应用特征识别库是用来判断和检测上网数据的应用类型的,根据数据包的特征值或者协议、端口、方向、数据包长度匹配、数据包内容匹配等多个条件来检
测应用类型,能够很好的检测通过端口或协议无法区分的应用类型,比如 QQ、P2P 等。
应用特征识别库分为内置规则和自定义规则,内置规则不可修改,由设备定时更新,更新内置库需要序号授权,且保证设备能够上网;自定义规则可以增加、删除、修改等(自定义规则详细介绍见章节 3.4.5)。
用户可以在『策略』→『应用控制策略』中引用应用识别规则,对相关的应用做控制。
在【导航菜单】页面中的『对象』→『内容识别库』,右边进入【应用特征识别库】页面:
[应用总数:1209;规则总数:3029]:显示的是设备当前内置的规则识别库中的应用总数和规则总数。
[应用特征识别库版本]:显示当前的内置规则识别库的版本。[升级有效期至]:显示的是内置规则识别库的升级有效期。
【应用分类】中显示的是应用识别规则的分类,如 IM,游戏等。选择对应的应用类型,【具体应用】中会显示此类应用中包含的具体应用, 属于某个大的应用类别中细化的分类,如 IM 中的 QQ,MSN 等。
在[筛选]中选择需要查询的规则类型:勾选【全部】表示筛选符合条件的全部规则;勾选【启用】表示筛选已经启用了的符合搜索条件的规则;勾选【禁用】表示筛选已经禁用了的符合条件的规则。在[搜索]中需要查询的规则关键词,如筛选条件设置为“QQ”,回车后如图:
在【导航菜单】页面中的『对象』→『内容识别库』,右边进入【应用特征识别库】页面,先筛选出想要设置的规则(具体筛选方法见 3.4.5.1),比如需要对 QQ 的规则进行禁用,如图筛选出 QQ 相关的应用:
勾选具体应用“QQ”,点击启用或者禁用,即可对 QQ 登录的所有规则进行禁用或启用。
如果需要禁用或启用具体应用中的某条规则,比如禁用“QQ”应用识别中的某条规则,点击规则设置,会弹出一个【QQ 识别规则】的编辑框,列出所有“QQ”的相关规则,勾选规则,点击启用或者禁用,即可对规则进行禁用或启用。
注意:
1、某些基础协议的应用识别规则是不能被禁用的,比如:HTTP,这种基础协议如果禁用的话,会影响其他基于 HTTP 协议的数据识别。所以设备限制此类规则不能被禁用掉。
2、此处禁用规则并不是封堵相应的应用,封堵规则请查看内容安全章节部分的内容。此处如果禁用 QQ,就表明设备无法识别 QQ 这种应用。一般情况下不需要禁用这些规则,排查故障的情况下可能会使用。
3、应用特征识别库支持 IPv6,可以识别 IPv6 环境中的各类常见应用。
建议使用Chrome浏览器访问!
