將繼續檢測是否配置了白名單策略。

      • 如果配置了白名單策略,則按照白名單策略配置的動作執行(如攔截提示、攔截不提示、觀察模式等)。

    說明

    對於未配置任何策略的使用者、使用者組的上網行為和網域名稱的訪問,不進行管控和限制。

    適用範圍

    配置名單庫

    將網域名稱或泛網域名稱添加至名單庫並進行自訂分類,以便在配置黑、白名單上網行為管理原則時靈活選用。

    1. 進入行為管理頁面,根據需求選擇白名单管理黑名单管理頁簽,在頁面右上方單擊名单库管理

    2. image

    3. 名单库管理面板中,添加自訂名單類型,並添加網域名稱或泛網域名稱後單擊關閉

      • 白名單庫管理:新增自訂白名单类型及網域名稱。

      • 黑名單庫管理:新增自訂黑名单类型及網域名稱。

    配置上網行為管理原則

    1. 進入行為管理頁面,根據不同的配置,選擇白名单管理頁簽或黑名单管理頁簽,然後單擊建立策略

      1. 新增策略面板中,按照如下內容配置。

        配置項

        說明

        策略名稱

        配置白名單或黑名單策略名稱稱。

        優先順序

        配置策略執行優先順序,數值越小,優先順序越高。

        • 白名單策略:對於同一使用者的不同策略。

          • 優先順序不同的:若同時開啟多條策略,僅執行優先順序最高的白名單策略。

          • 優先順序相同的:若同時開啟多條策略,僅執行最新建立的白名單策略。

        • 黑名單策略:所有黑名單策略全部執行。若同一使用者存在相同配置但處置動作不同的多條策略,應基於最小化許可權原則,優先執行限制性最強的處置動作,以確保安全性和許可權控制的最佳化。

          說明

          當使用者訪問阿里雲官網時,若同時命中兩條黑名單策略(策略A配置動作為觀察模式,策略B配置動作為攔截提示,優先順序A>B),則行為為觀察上報日誌,不攔截。

        動作

        配置處置動作。支援三種處置動作。

        重要

        由於黑、白名單策略的功能不同,處置動作生效對象也不同。

        為了協助您更好地理解白名單策略和黑名單策略的使用情境,您可以參考上網行為管控配置參考樣本

        • 黑名單策略:處置動作對生效使用者訪問黑名單類型中配置的網域名稱生效。

        • 白名單策略:處置動作對生效使用者訪問非白名單類型中配置的網域名稱生效。

        • 拦截提示:對使用者的訪問進行攔截,並進行彈窗提示。

        • 拦截不提示:對命中策略的請求進行攔截。

        • 观察模式:僅進行日誌記錄,使用者可以正常訪問。

        有效時間

        配置策略執行時間。

        • 始終有效

        • 每周工作日

        策略狀態

        預設開啟策略。

        黑名单类型/白名单类型

        選擇名單庫中配置的自訂網域名類型。

        生效範圍

        配置生效使用者組。支援配置多個使用者組。

        審批流配置

        當您配置拦截提示時,可以配置是否支援企業員工進行報備。

        如果選擇支援員工報備審批,您需要選擇合適的審批次程序。關於如何建立審批次程序,請參見配置審批次程序

        彈窗提示配置

        設定攔截檔案外發的提示資訊。支援設定中文和英文兩種提示資訊。

      2. 配置完成後,單擊確定

    上網行為管控配置參考樣本

    以某企業上網行為管控配置為例,該企業希望可以通過配置白名單黑名單策略白名單策略達成如下上網行為管控效果:

    • 允許全體員工正常訪問該企業的主網域名稱,確保日常工作。

    • 限制人事部門員工僅允許訪問招聘相關的網站網域名稱。

    • 禁止研發部門員工訪問某些論壇網站。

    步驟一:配置白名單

    為了確保全體員工可以正常訪問企業主網域名稱,企業需要為主網域名稱配置白名單

    步驟二:配置白名單策略

    為了限制人事部門員工僅允許訪問招聘相關的網站網域名稱,企業需將招聘相關網域名稱加入白名單庫管理,並按照以下配置進行操作。

    image

    步驟三:配置黑名單網域名稱

    為了禁止研發部門員工訪問某些論壇網站,需將論壇相關網域名稱添加至黑名單庫管理,並按照以下配置進行操作。

    image

    配置白名單

    支援使用者、使用者組及網域名稱添加白名單。添加白名單後,SASE不再對白名單中使用者、使用者組的上網行為以及對網域名稱的訪問進行管控或攔截。

    1. 進入行為管理頁面,單擊列表右上方的白名單配置。跳轉至設定 > 白名單 > 上網行為管理頁簽。

      image

    2. 配置用户白名单用户组白名单例外域名等。單擊提交

    查看審計日誌

    SASE會對上網行為進行日誌審計,為日後事件追溯、合規查詢提供有效依據。

    行為審計

    針對白名單策略和黑名單策略的處置動作,提供日誌審計。

    1. 進入行為審計頁面。

    2. 白名单审计黑名单审计頁簽中,查看拦截提示拦截不提示观察模式-放行等存取控制類型審計日誌。

      支援按照時間、使用者名稱、部門、網域名稱等條件式篩選資料。

    日誌審計

    查看企業員工所有類型的互連網訪問記錄,包括正常訪問。

    1. 進入日誌審計頁面。

    2. 互連網行為管理審計頁簽中,查看企業員工的網站訪問記錄。支援查看拦截提示拦截不提示观察模式-放行报备加白-放行正常访问等存取控制類型。