日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺
文檔
輸入文檔關鍵字查找
首頁 無影云電腦企業版 操作指南 管理員指南 管理策略 策略配置說明 安全相關規則

安全相關規則

更新時間:
產品詳情
我的收藏

云電腦策略用于管控云電腦在體驗、安全、審計、外設、協作、AI方面的規則。本文介紹與安全相關的規則。

背景信息

云電腦策略中與安全相關的規則包括:

  • 登錄安全規則:登錄方式管控、云電腦訪問IP白名單。

  • 顯示安全規則:防截屏、水印。

  • 傳輸安全規則:剪貼板管控、Web客戶端文件傳輸。

  • 網絡安全規則:域名訪問管控、安全組管控。

登錄安全規則

快速入門

請查看以下引導式教學,了解無影云電腦企業版的登錄方式管控策略是什么,以及如何使用。為獲得最佳體驗,請在新窗口中打開查看

使用場景

  • 登錄方式管控規則用于限制終端用戶可以使用哪種無影終端連接云電腦。

    示例場景:為了保障企業信息安全,管理員將規則設置為僅允許使用Windows客戶端macOS客戶端和無影自研硬件終端連接云電腦。

  • 云電腦訪問IP白名單規則用于限制哪些IP地址段的無影終端可以連接云電腦。

    示例場景:為了保障企業信息安全,管理員將辦公場所的無影終端IP地址網段添加至白名單,因此員工只能通過辦公場所的無影終端連接云電腦,在其他場所無法連接。

配置說明

配置項

說明

登錄方式管控

用于限制終端用戶可以使用的無影終端類型。可選項包括:

  • Windows客戶端

  • macOS客戶端

  • iOS客戶端

  • Android客戶端

  • Web客戶端

  • 無影自研硬件終端

以上選項默認全部選中,您可以根據需要取消選擇部分選項。

云電腦訪問IP白名單

用于指定哪些IP地址段的無影終端可以連接云電腦。

單擊新增IP地址段,并在添加IP網段對話框中輸入允許的源IP地址段,然后單擊確定

IP地址段格式要求:CIDR格式塊,例如:192.0.XX.XX/3210.0.XX.XX/8

顯示安全規則

快速入門

請查看以下引導式教學,了解無影云電腦企業版的防截屏與水印策略是什么,以及如何使用。為獲得最佳體驗,請在新窗口中打開查看

使用場景

  • 防截屏功能用于防止因為截屏或錄屏而產生數據泄露。

    示例場景:某建筑設計公司為防止設計圖被非法盜用,為云電腦開啟了防截屏規則,因此任何人員都無法使用本地終端設備上的截圖工具對云電腦畫面進行截屏或錄屏。

  • 水印功能用于數據防泄露場景,可以發揮事前預防和事后審計的作用。

    示例場景:某廣告公司為云電腦開啟了水印,員工在云電腦上對內部文件進行截圖后,截圖上將出現管理員指定的水印,可以有效地預防內部文件泄露。一旦發生數據泄露,水印也可以提供重要的審計線索。

適用范圍

配置項

鏡像最低版本

客戶端及最低版本

防截屏

無要求

Windows客戶端macOS客戶端V5.2.0

盲水印強度

1.8.0

無要求

盲水印防拍照

1.8.0

任意客戶端V6.7.0

配置說明

配置項

說明

防截屏

防截屏功能用于數據防泄露場景。開啟防截屏后,終端用戶無法使用本地終端設備上的截圖工具對云電腦畫面進行截屏或錄屏。

說明

  • 僅5.2.0及以上版本的Windows客戶端macOS客戶端支持防截屏功能。

  • 各類無影終端支持防截屏功能的情況不同,如果開啟此功能,建議您在登錄方式管控規則中允許通過相應客戶端連接云電腦。

水印

水印功能用于數據防泄露場景,能發揮事前預防和事后審計的作用。

明水印

明水印是肉眼可見的水印,您可以設置水印的內容和展現樣式。

  • 水印內容(最多可選擇以下3項)

