WatchGuard 策略中的细节

实验步骤：（供参考）

http 下载：

1.用默认策略下载文件

==》不能文件

策略中的细节

2.在 outgoing 保持不变的情况下，添加 http 包过滤

==》可以下载

3.disable http 策略，在 outgoing 里面修改关于 body content types 的策略

==》不可下载

4.enable http，恢复刚才修改outgoing 的内容

==》可以下栽

5.disable outgoing，单独留 http

==》可以下载

6.disable outgoing，有 http，新加 http proxy

==》如果策略是 http client-->不可下载，同样你可以在这个里面设置多个不可下载的附件

==》如果策略是 http server-->可以（本地）下载 所以我们要注意这两者的区别

==》新建策略-->allow 下载和内容方面的限制-->可以下载

ftp 下载：

1.disable outgoing ftp client-->不可以下载

2.disable outgoing ftp server-->有时可以下栽

3.保持策略是 ftp client 不变，打开 outgoing-->不可以下载

4.保持策略是 ftp server 不变，打开 outgoing-->有时可以下载

5.保持打开 outgoing，新建 ftp client，去掉他禁止下载的附件-->可以下载附 件

6.关闭 outgoing,新建 ftp client，去掉他禁止下载的附件-->可以下载

7.保持打开 outgoing，保持策略是 ftp client 不变，新建 ftp 包过滤-->默认 ftp proxy 会比 ftp 优先-->不能下载

8.保持打开 outgoing，关闭策略 ftp client 的 proxy，新建 ftp 包过滤-->可以下载

大家首先要弄清楚的是默认的策略是不允许下载.exe、.zip 等文件的：

原因是 outgoing 使用了代理策略，默认的策略会限制用户下载指定的附件， 包括 ftp 下载：

可看到上图限制 jave、zip、exe 等附件，在 body content types 上面还有 content types，他也会有相应的限制。

如果你想要下载你可以在默认有 outgoing 的情况下，新建 http 包过滤策略：

disable outgoing ，only http 策略，可以下载

disable outgoing，有 http，新加 http proxy，proxy 默认是 http-client，不可下载：

通过日志看到从 http 和 ftp 下载都被挡掉：

把 http-proxy 的策略配成 http-server，可以下载：

分析两者的区别，有两个方面，一个是 Body Content Types： 默认是 Deny 的，你可以 Allow

还有 Content Types：

默认其余的是 Deny 的，你可以 Allow

这样如果你新建个策略，把这两个方式做相应的调整，你可以灵活的控制附 件方面的下载。

 

针对 ftp： 你可以参照我的实验步骤，测试内容和结果都有，这里我指出关键的步骤，

在下图中策略默认是禁止下载这些软件的：

你可以按需求灵活的设置，控制软件的下载。