飞连安全 Web 网关（SWG）通过引流策略实现上网流量的统一接管与精细化管控。引流策略是 SWG 核心防护功能的逻辑前提：在未配置引流策略前，终端流量默认不经过 SWG；策略启用后，受控终端将开启流量接管模式，确保用户上网行为处于安全监管之下。通过该功能，您可以：

• 构建安全基座：将终端流量（VPN 流量除外）引流至 SWG 隧道，进行安全检测与策略匹配。
• 优化访问体验：通过配置排除地址，使信任的业务流量（如视频会议、内网系统）绕过隧道直连，降低访问延迟并节省算力资源，解决全量管控与业务性能之间的平衡问题。
• 兼容复杂网络：利用网络位置识别能力，自动识别环境特征并实施差异化管控。

本文详细介绍如何通过初始化向导、证书管理及引流策略配置，实现对企业终端上网流量的精细化接管与业务访问优化。

管理引流策略 #

管理员可以根据不同部门或业务场景，灵活新增、编辑或停用引流策略。

新增引流策略 #

1. 登录飞连管理后台。
2. 在左侧导航栏选择安全 Web 网关 > 引流策略。
3. 点击页面右上角的 + 添加策略（首次配置时点击页面中部的初始化配置）。
   

   说明

   初始化配置时，将联动配置企业自签根证书，详见证书配置。

4. 根据实际需求完成策略配置。

   • 基本信息

     配置项	配置说明
     策略名称	自定义策略名称，建议按业务场景命名，如“办公软件流量放行”。
     策略状态	启用：该策略生效。系统将接管生效对象的上网流量，并执行下文配置的排除规则。 禁用：该策略不生效。若受控对象未命中任何其他已启用的引流策略，其流量将默认直连，不进入 SWG 隧道。

   • 排除内容
     用于定义不需要 SWG 防护的内容。

     配置项	配置说明
     资源排除	指定需要直连的 IP/域名地址。 点击 + 添加条件，手动输入需要排除的 IP 地址或域名。单个输入框内支持批量输入，域名和 IP 分别最大支持 5000 个。应用效果：访问这些指定地址的流量将绕过 SWG 隧道，直接通过本地网络传输。
     进程排除	支持基于终端应用程序（进程）维度进行流量排除。点击 + 选择进程，为 Windows 或 macOS 平台添加特定的进程规则。 配置建议：为确保引流排除的精准度，若目标程序为已签名进程，请务必完整填写进程名称 + 文件数字签名。 平台专属注意事项： Windows：避免配置过宽的路径范围。若仅配置 C:\ 等根目录盘符，系统将自动排除该盘符下的所有进程流量。请务必配合进程名称或签名信息使用，或将路径精确到具体的应用程序安装目录。 macOS：注意软件分发渠道的签名差异。同一款软件的官网下载与 App Store 下载，两种渠道的文件数字签名通常是不一致的。若需确保该软件在所有安装场景下均能成功排除，建议同时录入两种渠道对应的签名规则，或确认用户统一的安装来源。
     网络位置排除	用于定义在何种网络环境下，流量不进入 SWG 隧道。 不配置（保持为空）：默认行为。所有环境下，流量均通过 SWG 隧道管控。 任意网络区域：所有环境下，流量均保持直连。 指定网络区域：当终端处于选定区域之内的环境时，流量直连，不进入隧道。网络区域配置方法详见网络区域管理。 未知网络区域：当终端处于选定区域之外的环境时，流量直连，不进入隧道。 配置示例： 如果您希望员工无论在哪（公司或家里），流量都必须经过 SWG 隧道受控，请不要配置此项（即保持默认的空状态）。 如果您希望员工在公司内网时不走 SWG 隧道（因为内网本身安全），但在家里或公共场所时必须受控，请选择指定网络区域，并勾选代表公司内网的区域。

