网址列表仅适用于已购买 Chrome 企业进阶版的客户。如需详细了解如何使用 Chrome 企业进阶版集成数据泄露防护,请参阅使用 Chrome 企业进阶版将数据泄露防护与 Chrome 集成。
如需增强 Chrome 浏览器中的数据泄露防护 (DLP) 规则,请创建自定义网址列表。借助自定义网址列表,您可以使用规则设置来阻止用户访问某些链接、在允许用户继续操作之前就风险链接向用户发出警告,或者记录对特定链接的访问审核跟踪。
什么是网址列表?
网址列表是您可以在 Chrome 数据泄露防护规则中使用的网址集合。您可以将它们与其他匹配器和自定义数据泄露防护规则搭配使用。
支持的网址列表格式
网址列表条目的基本格式为 <host>/<path>。支持端口号、IPv4 字面量和 IPv6 字面量。以下是一些有效的网址列表的网址示例:
- example.com
- example.com:3000
- subdomain.example.com
- example.com/a/long/path
- 192.168.0.1
- [2001:db8:85a3:0:0:8a2e:370:7334]/Path
虽然主机不区分大小写,但路径区分大小写。因此,以 /path 结尾的网址列表条目与以 /Path 结尾的网址列表条目不同。
不支持的网址列表格式和参数
自定义网址列表不支持以下网址格式和参数。如果使用,系统会忽略这些网址格式和参数,并且不会将其保存为条目的一部分:
- 网址方案(https://example.com 会以 example.com 的形式保存在网址列表中)
- 查询参数(example.com?user=1 会以 example.com 的形式保存在网址列表中)
- 锚标记(example.com#section1 会以 example.com 的形式保存在网址列表中)
- 网址末尾的斜杠(example.com/ 在网址列表中保存为 example.com)
自定义网址列表示例
假设您有一个自定义网址列表,其中包含以下 6 个条目:
- example.com/path/1
- example.com/Path
- subdomain.example3.com
- 192.168.0.1
- [1:2:3:4:5:6:7:8]:3000
- 192.168.0.2/path
每当您创建设置为有效并使用此列表作为条件的规则时,系统都会根据此列表检查用户在地址栏中输入的每个网址,任何匹配项都会触发相应规则。
注意:请注意,IP 地址及其 DNS 映射的域名代表两个不同的网址,可以根据网址列表进行检查。
下表提供了一些用户可能会访问的网址示例,并说明了相应网址为什么会或不会触发规则。
| 在地址栏中输入的网址 | 是否会触发规则? |
|---|---|
| http://example.com/path/1?param1=1#heading | 可以。由于系统会忽略网址协议、查询参数和锚点,因此该网址的格式与您列表中的第一个网址相匹配。 |
| https://subdomain.examPLE.com/path/1/2/3 | 可以。由于系统会忽略网址协议,并且网址列表中的主机名不区分大小写,因此该网址的格式与您列表中的第一个网址相匹配。 |
| http://example.com/path | 不会。由于网址列表中的路径区分大小写,并且您列表中的任何路径都不是此路径的子字符串,因此该网址的格式与您列表中的任何网址都不匹配。 |
| https://example3.com/Path | 不会。由于 example3.com 的网址列表条目包含该网址中未包含的子网域,因此不是匹配项。 |
| http://192.168.0.1:8080/1/2/3 | 可以。您列表中的第四个网址是此网址的子字符串,因此存在匹配项。 |
| https://[01:02:03:04:05:06:07:08]:3000 | 可以。此网址的地址是 IPv6 字面量,因此系统会使用其缩短形式将其与您的网址列表进行比较,并发现它与您列表中的第五个网址匹配。 |
| http://192.168.0.2/path1234/2#heading | 可以。您列表中的第六个网址是此网址的子字符串,因此存在匹配项。 |
| https://[1.2.3.4.5.6.7.8]/Path | 不会。虽然此网址与您列表中的第五个网址具有相同的主机,但它未包含该网址的端口。因此,两者不匹配。 |
网址列表的大小限制
- 每个网址列表条目的长度上限为 150 个字符。
- 网址列表条目的数量上限为 2 万个,或总大小为 1 MB,以先达到者为准。
- 单个网域允许的网址数量上限为 800 个或 60 KB,以先达到者为准。例如,网域 example.com 在单个网址列表中的网址数量不能超过 800 个。
在 Chrome 中使用网址列表实现数据泄露防护
如需在 Chrome 中使用网址列表实现数据泄露防护,您需要创建一个网址列表检测器和一条规则,并将该网址列表作为规则的条件之一。
第 1 步:创建网址列表检测器
准备工作:如果您需要为此设置设定部门或团队,请参阅添加组织部门。
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性访问权限和数据控件数据保护。需要拥有查看 DLP 规则和管理 DLP 规则的管理员权限。
- 在数据保护规则和检测器部分中,点击管理检测器。
- 依次点击添加检测器网址列表。
- 在名称部分中,输入名称和(可选)说明。
- 从下列选项中选择一项:
- 如果您的网址列表较短,或者您想在现有列表中添加一些网址,请选择添加网址。在文本字段中输入您的网址,并用逗号分隔各个网址。
- 如需上传包含网址的 CSV 文件或修改现有列表,请选择批量更新网址。
- 如需导出包含网址列表的检测器,请点击导出检测器。
- 点击创建。
第 2 步:创建包含网址列表条件的数据泄露防护规则
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性访问权限和数据控件数据保护。需要拥有查看 DLP 规则和管理 DLP 规则的管理员权限。
- 在数据保护规则和检测器部分中,依次点击管理规则添加规则新规则。
- 为规则输入名称和(可选)说明。
- 在应用部分中,选择 Google Chrome,然后选择触发规则的选项(例如访问过的网址)。
- 点击继续。
- 在操作部分中,针对 Chrome,选择一项操作(例如屏蔽)。
- 点击继续。
- 在范围部分,点击您的组织中的所有用户。
- (可选)如要选择在应用规则时要包含或排除的组织部门或群组,请点击相应的选项。 注意:组织部门可以包含设备和用户的任意组合。如果组织部门和群组之间存在冲突,以群组为准。
- 在内容条件部分中,点击添加条件,然后按如下方式配置条件:
- 在要扫描的内容类型部分,选择网址。
- 在要扫描的内容部分,选择与网址列表中的网址匹配。
- 对于网址列表,选择您在第 1 步中创建的网址列表的名称。
- 点击继续。
- 在规则详细信息页面上,选择一个状态:
- 有效 - 您的规则会立即生效。
- 未启用 - 您的规则不会立即生效,这样您就有时间测试规则并与利益相关方分享。 如果您想启用未启用的规则,请按照本页面上的启用未启用的规则中的步骤操作。
- 点击创建。
启用未启用的规则
如果您有未启用的规则,可以按如下方式启用:
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性访问权限和数据控件数据保护。需要拥有查看 DLP 规则和管理 DLP 规则的管理员权限。
- 在数据保护 规则和检测器部分中,点击管理规则。
- 在状态列中,点击要启用的规则对应的未启用,然后选择启用。
- 在未启用的规则框中,点击确认。