    • 用戶名:例如testuser01

    • 云電腦ID:例如ecd-66twv7ri4nmgh****

    • 云電腦IP地址:例如192.0.2.0

    • 客戶端IP地址:例如192.0.2.254

    • 云電腦當前時間:例如20230101

    • 自定義文字:您輸入的自定義文本,例如內部數據

      說明

      自定義內容長度為20個英文或中文字符以內。支持大小寫字母、數字、漢字和部分特殊字符,其中特殊字符包括:~!@#$%^&*()-_=+|{};:',<.?。使用換行或者其他特殊字符可能會導致自定義內容不生效。

  • 展現樣式

    • 字體大小:取值范圍為10~20 px,默認值為12 px

    • 字體顏色:RGB色值,默認值為#FFFFFF(白色)。

    • 透明度:取值范圍為10~100。0表示不透明,100表示完全透明,默認值為25

    • 傾斜度:取值范圍為-30~-10,默認值為-25

    • 水印密度:行與列的取值范圍均為3~10,默認值均為3

配置過程中,您可以在下方的預覽區域實時查看一條明水印的展現樣式。

盲水印

盲水印是肉眼不可見的水印。無影云電腦提供的默認盲水印算法可根據不同阿里云賬號身份信息對水印信息進行加密,防止惡意篡改。盲水印的配置項包括:

  • 安全優先:由于盲水印功能依賴一定版本以上的客戶端和鏡像,建議您開啟此選項。

    • 開啟后,只有當終端用戶使用符合版本要求的客戶端連接鏡像也符合要求的云電腦時才能連接成功。

    • 關閉后,當終端用戶使用不符合版本要求的客戶端,或者連接鏡像不符合要求的云電腦時,雖然可以連接成功,但盲水印無法生效。

  • 盲水印強度:強度越高,云電腦桌面顯示顆粒度越強,盲水印解析成功率越高。請您根據需求調節盲水印強度。該功能要求使用1.8.0或更高版本的鏡像。

  • 水印內容(最多可選擇以下2項):

    • 云電腦ID:例如ecd-66twv7ri4nmgh****

    • 云電腦IP地址:例如192.0.2.0

    • 客戶端IP地址:例如192.0.2.254

    • 云電腦當前時間:例如20230101

  • 防拍照:該功能要求使用1.8.0或更高版本的鏡像以及6.7.0或更高版本的無影客戶端。

傳輸安全規則

快速入門

請查看以下引導式教學,了解無影云電腦企業版的磁盤映射與剪貼板安全策略是什么,以及如何使用。為獲得最佳體驗,請在新窗口中打開查看

適用范圍

  • 本地磁盤映射

    • 僅支持Windows云電腦。

    • 僅支持Windows客戶端macOS客戶端

    • 本地磁盤映射適用于文件類數據的訪問,不適用于運行程序。即使已開啟本地磁盤映射,也不能在云電腦內運行本地設備上安裝的應用。如有需要,您也可以在云電腦內運行本地的免安裝應用,但是此舉會占用帶寬并影響云電腦的使用體驗,請謹慎操作。

  • 剪貼板管控:

    • 對于文本和圖片的傳輸,沒有限制條件。

    • 對于文件的傳輸,要求使用Windows客戶端(版本不低于V7.3.0)。

  • Web客戶端文件傳輸:即使設為允許上傳下載,對HDX協議的Linux云電腦也不生效。如果需要在此類云電腦中使用文件傳輸功能,只能使用默認的系統策略(即All enabled policy)。

配置說明

配置項

說明

本地磁盤映射

是指將本地設備磁盤映射為云電腦磁盤,從而實現在云電腦中訪問本地磁盤的數據。可選項包括:

