应用行为控制配置

本节介绍应用行为控制功能配置。网络管理员可以针对不同用户、不同时间、不同应用程序行为制定适合的应用行为控制规则,系统将会对与规则相匹配的网络流量根据配置进行处理。

新建应用行为控制规则

新建应用行为控制规则,请按照以下步骤进行操作:

  1. 从页面左侧导航树选择并点击“配置控制应用行为控制”,进入应用行为控制页面。
  2. 点击『新建』按钮,弹出<应用行为控制配置>对话框。
  3. 在<名称>文本框输入规则名称。
  4. 在<当满足以下条件时>部分配置规则名称以及控制条件。控制条件包括规则的<目的安全域>、<用户>以及<时间表>,系统会在时间表指定的时间范围内,对特定用户以及目的安全域的网络流量根据配置进行处理。
    选项 说明
    名称

    指定规则名称。
    目的安全域 指定规则的目的安全域。
    用户

    指定规则的用户,该用户可以为地址簿地址条目、IP地址、IP地址范围、角色、用户或用户组。系统默认用户为Any,即对任意用户都有效。点击后面的『配置』按钮,在弹出的<用户配置>对话框中对用户进行修改,配置方法如下:

    1. 在<配置类型>部分指定用户的配置类型,包括“源地址”和“用户”。选中所需类型的单选按钮并完成相关参数配置。
      • 源地址:指定“源地址”配置类型,可以为地址簿条目、IP和IP范围之间的任意组合。在<用户类型>下拉菜单选中需要的用户类型,如果选中“地址簿”,需要在<地址簿>下拉菜单选中需要的地址条目,或者选中“新建地址簿”,然后在弹出的<配置地址簿>对话框配置需要的地址条目;如果选中“IP”,需要在<IP地址>文本框输入IP地址和网络掩码;如果选中“IP范围”,需要在<IP范围>文本框输入范围的起始IP。
      • 用户:指定“用户”配置类型,可以为角色、用户和用户组之间的任意组合。在<用户类型>下拉菜单选中需要的用户类型,如果选中“角色”,需要在<角色>下拉菜单选中需要的角色;如果选中“用户”,需要在<AAA服务器>下拉菜单选中服务器并在<用户名>下拉菜单选中用户名;如果选中“用户组”,需要在<AAA服务器>下拉菜单选中服务器并在<用户组名>下拉菜单选中用户组名。
    2. 点击『添加』按钮,将“源地址”或者“用户”配置类型添加进下方的用户列表中。如需要删除用户,单击选中用户列表中的用户条目,点击『删除』按钮。
    3. 点击『确定』按钮,保存所做配置并返回上一级对话框/页面。
    时间表

    指定规则的时间表,控制规则在指定时间内生效。系统默认无时间表配置,即任意时间都有效。点击后面的『配置』按钮,在弹出的<时间表选择>对话框选中需要的时间表条目对应的复选框,点击『确定』按钮;或者点击『新建』按钮,新建时间表,关于新建时间表的详细信息,请参阅时间表配置
  5. 在<做如下控制>部分配置规则的控制内容(FTP控制、HTTP控制和HTTP阻止下载)和控制动作(阻止、允许和记录日志)。
    控制内容 说明
    FTP控制

    对FTP的Login、Get、Put行为进行控制。点击<FTP控制>对应的展开按钮(“+”号),在滑出区域进行如下配置:

    1. 在第一个下拉菜单中指定需要控制的FTP应用程序行为,包括GET、PUT和Login。
    2. 在文本框中输入相应的文件名(应用程序行为为GET或者PUT时)或者用户名(应用程序行为为Login时)。
    3. 在第二个下拉菜单中指定控制动作,包括阻止和允许。
    4. 在第三个下拉菜单中指定日志记录类型,包括不记录和记录日志。
    5. 点击『添加』按钮,将控制配置条目添加进下方的列表。
    6. 如需要,按照步骤1和5添加其它控制配置条目。如需要编辑/删除控制配置,单击选中列表中的控制配置条目,点击列表右侧的『编辑』/『删除』按钮,编辑/删除相应的控制配置条目。
    HTTP控制

