行为管理AC

深信服全网行为管理支持全网终端、应用、数据和流量的可视可控,智能感知终端违规接入、上网违规行为、敏感数据泄密等内部风险, 实现终端准入管控、上网管控和数据泄密管控的一体化行为安全管控。
点击可切换产品版本
知道了
不再提醒
行为管理AC13.0.102
{{sendMatomoQuery("行为管理AC","应用控制")}}

应用控制

更新时间:2023-09-22

应用控制策略是通过针对各种常见的网络应用设置的应用规则库和网站的URL分类库,实现网络应用的控制和对访问各类网站的控制。

应用控制的检测方式有两种:

对数据包的内容进行检测,从而实现控制某些应用的目的。针对各种已经识别或者未被识别应用服务控制,如对淘宝网站、P2P应用、QQ、邮件等,设置相对应的控制策略。

对访问网站的行为进行过滤,包括HTTP URL过滤、HTTPS URL网站过滤及HTTP上传过滤。

接下来介绍以下两种场景配置指导:应用类型控制和网站指定URL进行控制。详细配置可参考新增访问权限策略章节。

针对应用类型进行控制

步骤1.[行为管理/访问权限策略],点击<新增>,选择[访问权限策略],进入新策略编辑界面,勾选<启用该策略>,策略才会生效。

步骤2.填写策略名称和描述信息,其中策略名称为策略的唯一标识,不能重复,为必填项。描述信息是策略的概要,非必填项。

步骤3.点击<策略设置>,勾选应用控制,进入应用控制编辑页面,点击<添加>按钮并弹出选择适用的应用框页面。

步骤4.勾选需要控制的应用,动作可选允许或拒绝,生效时间,默认是全天,也可自定义设置,点击<确定>完成应用类型配置。生效时间的具体设置参考时间计划组设置。

步骤5.如果需要修改已设置的应用控制策略。勾选需要修改的应用,可以点击<移除>来删除掉该策略。点击<允许>可以把策略动作改为允许。点击<拒绝>则把策略动作改为拒绝。点击<上移><下移>,则可以把策略的序号进行调整。在进行策略规则匹配的时候,序号靠前的策略优先被匹配到。

步骤6.如果此策略中您只需要做应用控制,则点击<提交>按钮完成此策略的编辑,如果您还需要编辑其他类型的策略,则继续选择其他控制类型进行编辑。

针对指定的URL进行控制

HTTPS URL过滤是对使用HTTPS协议访问的网站进行过滤。例如拒绝内网用户访问加密网站https://mail.google.com/

步骤1.因为URL分类库中默认没有一个URL组是专门对应https://mail.google.com/的,所以在设置规则之前,需要先建一个URL组,将https://mail.google.com/添加进去。

步骤2.进入[系统管理/对象定义/URL分类库]页面,点击<新增>按钮,进入URL组设置页面,输入URL组名称、URL组描述以及URL。由于HTTPS URL也支持通配符,所以URL设置成:*.google.com

 

步骤3.[行为管理/访问权限策略],新增一条访问权限策略,点击<策略设置>,勾选应用控制,进入应用控制编辑页面。

步骤4.点击<添加>按钮,弹出选择适用应用框。找到“访问网站”这一类别,找到上一步中自定义的URL组“gmail”。动作可选允许或拒绝,生效时间,默认是全天,也可自定义设置,点击<确定>完成应用类型配置。生效时间的具体设置参考时间计划组设置。

AC12.0.42版本起,设备识别https的网站会先查client hello中的server name字段,如果没有这个字段,不再通过证书重组来获取证书中的“颁发给”作为识别依据。而是通过DNS cache功能,即终端的域名访问流量经过AC时,AC通过DNS cashe里的IP和域名的对应表来识别终端访问的域名。