更新时间:2022-06-17
策略配置用于新增、修改和调整应用控制策略。鼠标移到策略组名上,相应策略组后方显示[…]的标示,点击该标识,管理员可对策略组进行相应编辑。
策略配置功能参数说明表
操作 |
说明 |
删除 |
可删除当前的策略组。 |
编辑 |
可重新编辑该策略组名称。 |
上方插入 |
可以当前策略组上方插入一条新的策略组。 |
置顶 |
把当前策略组的顺序移至最上方。 |
上移 |
可对当前策略组的顺序上移一条。 |
下移 |
可对当前策略组的顺序下移一条。 |
移动到自定位置 |
可把当前策略组顺序移动到一条指定的位置。 |
在策略配置页面点击<新增>,进入[新增应用控制策略]页面,设置如下。
基础信息设置:
名称:定义规则名称。
状态:设置该策略为启用或者禁用状态。
描述:非必选项,添加规则的描述。
策略组:定义规则所属的策略组。
策略位置:设置策略的优先级,可以设置该策略在某条策略之前或者之后。
标签:非必选项,定义规则的标签,可用做显示区域,及过滤筛选时使用。
源:
源区域:选择需要控制的数据的源区域,默认为“any”区域,即代表所有区域。
源地址:选择需要控制的源IP地址或者用户。
用户/组:是从[用户认证/用户管理/组/用户]的组织结构中调用的用户信息。
目的:
目的区域:选择需要控制的数据的目的区域。默认为“any”区域,即代表所有区域。
目的地址:选择需要控制的数据的目的IP组。如果要针对内网用户上外网数据进行控制,则此处目标IP一般可以选择“全部”。
服务:选择需要做控制的服务。该处是调用[对象/服务]中定义的服务。
应用:选择需要做控制的应用。该处是调用[对象/内容识别库/应用识别库]里的应用特征。
:
服务和应用都需要填写,两者都满足才能匹配上该策略。
生效条件设置:
动作选项:设置满足上述定义的条件的数据包是放行还是丢弃。
生效时间:过滤条件,在指定的时间内过滤规则才生效。该处是调用[对象/时间计划]中定义好的时间对象。
高级选项:点击<设置>进去[高级选项]界面。如下图所示。
长连接:此功能仅用于支持访问有长连接请求的特殊服务器,使连接请求不受防火墙连接超时的影响,开启此功能会使连接释放变慢,时间可以选择最短1天、最长15天,请谨慎使用。
日志选项:默认未开启应用控制日志记录,需要提前在[系统/日志设置]中,开启“应用控制日志”,同时选择保存应用控制日志的存储位置。勾选“记录日志”,则把控制行为记录到所选择的存储位置中。应用控制日志过大将导致系统磁盘读写缓慢,建议使用外置数据中心或syslog存储该日志。
点击<更多操作>选择[辅助工具]可配置失效策略检查、模拟策略匹配、标签管理和策略变更原因记录。
标签管理:可以设置标签的相关操作,包括新增、编辑和删除等操作。如下图所示。
策略变更原因记录:启用后,将在新增或修改策略时显示变更原因输入框,方便记录变更原因,未启用则只自动记录变更内容和类型,点击<前往查看>会进入策略生命周期管理页面。
模拟策略匹配:可以根据五元组来模拟策略的匹配情况。如下图所示。
失效策略检查:可以检查已失效的策略。
实时冲突策略检查:在新增、修改和移动策略时,实时对策略的冲突进行检测并提醒。该功能启用后,可能在策略数量过多时造成页面加载延迟。
应用控制策略配置案例
某企业不允许研发部门的人员在上班时间使用IM聊天工具,当有研发人员使用IM工具,设备会拒绝,可在AF上配置应用控制策略。
操作步骤
在[策略/应用控制策略]点击<新增>进入[应用控制策略]界面。
基础信息的相关参数配置如下:
源区域选择自定义的内网区,区域的定义可以参考区域配置,源地址选择自定义的研发部,用户组的定义可以参考用户管理配置。
:
当前策略中选择了用户组,需要启用认证功能,且该用户已配置相关认证策略,如未启用认证策略,会导致策略不生效。
配置目的信息,目的区域选择自定义的外网区, 目的地址选择全部,服务选择any,应用选择IM。
生效条件设置,动作选择拒绝,生效时间选择自定义的上班时间。如需要查看日志,需要在高级选项的设置,勾选记录日志。
点击<确定>完成配置。
当研发部门的人员使用终端登陆IM工具,会出现网络异常,不能正常登陆该IM工具,访问其他网址不受影响。
可在[监控/日志/行为日志]中可查询到拒绝的日志的详细信息。