一些企事業(yè)單位出于工作和安全的需要，希望可以允許局域網(wǎng)內(nèi)的電腦終端訪問互聯(lián)網(wǎng)，但是不允許發(fā)送數(shù)據(jù)到外網(wǎng)。這個(gè)需求從理論上來說其實(shí)是矛盾的，以Web訪問為例，當(dāng)我們?nèi)ピL問一個(gè)網(wǎng)頁的時(shí)候，用的是HTTP的GET指令，大概的格式是這樣的：

GET /path/to/resource HTTP/1.1 

Host: www.example.com

User-Agent: MyCustomUserAgent/1.0 

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 

Connection: keep-alive

瀏覽器告訴網(wǎng)站服務(wù)器這些信息：需要訪問的URL地址、域名、瀏覽器種類、壓縮類型、連接類型等。這個(gè)頭部的大小在RFC的定義中是2K字節(jié)，這是明文的HTTP方式。如果是HTTPS方式，還需要證書交換，上傳的數(shù)據(jù)大約8K字節(jié)。換句話說，即使只是瀏覽網(wǎng)站，每一次訪問也需要8K的上傳數(shù)據(jù)。所以說，只允許訪問但是不允許任何外發(fā)數(shù)據(jù)，這個(gè)需求是自相矛盾的，不能得到真正的實(shí)現(xiàn)。

雖然嚴(yán)格的完全只訪問不上傳是做不到的，但是我們可以通過限定上傳數(shù)據(jù)的大小來實(shí)現(xiàn)這個(gè)功能需求。如下圖：

WSG上網(wǎng)行為管理的“應(yīng)用過濾”有一項(xiàng)“智能過濾”的功能，可以設(shè)置每個(gè)連接的最大允許的上傳數(shù)據(jù)?；谏厦娴姆治?，我們把這個(gè)值設(shè)置為“10KB”即可不影響正常的網(wǎng)站訪問，而且不能上傳超過10KB的信息。

啟用該選項(xiàng)后，WSG會(huì)自動(dòng)統(tǒng)計(jì)每個(gè)連接中的上傳數(shù)據(jù)大小，一旦上傳數(shù)據(jù)超過限定的閾值，就會(huì)判定為”疑似上傳行為“而加以禁止。利用該選項(xiàng)有如下好處：

1. 對(duì)所有的應(yīng)用協(xié)議都可以生效。
   

2. 不在應(yīng)用特征庫中的上傳行為也可以禁止。

3. https網(wǎng)站中的上傳也一樣可以設(shè)別和屏蔽。

如下圖，https的網(wǎng)頁郵件中的上傳附件可以被識(shí)別和禁止掉。

論壇發(fā)帖的附件一樣可以禁止掉。

不但是Web上傳，對(duì)于各類客戶端APP，比QQ傳文件、微信傳文件中的上傳行為也一樣可以禁止。

在WSG的實(shí)時(shí)流量圖中，點(diǎn)擊總帶寬的數(shù)字進(jìn)去，就可以看到每個(gè)終端的實(shí)時(shí)連接和實(shí)時(shí)封堵。實(shí)時(shí)封堵里面顯示了連接被禁止的原因、對(duì)應(yīng)的模塊和策略。如下圖中所示，可以看到“疑似上傳文件”的禁止記錄。

這樣就實(shí)現(xiàn)了“只允許下載和訪問但是不允許上傳”的功能需求，滿足了企事業(yè)單位的安全需要。需要注意的一點(diǎn)是：為了避免分片傳輸，盡量不要把疑似上傳的閾值設(shè)置的過大（500K以內(nèi)為宜）。