  • 只讀:表示可以從云電腦查看和復制本地磁盤數據,但不能修改。

  • 關閉:表示在云電腦內無法訪問本地磁盤數據。

  • 讀寫:表示可以從云電腦查看、復制和修改本地磁盤數據。

剪貼板管控

設置云電腦和本地設備之間是否可以互相復制文本、圖片和文件。

Web客戶端文件傳輸

設置云電腦和本地設備之間是否可以通過Web客戶端互相傳輸文件。

網絡安全規則

域名訪問管控

域名訪問管控規則用于設置允許或禁止在云電腦中訪問的域名。例如,根據企業的規章制度,員工不可在工作時間內訪問與工作無關的網站,因此管理員將娛樂類的網站域名添加到DNS拒絕訪問規則中。

使用場景

默認情況下允許在云電腦中訪問任何域名。域名訪問管控用于設置允許或禁止在云電腦中訪問的域名,同時支持多層級、精細化地管控域名訪問權限。

示例場景:假設現有下表所示的域名,按照下表配置DNS規則即可實現精細化的權限管控。

域名

示例

訪問策略

說明

二級域名

example.com

允許

云電腦訪問example.com時,可以正常打開網頁。

三級域名

writer.examplec.com

禁止

云電腦訪問writer.example.com時,網頁顯示404。

developer.example.com

允許

云電腦訪問developer.example.com時,可以正常打開網頁。

四級域名

image.developer.example.com

禁止

云電腦訪問image.developer.example.com時,網頁顯示404。

video.developer.example.com

允許

云電腦訪問video.developer.example.comguide.developer.example.com時,可以正常打開網頁。

guide.developer.example.com

允許

使用限制

  • 域名限制

    為確保終端用戶能正常使用云電腦,以下預留的安全域名不受DNS規則的約束,即云電腦始終允許訪問這些域名。若您將這些域名的訪問策略設置為拒絕,則規則不會生效。

    • *.gws.aliyun

    • *.aliyun.com

    • *.alicdn.com

    • *.aliyunpds.com

    • *.aliyuncds.com

    • *.aliyuncs.com

  • 操作系統限制

    域名訪問管控規則只對Windows操作系統的云電腦生效。

  • 規則數量限制

    最多可設置300條DNS規則。

配置說明

域名訪問管控(原DNS策略)區域單擊添加DNS規則,然后在添加DNS規則對話框中完成以下配置,并單擊確定

配置項

說明

域名

填寫需要設置DNS規則的域名。每次只能添加1個域名,支持使用 * 通配符。

描述

自定義的DNS規則描述。

訪問策略

可選擇允許拒絕

說明

  • 如果需要設置多條訪問策略為允許的DNS規則,則必須添加一條訪問策略為拒絕的DNS規則作為保底規則。

  • 有多條DNS規則時,在列表中排序越靠前的規則生效優先級越高。您可以通過移動規則順序來調整優先級。

安全組管控

安全組是一種安全機制,用于控制云電腦的入流量和出流量,從而提高云電腦的安全性。

使用場景

一條安全組規則由規則方向、授權、優先級、協議類型、端口范圍等屬性確定。與云電腦建立數據通信前,系統將逐條匹配云電腦關聯策略中的安全組管控規則,確認是否放行訪問請求:

  • 對于授權設置為允許的規則,如果訪問請求匹配規則,則放行訪問請求。

  • 對于授權設置為拒絕的規則,如果訪問請求匹配規則,則攔截訪問請求并直接丟棄數據包。

您可以根據需要添加入方向或者出方向的安全組管控規則來進一步控制云電腦的出入流量。示例場景的安全組管控規則配置如下:

示例場景1

默認情況下,云電腦允許所有出方向的訪問。您可以添加以下出方向規則,實現只允許云電腦訪問特定的IP地址:

  • 規則1:拒絕所有出方向訪問。示例如下:

    規則方向

    授權

    優先級

    協議類型

    端口范圍

    授權對象

    出方向

    拒絕

    2

    全部

    -1/-1

    0.0.0.0/0

  • 規則2:在規則1的基礎上允許訪問特定IP地址,優先級必須高于規則1。示例如下:

    規則方向

    授權

    優先級

    協議類型

    端口范圍

    授權對象

    出方向

    允許

    1

    選擇適用的協議類型。

    設置合適的端口范圍。

    允許訪問的IP地址,例如:192.168.1.1/32。

示例場景2

在企業專網環境下,您可以添加允許特定IP地址訪問的入方向規則,實現該IP地址能夠訪問云電腦。示例如下:

