策略配置用于新增、修改和调整应用控制策略。鼠标移到策略组名上，相应策略组后方显示[…]的标示，点击该标识，管理员可对策略组进行相应编辑。

 策略配置功能参数说明表

操作	说明
删除	可删除当前的策略组。
编辑	可重新编辑该策略组名称。
上方插入	可以当前策略组上方插入一条新的策略组。
置顶	把当前策略组的顺序移至最上方。
上移	可对当前策略组的顺序上移一条。
下移	可对当前策略组的顺序下移一条。
移动到自定位置	可把当前策略组顺序移动到一条指定的位置。

 

在策略配置页面点击<新增>，进入[新增应用控制策略]页面，设置如下。

基础信息设置：

名称：定义规则名称。

状态：设置该策略为启用或者禁用状态。

描述：非必选项，添加规则的描述。

策略组：定义规则所属的策略组。

策略位置：设置策略的优先级，可以设置该策略在某条策略之前或者之后。

标签：非必选项，定义规则的标签，可用做显示区域，及过滤筛选时使用。

源：

源区域：选择需要控制的数据的源区域，默认为“any”区域，即代表所有区域。

源地址：选择需要控制的源IP地址或者用户。

用户/组：是从[用户认证/用户管理/组/用户]的组织结构中调用的用户信息。

目的：

目的区域：选择需要控制的数据的目的区域。默认为“any”区域，即代表所有区域。

目的地址：选择需要控制的数据的目的IP组。如果要针对内网用户上外网数据进行控制，则此处目标IP一般可以选择“全部”。

服务：选择需要做控制的服务。该处是调用[对象/服务]中定义的服务。

应用：选择需要做控制的应用。该处是调用[对象/内容识别库/应用识别库]里的应用特征。

：

服务和应用都需要填写，两者都满足才能匹配上该策略。

 

生效条件设置：

动作选项：设置满足上述定义的条件的数据包是放行还是丢弃。

生效时间：过滤条件，在指定的时间内过滤规则才生效。该处是调用[对象/时间计划]中定义好的时间对象。

高级选项：点击<设置>进去[高级选项]界面。如下图所示。

长连接：此功能仅用于支持访问有长连接请求的特殊服务器，使连接请求不受防火墙连接超时的影响，开启此功能会使连接释放变慢，时间可以选择最短1天、最长15天，请谨慎使用。

日志选项：默认未开启应用控制日志记录，需要提前在[系统/日志设置]中，开启“应用控制日志”，同时选择保存应用控制日志的存储位置。勾选“记录日志”，则把控制行为记录到所选择的存储位置中。应用控制日志过大将导致系统磁盘读写缓慢，建议使用外置数据中心或syslog存储该日志。

点击<更多操作>选择[辅助工具]可配置失效策略检查、模拟策略匹配、标签管理和策略变更原因记录。

标签管理：可以设置标签的相关操作，包括新增、编辑和删除等操作。如下图所示。

策略变更原因记录：启用后，将在新增或修改策略时显示变更原因输入框，方便记录变更原因，未启用则只自动记录变更内容和类型，点击<前往查看>会进入策略生命周期管理页面。

模拟策略匹配：可以根据五元组来模拟策略的匹配情况。如下图所示。

失效策略检查：可以检查已失效的策略。

实时冲突策略检查：在新增、修改和移动策略时，实时对策略的冲突进行检测并提醒。该功能启用后，可能在策略数量过多时造成页面加载延迟。

应用控制策略配置案例

某企业不允许研发部门的人员在上班时间使用IM聊天工具，当有研发人员使用IM工具，设备会拒绝，可在AF上配置应用控制策略。

操作步骤

步骤1.在[策略/应用控制策略]点击<新增>进入[应用控制策略]界面。

基础信息的相关参数配置如下：

名称：不允许使用IM工具

状态：选择启用

描述：可自定义，如“不允许研发部门的人员使用IM”

策略组：选择默认策略组

策略位置：设置优先级在限制下载P2P之前。

标签：可自定义，也可选择默认。

步骤2.源区域选择自定义的内网区，区域的定义可以参考区域配置，源地址选择自定义的研发部，用户组的定义可以参考用户管理配置。

：

当前策略中选择了用户组，需要启用认证功能，且该用户已配置相关认证策略，如未启用认证策略，会导致策略不生效。

 

步骤3.配置目的信息，目的区域选择自定义的外网区， 目的地址选择全部，服务选择any，应用选择IM。

 

步骤4.生效条件设置，动作选择拒绝，生效时间选择自定义的上班时间。如需要查看日志，需要在高级选项的设置，勾选记录日志。

步骤5.点击<确定>完成配置。

步骤6.当研发部门的人员使用终端登陆IM工具，会出现网络异常，不能正常登陆该IM工具，访问其他网址不受影响。

步骤7.可在[监控/日志/行为日志]中可查询到拒绝的日志的详细信息。