功能
策略环路在设备与管理端之间清晰可见。
-
按组的分类策略
按策略组阻止 UT1 内容分类 —— 成人、赌博、恶意软件、AI 聊天工具等 —— 通过管理控制台进行设置。
-
允许列表与阻止列表
租户级允许列表覆盖分类阻止规则;阻止列表在 URLhaus、OpenPhish 和 PhishTank 馈送的基础上额外添加域名。
-
威胁指标馈送
URLhaus、OpenPhish 和 PhishTank 以 ed25519 签名的 gzip 包形式提供,每 15 分钟刷新一次。代理在信任包之前会验证签名。
-
本机拦截页面
被阻止的 DNS 查询会重定向至 127.0.0.1,并在屏幕上显示域名、分类、来源馈送和策略组。桌面通知会显示原因。
-
误报审查队列
终端用户可从拦截页面提交审查请求。请求附带原始策略原因和设备上下文,落入管理队列。
-
设备审计与阻止馈送
每次阻止都会在端点上写入一条 JSONL 审计记录。在托管模式下,事件还会发布到 /v1/report 的管理阻止馈送。
-
基于缓存的离线过滤
阻止列表和策略存放在本地缓存中 —— Windows 下为 %PROGRAMDATA%\ClearScreen,Linux 下为 /var/lib/clearscreen。如果边缘不可达,最后验证的包会继续执行过滤。
-
DoH 上游,无 TLS 解密
允许的查询通过 DoH 转发到上游 Cloudflare 1.1.1.1 并缓存。策略路径中不涉及 TLS 检查、PAC 文件或网络网关。
-
独立与托管注册
独立模式使用公共包和默认策略运行 —— 无需账户。运行 clearscreen enroll <key> 可在 /v1/enroll 交换注册密钥,以获取设备级 API 密钥和集中策略。
工作原理。
-
部署代理
在 Windows、Linux 或 macOS 上安装 Go 二进制文件。代理绑定 127.0.0.1:53,将系统 DNS 设置为回环地址,并在停止时恢复解析器。
-
按组设置策略
选择要阻止的 UT1 分类,添加租户允许列表和阻止列表,并从管理控制台分配策略组。托管代理从 /v1/policy 拉取策略。
-
在设备和管理端审查
被阻止的域名显示带原因的本机拦截页面。误报报告落入管理队列。阻止事件可导出为 CSV 或 JSON。