規則方向

授權

優先級

協議類型

端口范圍

授權對象

入方向

允許

1

選擇適用的協議類型。

設置合適的端口范圍。

允許訪問的IP地址,例如:192.168.1.1/32。

示例場景3

假設云電腦A關聯了策略a,云電腦B關聯了策略b。在企業專網環境下,由于云電腦默認拒絕所有入方向的訪問,云電腦A和云電腦B之間無法互相訪問。您可以在策略a和策略b中添加以下入方向規則,實現云電腦A和云電腦B的網絡互通:

  • 在策略a中添加允許云電腦b訪問的入方向規則。示例如下:

    規則方向

    授權

    優先級

    協議類型

    端口范圍

    授權對象

    入方向

    允許

    1

    選擇適用的協議類型。

    設置合適的端口范圍。

    云電腦B的IP地址。

  • 在策略b中添加允許云電腦a訪問的入方向規則。示例如下:

    規則方向

    授權

    優先級

    協議類型

    端口范圍

    授權對象

    入方向

    允許

    1

    選擇適用的協議類型。

    設置合適的端口范圍。

    云電腦A的IP地址。

使用限制

  • 規則數量限制

    最多可設置200條安全組管控規則。

  • 入方向規則的限制

    云電腦默認允許所有出方向的訪問,入方向的訪問遵循以下原則:

    • 互聯網環境下,云電腦不支持所有入方向的訪問,即使您將安全組規則的入方向設置為允許,該安全組入方向規則仍然不生效。

    • 企業專網環境下,云電腦默認拒絕所有入方向的訪問,但是您可以通過將安全組入方向規則設置為允許來放行符合要求的訪問請求。

配置說明

安全組管控區域單擊添加安全組規則,然后在添加安全組規則對話框中完成以下配置,并單擊確定

配置項

說明

規則方向

  • 入方向:控制是否放行訪問云電腦的請求。

  • 出方向:控制是否放行云電腦訪問其他應用的請求。

授權

  • 允許:放行訪問請求。

  • 拒絕:攔截訪問請求并直接丟棄數據包,不會返回任何信息。

優先級

優先級的取值范圍為1~60,數值越小、優先級越高。同類型規則之間由優先級決定最終生效的規則。

協議類型

支持TCP、UDP、ICMP(IPv4)和GRE協議。

端口范圍

應用或協議開啟的端口。所選的協議類型為自定義TCP或者自定義UDP時,您可以設置自定義端口。設置端口時,支持輸入具體的端口(如:80)或者端口范圍(如:1/80)。更多信息,請參見常用端口

授權對象

CIDR格式的IPv4地址網段。

描述

自定義的規則描述。

后續步驟

默認情況下,云電腦拒絕所有入方向的訪問,允許所有出方向的訪問,即默認已有一條允許所有訪問的出方向規則。此時,您添加的出方向規則將與默認規則產生沖突。根據云電腦所屬的辦公網絡情況,您可能需要調整默認規則的優先級,以便您添加的規則能夠生效。

  • 如果您使用的是新版辦公網絡(ID格式為:地域ID+dir+10位數字),由于默認規則優先級最低,您添加的規則將直接生效,無需您做額外操作。

  • 如果您使用的是由舊版目錄升級而成的辦公網絡(ID格式為:地域ID+dir+17位字母和數字),由于默認規則優先級最高,您需要手動調整默認規則的優先級。操作步驟如下:

    1. 找到云電腦所屬的辦公網絡,單擊其辦公網絡ID

    2. 辦公網絡詳情頁面,單擊安全組ID。

    3. 安全組列表頁面,單擊安全組ID。

    4. 安全組規則頁面,單擊出方向頁簽,并修改對應規則的優先級。

      建議將優先級設置為60,這樣做可以確保您以后手動添加的出方向規則均可以直接生效。

相關文檔