您可以将“全局”Application Control 操作同其他 Application Control 操作相结合,根据一天中的时间段、用户名或用户组来允许或阻止各种应用程序的运行。 要进行此配置,请创建用于阻止或允许各种应用程序集的 Application Control 操作。 然后将各 Application Control 操作应用到不同的策略中,如以下示例所示。
在下面各例中,分别为一种策略启用了 Application Control 操作。 如果配置中包含了其他策略类型(如 TCP-UDP 或 Outgoing),您可以通过同样的步骤来为这些策略创建一套双层的 Application Control 配置。 哪些策略需要启用 Application Control 操作取决于您的配置中存在何种策略,以及希望阻止哪些应用程序。 例如,如果已知欲阻止的应用程序使用 FTP,则必须对 FTP 策略启用 Application Control 操作。
有关针对 Application Control 选择何种策略进行配置的建议,请参阅“Application Control 策略指南”。
如果“全局”Application Control 操作阻止了某个应用程序运行,您可以另行创建一个 Application Control 操作,以针对某个部门或其他用户组允许该应用程序运行。 例如,如果打算禁止大多数用户使用 MSN 即时通讯,但希望销售部的人员能够使用它,您可以通过分别创建 Application Control 操作和策略来实现此目的。
如果已经对所有用户应用了一条“HTTP”数据包筛选器策略,您可通过下列步骤针对销售部允许各种应用程序的运行。
在本例中得到的两条 HTTP 策略应类似于如下所示:
策略:HTTP-Sales
HTTP 连接为: 允许
自: Sales 至: 任意外部
Application Control: AllowIM
策略: HTTP
HTTP 连接为: 允许
自: 任意可信任至: 任意外部
Application Control: 全局
应用到“HTTP-Sales”策略中的“AllowIM”Application Control 操作被用作“全局”Application Control 操作的例外操作。 “Sales”组中的用户可以使用 MSN 即时通讯,但无法使用其他被“全局”Application Control 操作阻止的任何程序。
如果该设备的配置中包含了其他策略,例如 HTTP-Proxy、TCP-UDP 或 Outgoing 等可用于 IM 流量的策略,您还可以重复上述步骤为其他策略建立一套双层的 Application Control 配置。
您可以通过将 Application Control 应用到各种策略中在一天中的各个时段分别阻止不同的应用程序。 例如,您可能要在工作时间禁止玩游戏。 如需在某些时间段内阻止应用程序的运行,可以将 Application Control 用于带运行计划的策略中。
如果已有一条“HTTP-Proxy”策略,但未对其设置运行计划,可通过下列步骤添加一条新策略和 Application Control 操作以在工作时间禁止某些程序。
在本例中得到的两条策略应类似于如下所示:
策略:HTTP-Proxy-Business
HTTP 连接为: 允许
自: Sales 至: 任意外部
Application Control: Business
策略 HTTP-Proxy
HTTP 连接为: 允许
自: 任意可信任至: 任意外部
Application Control: 全局
“HTTP-Proxy-Business”策略中的“Business”Application Control 操作只在工作时间中禁止游戏运行。 其他被“全局”Application Control 操作禁止的程序在任何时候都无法运行。
如果该设备的配置中包含了其他策略,例如 HTTP、TCP-UDP 或 Outgoing 等可用于游戏流量的策略,您还可以重复上述步骤为其他策略建立一套双层的 Application Control 配置。
在将不同的 Application Control 操作应用到多个同类策略中时,了解策略的优先级可帮助您明确各策略所作用的流量类型。 XTM 设备会自动以从最详细到最笼统的顺序排列策略。 然后将列表中与数据包情况相符的第一个规则应用于该数据包。
有关策略优先级的详细信息,请参阅“关于策略优先级”。