...
注意:相关配置信息的说明,可以查看功能下方的帮助。
(2)标识外网
标识外网的方式有两种:【按请求头名称标识外网】或【按请求端IP标识外网】
按请求头名称标识外网,前置代理机需要自定义一个请求头,key建议全英文,大小写不敏感,如示例:nginx设置了自定义请求头【customizeName】,值同样建议全英文。标识外网的方式有两种:【按请求头名称标识外网】或【按请求端IP标识外网】
- 【按请求头名称标识外网】:前置代理机需要自定义一个请求头,key建议全英文,大小写不敏感,如示例:nginx设置了自定义请求头【customizeName】,值同样建议全英文。
(3)选中defender.jsp的【按请求头名称标识外网】,并且填上你的自定义名称,如示例【customizeName】
验证:怎么验证你的自定义请求头是否生效呢?
(3-1)、勾选【启动跟踪日志】的【是】并【保存】勾选【启动跟踪日志】的【是】并【保存】(非排查问题或验证外,不建议开启,会影响性能),然后进入smartbi->系统监控->日志→开始监控日志
访问代理地址,如以上nginx配置示例: http://10.10.11.254:8642/smartbi/vision/index.jsp ,此时日志里面搜素示例配置的自定义请求头【customizeName】的值【test】,若能读出来,说明配置没问题。
- 【按请求端IP标识外网
...
- 】:该场景适合smartbi服务器及前置代理机不在同一台机器也就是不同的IP地址,这里填入外网访问的代理IP。
(43)验证配置是否生效
用代理地址访问【系统监控】、【用户日志】、【计划任务】等相关功能,假如返回403,则配置正常,按场景需要进行配置。
(54)支持按照功能分类和安全风险等级进行配置
注意:此项功能仅在2025年1月7号之后的V11及以上版本开放。
...
产品中提供代码编写和修改业务数据功能的高级模块,如定制任务、ETL 中的python节点、javascript查询等,由于操作灵活性较高,其相关接口均被归类为 高危类别。
具体使用说明如下:
(5(4-1)不受限制的 IP
允许配置受信任的 IP 地址范围,来自这些地址的请求将跳过安全卫士的检查,直接放行。多个 IP 地址使用英文逗号分隔。注意这里要配置 地址使用英文逗号分隔。注意这里要配置 IP防伪造,才能获取到用户真实的IP地址。
类别 | 方法 | 示例 |
|---|---|---|
| 精确指定某个ip | 直接设置对应的ip地址即可。 | 10.10.101.11 |
| 指定多个ip地址 | 各个ip地址以英文逗号分隔。 | 10.10.101.11,10.10.101.21,10.10.101.31 |
| 指定某个ip段地址 | 指定ip段地址区间,中间用减号(-)连接。 | 10.10.101.0-10.10.101.255 |
| 指定ip支持标准的掩码 | 使用 标准CIDR 格式。计算方法可参考:计算方法 | 10.10.23.0/24 |
注意:不支持10.10.202.*
(5(4-2)白名单配置,可以按 功能分类 批量勾选接口,根据实际使用场景实现一键配置。例如,限制外网只能做浏览报表操作,只需勾选【浏览类别】即可,编辑和管理类的接口都会被拦截。
...
各类别属于包含关系,如下图所示。例如勾选了编辑类别,代表编辑类别和浏览类别的接口都在白名单内。
(5(4-3)黑名单配置,提供 高危类别 复选框,勾选后将自动拦截高风险接口
(65)其他功能说明:如defender.jsp 下的【帮助】
...