    对HTTP的Connect、Get、Put、Head、Options、Post、Trace行为进行控制。点击<HTTP控制>对应的展开按钮(“+”号),在滑出区域进行如下配置:

    1. 在第一个下拉菜单中指定需要控制的HTTP应用程序行为,包括Connect、GET、PUT、Head、Options、Post和Trace。
    2. 在文本框中输入相应的域名。
    3. 在第二个下拉菜单中指定控制动作,包括阻止和允许。
    4. 在第三个下拉菜单中指定日志记录类型,包括不记录和记录日志。
    5. 点击『添加』按钮,将控制配置条目添加进下方的列表。
    6. 如需要,按照步骤1和5添加其它控制配置条目。如需要编辑/删除控制配置,单击选中列表中的控制配置条目,点击列表右侧的『编辑』/『删除』按钮,编辑/删除相应的控制配置条目。
    HTTP阻止下载

    阻止下载HTTP二进制文件(如.bat、.com等)以及ActiveX和Java Applet对象。点击<HTTP阻止下载>对应的展开按钮(“+”号),在滑出区域选中阻止下载对象所对应的复选框。
  6. 点击『确定』按钮,保存所做配置并返回上一级对话框/页面。

如果需要,用户还可以配置页面提示Bypass域名免监控用户功能。

注意

编辑/删除应用行为控制规则

编辑/删除应用行为控制规则,请按照以下步骤进行操作:

  1. 从页面左侧导航树选择并点击“配置控制应用行为控制”,进入应用行为控制页面。
  2. 选中规则列表中应用行为控制规则所对应的复选框,点击列表上方的『编辑』/『删除』按钮,编辑/删除相应的应用行为控制规则。

启用/禁用应用行为控制规则

默认情况下,配置好的应用行为控制规则会立即生效。用户可以通过配置禁用某条规则,使其不对流量进行控制。

启用/禁用应用行为控制规则,请按照以下步骤进行操作:

  1. 从页面左侧导航树选择并点击“配置控制应用行为控制”,进入应用行为控制页面。
  2. 选中规则列表中应用行为控制规则所对应的复选框,点击列表上方的『启用』/『禁用』按钮,启用/禁用相应的应用行为控制规则。

修改应用行为控制规则优先级

流量进入安全网关时,安全网关对规则进行顺序查找,然后按照查找到的相匹配的第一条规则对流量进行处理。用户可根据需要,移动规则的位置进而调整规则的优先级,使其处在首位或者处在末位,也可以位于某个规则之前或之后。

修改应用行为控制规则的优先级,请按照以下步骤进行操作:

  1. 从页面左侧导航树选择并点击“配置控制应用行为控制”,进入应用行为控制页面。
  2. 点击规则列表上方的『优先级』按钮,弹出<优先级>对话框。
  3. 单击选中需要移动的规则名称,点击右侧的按钮移动相应的规则。
    选项 说明
    上移 点击该按钮,将选中规则向上移动一位。
    下移 点击该按钮,将选中规则向下移动一位。
    移到最前 点击该按钮,将选中规则移动到所有规则的顶部。
    移到最后 点击该按钮,将选中规则移动到所有规则的底部。
  4. 点击『确定』按钮,保存所做配置并返回上一级对话框/页面。

查看应用行为控制规则详情

查看应用行为控制规则的详细信息,请按照以下步骤进行操作:

  1. 从页面左侧导航树选择并点击“配置控制应用行为控制”,进入应用行为控制页面。
  2. 在规则列表中点击需要查看的应用行为控制规则的规则名称,弹出<XX详情>对话框。通过该对话框,用户可以查看规则详情。