下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.85
{{sendMatomoQuery("下一代防火墙AF","应用特征识别库")}}

应用特征识别库

更新时间:2023-07-12

应用特征识别库是用来判断和检测上网数据的应用类型的,根据数据包的特征值或者协议、端口、方向、数据包长度匹配、数据包内容匹配等多个条件来检测应用类型,能够很好的检测通过端口或协议无法区分的应用类型,比如QQP2P等。

应用识别库分为内置库和自定义库,内置库有内置库规则与内置库应用,自定义库有自定义规则与自定义应用;内置库不可修改,由设备定时更新,更新内置库需要序号授权,保证设备能够上网;自定义库可以增加、删除、修改等,一个自定义定义可以引用多条规则。

用户可以在[策略/应用控制策略]中引用应用识别规则,对相关的应用做控制。

查看应用识别规则

在导航菜单页面中的[对象/内容识别库/应用识别库],进入[应用特征识别库]页面。

应用规则总数:10481:显示的是设备当前内置的规则识别库中的应用规则总数。

应用特征识别库版本:显示当前的内置规则识别库的版本。

升级有效期至:显示的是内置规则识别库的升级有效期。

应用分类中显示的是应用识别规则的分类,如IM,游戏等。

选择对应的应用类型,具体应用中会显示此类应用中包含的具体应用,属于某个大的应用类别中细化的分类,如IM中的QQMSN等。

在筛选中选择需要查询的规则类型:勾选全部表示筛选符合条件的全部规则;勾选启用表示筛选已经启用了的符合搜索条件的规则;勾选禁用表示筛选已经禁用了的符合条件的规则。在搜索中需要查询的规则关键词,如筛选条件设置为“QQ”。

启用/禁用应用识别规则

在导航菜单页面中的[对象/内容识别库/应用识别库],进入应用特征识别库页面,先筛选出想要设置的规则,比如需要对QQ的规则进行禁用,如图筛选出QQ相关的应用:

勾选具体应用“QQ”,点击<启用>或者<禁用>,即可对QQ登录的所有规则进行禁用或启用。

如果需要禁用或启用具体应用中的某条规则,比如禁用“QQ”应用识别中的某条规则,点击<规则设置>,会弹出一个[QQ识别规则]的编辑框,列出所有“QQ”的相关规则,勾选规则,点击<启用>或者<禁用>,即可对规则进行禁用或启用。

1.某些基础协议的应用识别规则是不能被禁用的,比如:HTTP,这种基础协议如果禁用的话,会影响其他基于HTTP协议的数据识别。所以设备限制此类规则不能被禁用掉。

2.此处禁用规则并不是封堵相应的应用,封堵规则请查看内容安全章节部分的内容。此处如果禁用QQ,就表明设备无法识别QQ这种应用。一般情况下不需要禁用这些规则,排查故障的情况下可能会使用。

3.应用特征识别库支持IPv6,可以识别IPv6环境中的各类常见应用。