网康NI3000-30【应用控制】.ppt

实际动手一下！ 用户要求： 所有人 在9：00 -12：00，13：00- 18：00 时间内，最多只能玩20分钟QQ农场 术语解释 2 应用控制功能介绍 3 1 典型使用场景与配置 3 3 特殊例外的处理 3 4 问题排查 3 5 培训提纲 特殊情况的处理 管或不管，从不是问题 策略网段 免监控IP 屏蔽IP 网址黑白名单 Bypass域名 策略也要面向对象 时间对象 网站分类对象 网址匹配对象 文件类型对象 用户自定义协议 言之有理，封之有据 提示信息页面 某些网段不想被管理怎么办 “策略管理”→“策略网段” 不配置策略网段，ICG默认对所有网段均生效 如果配置了策略网段，ICG的所有策略只对策略网段内的IP生效；不在策略网段内的IP不进行任何策略的匹配 如果选择了“阻塞不在策略网段中的IP”，则不在策略网段内的IP都无法上网 用户场景：“只需要管学生网段，不需要管老师网段，当然前提是学生网段和老师网段是清晰区隔的。 特殊情况的处理 某些IP不想被管理怎么办 “策略管理”→“黑白名单” →“免监控IP” 前提是人员的IP是固定的，不能变，否则不能起到作用 对于免监控IP列表中的IP，ICG会视而不见（即既不执行策略，也不进行监控，直接放行） 可以设置单个IP，也可以设置网段 用户场景：“总经理上网的行为是不能管理的啊，毕竟是大领导” 特殊情况的处理 如果是动态IP，但是领导不想被管理怎办 “策略管理”→“黑白名单”→“免管控用户” 前提 在组织管理中有这些用户的用户名，并开启了用户认证或用户识别 免控制用户 列在这里的用户不受应用控制策略、时长限额策略、用户带宽上限策略、流量控制策略的影响 免审计用户 列在这里的用户不受所有审计策略的审计 特殊情况的处理 特殊情况的处理 时间对象 “策略管理”→“对象设置” →“时间对象” 定义好的一些时间段的组合，用于在策略中约定策略生效的时间范围 特殊情况的处理 用户自定义协议 “策略管理”→“对象设置” →“用户自定义协议” 对于用户一些特有的应用，可以通过设置源/目的IP、源/目的端口的方式来添加用户自定义协议 术语解释 2 应用控制功能介绍 3 1 典型使用场景与配置 3 3 特殊例外的处理 3 4 问题排查 3 5 培训提纲 问题排查 一. 如果出现应用控制无效 2-在策略网段内吗？你是不是免监控IP？策略的用户 包含你吗？ 5-检查应用流量日志，查看你的应用的类型是不是正确的 检查日志匹配的行为是否是禁止 1-设备的引擎是否开启了 思路 行动 1-检查引擎的开启状态（系统管理-系统状态-引擎状态） 2-检查你是否在控制范围内 4-检查是不是有高优先级策略放行了 4-查看访问日志，你的访问时允许状态吗？是哪个策略 放行的 5-检查应用识别与动作是否正确 如果都不是上述的问题，可能你自己就不能解决了。请联系厂商工程师远程帮你定位。 3-检查你的访问是否通过ICG 3-查看访问日志，是否有你的访问日志，没有可能就 没有通过 问题排查 二. 如果出现应用无法访问 2-是否在策略网段内，并且阻塞了策略网段外的访问。 是否在屏蔽IP内。 5-逐一关闭ICG的策略，看看关闭那个策略的时候恢复正常。如果定位，先不要开启那个策略 1-确认是不是ICG导致的 1-关闭引擎，看看是否还封堵，如果关闭引擎还是有问题，可能就不是ICG的问题了。不放心还可以按下bypass按钮，如果bypass按下还有问题，就肯定不是ICG的问题 2-检查是不是被特殊例外的处理阻断的 4-如果策配置正确，检查是否应用被误识别 4-检查应用流量日志，查看你的应用流量日志是不是正确的 不正确的识别可能导致不正确的阻断 5-检查是否被非应用策略阻断 如果都不是上述的问题，可能你自己就不能解决了。请联系厂商工程师远程帮你定位。 3-检查是那条策略阻断的 3-查看日志，看看你的应用访问是否被阻断了。如果是，请检查那条策略的配置是否正确 思路 行动 1.分组讨论：什么是应用控制？为什么需要对应用进行控制？对应用进行控制给客户能带来什么样的好处？ 2.分组讨论：应用协议列表是什么？有什么作用？ 3.分组讨论：作一个应用控制与时长限额控制策略时，我们的通用思路是什么？为什么？ 4.试验：禁止除总经理外的所有员工，工作时间内使用迅雷下载与在线看视频。 5.试验：所有员工，工作时间内每天只能上娱乐性网站30分钟。 6.试验：禁止员工在工作时间内使用从192.168.1.1/123456到202.102.1.23/1000的应用（123456与1000为端口号） 7.分组讨论：如果出现应用控制无效与应用无法访问时，我们的问题排查思路 8. ICG做了一条封堵“股票在线交易”的网页策略，但发现仍有员