配置應(yīng)用控制策略
配置策略的基本要素
應(yīng)用控制策略的基本要素是匹配條件和動(dòng)作。匹配條件包括地址對(duì)象、應(yīng)用對(duì)象、應(yīng)用行為、行為參數(shù)、關(guān)鍵字匹配、策略生效的時(shí)間范圍。
其中,地址對(duì)象、時(shí)間范圍對(duì)象、關(guān)鍵字對(duì)象都都需要先建立好模板,策略的動(dòng)作有“允許”,“拒絕”。
配置步驟:
1.進(jìn)入策略>應(yīng)用控制>應(yīng)用控制策略,點(diǎn)擊新建。
\
參數(shù)說(shuō)明:
啟用:是否啟用該策略。
源地址:源地址對(duì)象或源地址對(duì)象組(目前只適用于 IPv4)。
用戶:用戶或用戶組。
應(yīng)用:應(yīng)用分為 3 類,自定義應(yīng)用、預(yù)定義應(yīng)用組和單個(gè)的預(yù)定義應(yīng)用,any表示所有應(yīng)用。引用下拉框支持模糊搜索
應(yīng)用行為:應(yīng)用特征庫(kù)庫(kù)可以識(shí)別的動(dòng)作,如登錄、注銷、下載文件等等,any 表示所有應(yīng)用行為。
時(shí)間表:策略生效的時(shí)間,可以引用已配置的時(shí)間對(duì)象,always 表示所有時(shí)間。
內(nèi)容匹配:沒有啟用則匹配內(nèi)容列表不生效,啟用則匹配內(nèi)容列表生效。
行為參數(shù):以上配置的應(yīng)用行為所支持審計(jì)的參數(shù)。如登錄的用戶名,下載的文件名等等。any 表示應(yīng)用行為的所有參數(shù)。
關(guān)鍵字:引用建立好的關(guān)鍵字模板。當(dāng)行為參數(shù)獲取到的內(nèi)容包含關(guān)鍵字內(nèi)容(大小寫敏感),則匹配成功。any 代表匹配任何內(nèi)容。
匹配類型:匹配類型分別包含和不包含兩種。
匹配內(nèi)容列表:根據(jù)行為參數(shù)+關(guān)鍵字+匹配類型的組合為一組,最多可以配置十組,匹配時(shí)只有都滿足這些組合才算匹配成功
處理動(dòng)作:對(duì)符合匹配條件的數(shù)據(jù)流執(zhí)行的動(dòng)作。
日志:日志開關(guān),該日志開關(guān)和日志模塊的日志開關(guān)都開啟后才生效。
- 配置完畢后,點(diǎn)擊提交。
?
?
關(guān)鍵字配置
關(guān)鍵字模板可以在應(yīng)用控制模板里的關(guān)鍵字下拉菜單里直接新建引用,也可以在關(guān)鍵字模塊優(yōu)先創(chuàng)建。
配置步驟:
- 進(jìn)入策略>應(yīng)用控制>關(guān)鍵字,如下圖:
參數(shù)說(shuō)明:
名稱:關(guān)鍵字模板的名字。
描述:用戶可以配置對(duì)關(guān)鍵字的描述信息。
關(guān)鍵字:要進(jìn)行匹配的關(guān)鍵字,大小寫敏感。
關(guān)鍵字列表:最多可配置 128 條關(guān)鍵字,匹配時(shí)只要滿足一條關(guān)鍵字即算匹配成功。
- 配置完畢后,點(diǎn)擊提交。
?
啟用應(yīng)用控制策略
配置好的應(yīng)用控制策略必須啟用才能使其生效。
配置步驟:
- 進(jìn)入策略>應(yīng)用控制>應(yīng)用控制策略,如下圖:
- 勾選啟用可以啟用一條策略。
?
編輯應(yīng)用控制策略
配置步驟:
- 進(jìn)入策略>應(yīng)用控制>應(yīng)用控制策略,對(duì)某條存在的應(yīng)用控制策略點(diǎn)擊策略 ID 號(hào)進(jìn)入編輯界面。
- 可以對(duì)應(yīng)用控制策略里面的內(nèi)容進(jìn)行編輯修改,修改完畢后點(diǎn)擊提交。
?
刪除應(yīng)用控制策略
配置步驟:
- 進(jìn)入策略>應(yīng)用控制>應(yīng)用控制策略,如下圖:
- 點(diǎn)擊
刪除策略。
?
51.2.6 調(diào)整應(yīng)用控制策略的順序
通過(guò)移動(dòng)策略可以調(diào)整應(yīng)用控制策略的順序,從而使位置在前的策略優(yōu)先匹配。
配置步驟:
- 進(jìn)入策略>應(yīng)用控制>應(yīng)用控制策略,如下圖:
- 點(diǎn)擊
移動(dòng)策略。
策略 ID:需要被移動(dòng)的策略的 ID 號(hào)。
移動(dòng)到(策略 ID):參考策略的 ID 號(hào)。
之前:移動(dòng)策略到參考策略之前。
之后:移動(dòng)策略到參考策略之后。
- 點(diǎn)擊提交。
?
?
查詢應(yīng)用控制策略
查詢步驟:
- 進(jìn)入策略>應(yīng)用控制>應(yīng)用控制策略,如下圖:
- 右上角的過(guò)濾框
過(guò)濾框可以根據(jù)頁(yè)面配置的任何信息過(guò)濾。
例如:過(guò)濾 http
例如:過(guò)濾策略 ID
?
?常見故障分析
?常見故障:策略沒有命中
