Application Control > Application Control 策略示例

Application Control 策略示例

您可以将“全局”Application Control 操作同其他 Application Control 操作相结合,根据一天中的时间段、用户名或用户组来允许或阻止各种应用程序的运行。 要进行此配置,请创建用于阻止或允许各种应用程序集的 Application Control 操作。 然后将各 Application Control 操作应用到不同的策略中,如以下示例所示。

在下面各例中,分别为一种策略启用了 Application Control 操作。 如果配置中包含了其他策略类型(如 TCP-UDP 或 Outgoing),您可以通过同样的步骤来为这些策略创建一套双层的 Application Control 配置。 哪些策略需要启用 Application Control 操作取决于您的配置中存在何种策略,以及希望阻止哪些应用程序。 例如,如果已知欲阻止的应用程序使用 FTP,则必须对 FTP 策略启用 Application Control 操作。

有关针对 Application Control 选择何种策略进行配置的建议,请参阅“Application Control 策略指南”。

向一组用户开放某个应用程序

如果“全局”Application Control 操作阻止了某个应用程序运行,您可以另行创建一个 Application Control 操作,以针对某个部门或其他用户组允许该应用程序运行。 例如,如果打算禁止大多数用户使用 MSN 即时通讯,但希望销售部的人员能够使用它,您可以通过分别创建 Application Control 操作和策略来实现此目的。

如果已经对所有用户应用了一条“HTTP”数据包筛选器策略,您可通过下列步骤针对销售部允许各种应用程序的运行。

  1. 配置“全局”Application Control 操作禁止 MSN 即时通讯,以及其他任何打算禁止的应用程序。
  2. 将“全局”Application Control 操作应用到现有的“HTTP”数据包筛选器策略中。
  3. 创建一个允许 MSN 即时通讯运行的新 Application Control 操作。 例如,可以将此操作命名为“AllowIM”。 配置该操作,使其在应用程序不匹配的情况下使用“全局”操作。
  4. 为销售部的用户创建一条 HTTP 策略。 例如,可以将此策略命名为“HTTP-Sales”。 有关如何针对一组用户创建策略的信息,请参阅“使用策略中的授权用户和组”。
  5. 将“AllowIM”Application Control 操作应用到“HTTP-Sales”策略中。
  6. 为“HTTP”和“HTTP-Sales”策略启用日志记录。
    您必须启用日志记录才能在日志文件和报告中看到有关 Application Control 的信息。

在本例中得到的两条 HTTP 策略应类似于如下所示:

策略:HTTP-Sales

HTTP 连接为: 允许
自: Sales 至: 任意外部
Application Control: AllowIM

策略: HTTP

HTTP 连接为: 允许
自: 任意可信任至: 任意外部
Application Control: 全局

应用到“HTTP-Sales”策略中的“AllowIM”Application Control 操作被用作“全局”Application Control 操作的例外操作。 “Sales”组中的用户可以使用 MSN 即时通讯,但无法使用其他被“全局”Application Control 操作阻止的任何程序。

如果该设备的配置中包含了其他策略,例如 HTTP-Proxy、TCP-UDP 或 Outgoing 等可用于 IM 流量的策略,您还可以重复上述步骤为其他策略建立一套双层的 Application Control 配置。

在工作时间阻止应用程序运行

您可以通过将 Application Control 应用到各种策略中在一天中的各个时段分别阻止不同的应用程序。 例如,您可能要在工作时间禁止玩游戏。 如需在某些时间段内阻止应用程序的运行,可以将 Application Control 用于带运行计划的策略中。

如果已有一条“HTTP-Proxy”策略,但未对其设置运行计划,可通过下列步骤添加一条新策略和 Application Control 操作以在工作时间禁止某些程序。

  1. 配置“全局”Application Control 操作,令其阻止打算一直禁止的程序。
  2. 将“全局”Application Control 操作应用于现有的“HTTP-Proxy”策略中。
  3. 创建一份定义工作时间的计划,命名为“Business-Hours”。 有关设置计划的详细信息,请参阅“为 XTM 设备操作创建计划”。
  4. 创建一条新的 HTTP-Proxy 策略,在其中使用刚才设置的“Business-Hours”计划。 例如,可以将新策略命名为“HTTP-Proxy-Business”。 有关如何为策略设置计划的详细信息,请参阅“设置运行 计划”。
  5. 创建一项 Application Control 操作,令其阻止希望在工作时间禁止运行的应用程序。 例如,可以将此操作命名为“Business”。
  6. 将“Business”Application Control 操作应用于“HTTP-Proxy-Business”策略中。
  7. 为“HTTP-Proxy”和“HTTP-Proxy-Business”策略启用日志记录。
    您必须启用日志记录才能在日志文件和报告中看到有关 Application Control 的信息。

在本例中得到的两条策略应类似于如下所示:

策略:HTTP-Proxy-Business

HTTP 连接为: 允许
自: Sales 至: 任意外部
Application Control: Business

策略 HTTP-Proxy

HTTP 连接为: 允许
自: 任意可信任至: 任意外部
Application Control: 全局

HTTP-Proxy-Business”策略中的“Business”Application Control 操作只在工作时间中禁止游戏运行。 其他被“全局”Application Control 操作禁止的程序在任何时候都无法运行。

如果该设备的配置中包含了其他策略,例如 HTTP、TCP-UDP 或 Outgoing 等可用于游戏流量的策略,您还可以重复上述步骤为其他策略建立一套双层的 Application Control 配置。

Application Control 与策略优先级

在将不同的 Application Control 操作应用到多个同类策略中时,了解策略的优先级可帮助您明确各策略所作用的流量类型。 XTM 设备会自动以从最详细到最笼统的顺序排列策略。 然后将列表中与数据包情况相符的第一个规则应用于该数据包。

有关策略优先级的详细信息,请参阅“关于策略优先级”。

另请参阅

配置 Application Control 操作

提供反馈  •   获得支持  •   全部产品文件  •   知识库