   • 生效对象

     • 生效范围：选择该策略适用的部门、成员、角色或特定的终端设备（组）。
     • 排除对象：在已选中的生效范围内，进一步剔除不需要应用该策略的对象。
5. 点击确认完成策略创建。

客户端效果 #

开启引流策略后，生效对象范围内的客户端网络页将同步展示 SWG 模块且状态为已连接。

• 为确保终端用户上网行为始终处于安全监管之下，当前不支持用户手动断开 SWG 连接，终端用户仅可通过向管理员申请解除口令的方式临时解除防护。
  
• 如需在客户端隐藏 SWG 模块，或修改模块展示名称，请参考定制客户端功能显示进行自定义。

策略运维 #

管理员可以在引流策略列表页面，对已创建的策略进行实时监控、检索与调整。

• 筛选与检索：支持多维度快速查找策略。点击展开筛选，可使用多个筛选条件进行组合查询。
• 管理生效状态：通过列表操作栏中的状态开关，一键切换策略的启用或禁用状态。
• 编辑策略：若业务需求发生变化（如需增加排除的 IP、调整生效部门或更改优先级），点击操作列的编辑。系统将弹出与“添加策略”一致的配置抽屉，并预填当前策略的所有参数。修改完成后点击确认，新配置将立即下发并生效。
• 删除策略：点击删除并完成二次确认，可移除不再需要的策略。删除策略后，原本被排除直连的流量可能被重新引流至 SWG 隧道，请在操作前确认相关业务不受影响。

证书配置 #

在当前的互联网通信中，大部分 Web 访问及云应用均采用 HTTPS 加密协议进行数据传输。由于加密机制保护了数据报文的内容，安全 Web 网关（SWG）默认无法获取加密流量内部的具体信息（如请求路径、网页关键字、上传的文件内容等）。
为打破“审计盲区”，使 SWG 能够对 HTTPS 加密流量执行深度的内容识别与安全过滤，需配置并信任企业 CA 证书。

核心作用 #

• 开启深度防护：配置证书是开启 HTTPS 流量解密（SSL 检查） 的前提。只有完成此配置并在对应功能模块（如网站过滤）中开启相关检测规则后，SWG 才会对命中规则的 HTTPS 流量执行自动解密与深度扫描。
• 保障无感体验：通过飞连自动分发并信任根证书，可确保员工在访问加密网站时，浏览器不会弹出“您的连接不是私密连接”等风险提示，保障无感化的上网体验。

配置步骤 #

1. 在安全 Web 网关 > 引流策略配置初始化向导中进入（日常证书维护可通过企业设置 > 企业信息 > 通用配置进入）。
2. 录入根 CA 信息。
   • 根 CA 证书名称：自定义名称，用于后台识别（如：Corporate Root CA）。
   • 上级根 CA 证书文件 (PEM)：粘贴证书内容或点击点击上传。需包含完整的 PEM 块标识（含起始与结束行）。
   • 上级根 CA 证书私钥 (PEM)：粘贴对应的私钥内容或点击点击上传。需包含完整的 PEM 块标识（含起始与结束行）。
3. 配置子 CA 信息。
   1. 为了保障安全，建议由根 CA 签发一张专门用于 SWG 实时解密工作的子 CA。
   2. 参照根 CA 的录入格式要求，分别录入子 CA 证书名称、子 CA 证书文件及子 CA 证书私钥。
4. 配置自动安装范围：点击 + 添加成员，选择需要自动信任该证书的范围（推荐选择全员）。
   
5. 点击确认完成配置。
6. 配置保存后，飞连客户端将自动将 CA 证书（公钥） 下载并导入至终端系统的“受信任根证书存储区”，无需员工手动干预。
   • 安装验证：管理员可前往接入设备页面，通过证书状态筛选验证终端是否成功安装证书。
   • 异常处理：若自动安装失败，请前往企业设置 > 企业信息 > 通用配置，在企业自签根证书区域单击下载公钥下载 .crt 格式的证书文件，并分发给目标员工引导其手动安装。