下一代防火墙AF

深信服下一代防火墙AF融合边界对抗威胁所需的专业安全能力,通过简单易用的方式交付,全面防护各类威胁,并具备多重智能模型和智能联动手段,可持续对抗不断出现的各类新风险。
点击可切换产品版本
知道了
不再提醒
AF8.0.32
{{sendMatomoQuery("下一代防火墙AF","自定义应用")}}

自定义应用

更新时间:2022-01-06

『自定义应用』用于自定义应用识别特征规则,用户可以定义一些内置的『应用特征识别库』中没有的应用,自定义应用可以通过数据方向、IP、协议、端口等进行定义。

在【导航菜单】页面中的『对象』→『内容识别库』→『应用识别库』,右边进入【自定义应用识别规则】编辑页面:

新增自定义应用规则

在【自定义应用识别规则】编辑页面点新增,弹出【新增自定义规则】窗口,具体设置方法如下:

配置举例:需要对公司的邮件做流量保证,但是选择应用类型的时候无法单独选择公司邮件,这时候可以自定义一个公司邮件的应用。

第一步:启用规则,并设置应用基本信息,设置规则名称,描述信息,以及应用类型和应用名称(可以选择已有的类别,也可以自定义类别):

第二步:设置匹配数据包的类型

[方向]:设置数据通过设备的方向,匹配到此方向的才会继续往下识别; [协议]:设置数据所采用的协议类型,此例中邮件发送是 TCP 协议;

[目标端口]:设置数据所访问的目标端口,此例中邮件发送是 TCP25 端口;

[IP 地址]:设置源 IP、目标 IP 或者是代理识别后的目标 IP。

[匹配目标域名]:设置数据包访问的目标域名地址,此例中设置公司的域名邮箱地址,比如“mail.sangfor.com.cn”

第三步:设置完成后点击提交,完成此条规则的设置。

第四步:设置用户自定义的规则优先级:因为内置应用特征识别库中也有邮件的识别规则,如果内置的规则优先的话,数据可能会优先匹配到内置的邮件规则,而不会匹配到“公司邮件”这条自定义的规则了,所以此处要设置自定义的规则优先匹配。在【自定义应用】页面勾选[用户自定义规则优先]即可。

第五步:在『流量管理』→『通道配置』中设置此应用的保证通道,保证使用公司邮箱发送邮件的带宽。(参见章节 3.5.4.1)

注意:建议设置自定义规则时要加上目标端口、IP 和域名等识别信息,如果识别的条件过于宽泛,可能会和内置的应用识别规则有冲突导致应用识别混乱, 从而导致部分控制和审计失效。

启用/禁用/删除自定义应用规则

在【自定义应用】页面中,勾选自定义的规则,点击启用、禁用或者删除对自定义规则做相应的操作。

导入/导出自定义应用规则

点击导入,用于导入自定义的应用规则。

点击导出,用于导出自定义的应用规则。