一般的なポリシー
以下のポリシーは、HTTPトラフィックを保護するために一般的に使用されます。
他のセレクター、オペレーター、およびアクションの包括的なリストについては、HTTPポリシーページを参照してください。
ホスト名またはURLパスによるサイトへのアクセスをブロックします。サイトの構成に応じて、異なるアプローチが必要になる場合があります。
ホストを使用するすべてのサブドメインをブロックします。
| Selector | Operator | Value | Action |
|---|---|---|---|
| Host | matches regex | .*example\.com | Block |
サイト全体をブロックすることなく、サイトの一部をブロックします。たとえば、reddit.comをブロックせずに、特定のサブレディット(例:reddit.com/r/gaming)をブロックできます。
| Selector | Operator | Value | Action |
|---|---|---|---|
| URL | matches regex | /r/gaming | Block |
Block content categories which go against your organization’s acceptable use policy.
| Selector | Operator | Value | Action |
|---|---|---|---|
| Content categories | in | Adult Themes, Gambling | Block |
To minimize the risk of shadow IT, some organizations choose to limit their users’ access to certain web-based tools and applications. For example, the following policy blocks AI assistants:
| Selector | Operator | Value | Action |
|---|---|---|---|
| Application | in | Microsoft Copilot, ChatGPT, Google Gemini | Block |
Configure access on a per user or group basis by adding identity-based conditions to your policies.
| Selector | Operator | Value | Logic | Action |
|---|---|---|---|---|
| Application | in | Salesforce | And | Block |
| User Group Names | in | Contractors |
ZoomやAppleサービスなどの特定のクライアントアプリケーションは、証明書ピンニングに依存しています。Cloudflare Gatewayによって実行されるTLS検査は、ユーザーがこれらのアプリケーションにアクセスする際にエラーを引き起こします。この動作を回避するには、「Do Not Inspect」HTTPポリシーを追加する必要があります。
Gatewayは、最初にDo Not Inspectポリシーを評価します。混乱を減らすために、Do Not Inspectポリシーをリストの上部に移動することをお勧めします。
| Selector | Operator | Value | Action |
|---|---|---|---|
| Application | in | Do Not Inspect | Do Not Inspect |
デバイスに特定のソフトウェアがインストールされているか、その他の構成属性を要求します。デバイスポスチャチェックの設定手順については、デバイスポスチャの強制を参照してください。
ユーザーが少なくとも最小バージョンを実行していることを確認するために、OSバージョンチェックを実行します。
| Selector | Operator | Value | Action |
|---|---|---|---|
| Passed Device Posture Checks | in | Minimum OS version | Allow |
ユーザーがシステムに特定のファイルを持っていることを確認するために、ファイルチェックを実行します。
ファイルパスは各オペレーティングシステムで異なるため、各システムに対してファイルチェックを構成し、Or論理演算子を使用して、チェックのいずれかが通過することを要求できます。
| Selector | Operator | Value | Logic | Action |
|---|---|---|---|---|
| Passed Device Posture Checks | in | macOS File Check | Or | Allow |
| Passed Device Posture Checks | in | Linux File Check |
一定の時間が経過した後にユーザーに再認証を要求します。
ブラウザ隔離アドオンを使用している場合は、一般的な隔離ポリシーのリストを参照してください。
公開証明書機関によって署名されていない証明書を持つオリジンサーバーにアクセスする場合、TLS復号化をバイパスする必要があります。
| Selector | Operator | Value | Action |
|---|---|---|---|
| Domain | in | internal.site.com | Do Not Inspect |
Block the upload or download of files based on their type.
| Selector | Operator | Value | Logic | Action |
|---|---|---|---|---|
| Upload File Type | in | Microsoft Office Word Document (docx) | And | Block |
| Download File Type | in | PDF (pdf) |
Google DriveトラフィックのGateway検査を有効にするには、Cloudflare証明書をGoogle Driveに追加する必要があります。
Google Driveへのファイルアップロードをブロックします。
| Selector | Operator | Value | Logic | Action |
|---|---|---|---|---|
| Application | in | Google Drive | And | Block |
| Upload Mime Type | matches regex | .* |
Google Driveからのファイルダウンロードをブロックします。
| Selector | Operator | Value | Logic | Action |
|---|---|---|---|---|
| Application | in | Google Drive | And | Block |
| URL Path & Query | matches regex | .*(e=download|export).* |
Gmailからのファイルダウンロードをブロックします。
| Selector | Operator | Value | Logic | Action |
|---|---|---|---|---|
| Host | is | mail-attachment.googleusercontent.com | And | Block |
| URL Path & Query | is | /attachment/u/0 |
ブラウザ隔離ユーザーは、ChatGPTとのインタラクションを隔離できます。
| Selector | Operator | Value | Action |
|---|---|---|---|
| Application | in | ChatGPT | Isolate |
In Configure policy settings, you can customize restrictions for ChatGPT. For example, to prevent your users from inputting sensitive information, you can select Disable copy / paste and Disable file uploads.