策略组模板
由于策略组的配置项数量多、内容复杂,为了简化租户侧创建策略组的过程,系统提供了策略组模板功能。策略组模板由 系统管理员 统一维护,旨在为租户管理员提供一套可参考、可复用的策略蓝图。
在具体的租户上下文中创建策略组时,租户管理员可以从策略组模板中直接 复制(Copy) 一份,根据实际业务需求稍作修改即可完成配置。这种“抄作业”式的机制极大地提升了策略部署的效率。
一、 模板列表与管理
在系统控制台中访问 “资源 -> 策略组模板”,可以查看当前系统中所有的策略模板。在新部署的环境中,系统已内置了一个“系统默认策略组”模板:
系统管理员可以执行以下操作:
- 编辑模板:调整各项策略的默认值,使其更符合通用的安全基准。
- 创建新模板:针对不同的行业或典型场景(如:高安全研发、普通行政办公)创建多个差异化的模板,省去租户管理员重复配置的操作。
二、 核心差异说明
虽然策略组模板包含了大部分策略配置项,但在设计上存在以下特殊处理:
- 缺失项: 在策略组模板中,不支持 配置客户端 IP 地址的黑白名单。
- 原因逻辑: 由于各租户所处的网络环境、子网划分及客户端 IP 段分布各不相同,系统管理员无法在系统层级预判租户的具体地址分布。因此,这一极具个性化的配置项被排除在模板之外,需由租户管理员在创建实际策略组时手动定义。
运维建议:建议系统管理员至少维护两套模板——一套“全开放”用于快速业务测试,一套“标准管控”用于正式办公,从而降低租户管理员的配置难度。