AF_v8.0.35_应用控制策略.pptxVIP

应用控制策略适用于AF v8.0.35及以上版本版权所有? 2020深信服科技股份有限公司第页课程内容课程目标应用控制策略功能概述了解应用控制策略应用控制策略功能原理掌握应用控制策略功能原理应用控制策略案例及配置了解应用控制案例及配置长连接应用及配置掌握长连接应用及配置应用控制策略辅助功能掌握应用控制辅助功能的使用辅助功能使用场景了解辅助功能使用场景注意事项了解AF应用控制策略功能注意事项版权所有? 2020深信服科技股份有限公司第页应用控制策略功能版权所有? 2020深信服科技股份有限公司第页应用控制策略功能概述在客户网络环境中，如果没有对网络流量进行访问控制，容易造成非相关人员访问敏感数据或者登陆不相关的设备等。因此，需要防火墙来做逻辑上的隔离，允许其通过或丢弃数据包，过滤条件有源区域、目的区域、源地址、目的地址、目的服务和应用。从而减少内网外网环境带来的威胁，更高效的管控网络中的流量走向。DMZ财务服务器trustuntrustPCPC拒绝访问财务服务器和P2P应用版权所有? 2020 深信服科技股份有限公司第页应用控制策略工作过程根据自定义的应用控制策略，当数据包到达AF转发时，从上往下依次匹配自定义的应用控制策略，直到匹配上应用控制策略为止，并根据应用控制策略的动作对数据包进行允许或拒绝，同时创建一条会话。untrustDMZPC（10.1.1.1）Web站点（10.1.2.1:80）策略：源区域untrust目的区域DMZ源地址10.1.1.1目的地址10.1.2.1服务80应用any动作允许源地址10.1.1.1目的地址10.1.2.1目的端口80源地址10.1.1.1目的地址10.1.2.1目的端口80版权所有? 2020深信服科技股份有限公司第页应用控制策略分类基于服务的控制策略 通过匹配数据包的五元组（源地址、目的地址、协议号、源端口、目的端口）来进行过滤动作，对任何数据包都可以立即进行拦截动作判断。基于应用的控制策略 通过匹配数据包特征来进行过滤动作，需要一定数量的包通行后才能判断应用类型，然后进行拦截动作的判断。版权所有? 2020深信服科技股份有限公司第页应用场景客户一台内网PC机(172.16.10.10)允许访问公司财务服务器(172.16.20.20),该站点开放了80端口访问界面。同时，该PC允许访问互联网，但是禁止访问P2P相关应用，且只能8点至17点之间访问互联网。PC财务服务器版权所有? 2020深信服科技股份有限公司第页配置思路配置步骤：1、创建应用控制策略，允许PC访问公司财务服务器；2、创建应用控制策略，禁止PC访问P2P应用；3、创建应用策略，允许PC在特定时间内访问互联网；版权所有? 2020深信服科技股份有限公司第页配置详情1、允许PC访问公司财务服务器，在【策略】→【访问控制】→ 【应用控制策略】→ 【策略配置】，点击新增版权所有? 2020深信服科技股份有限公司第页配置详情2、禁止PC访问P2P应用，在【策略】→【访问控制】→ 【应用控制策略】→ 【策略配置】，点击新增版权所有? 2020深信服科技股份有限公司第页配置详情3、允许PC在特定时间内访问互联网，策略需要调整到禁止P2P之后，在【策略】→【访问控制】→ 【应用控制策略】→ 【策略配置】，点击新增版权所有? 2020深信服科技股份有限公司第页应用控制策略长连接版权所有? 2020深信服科技股份有限公司第页长连接在一些特殊的环境下，服务器在一段时间中没有收到客户端的数据（应用层数据），不会断开连接，此时就需要我们AF配置长连接，防止会话超时删除。untrustDMZ策略：SIPPCDIPserverSPORT23333DPORT80服务any应用any长连接3day会话超时时间13day版权所有? 2020深信服科技股份有限公司第页应用场景某银行数据库服务器，提供下属各个分支机构的服务器对接，由于该数据库服务器没有重连机制，需要重启等方式才能重新建立新连接。因此，为防止通信过程中AF会话超时，导致服务器重新连接造成会话异常，造成业务中断，则需要保持连接。版权所有? 2020深信服科技股份有限公司第页长连接配置操作界面为【策略】→【访问控制】→ 【应用控制策略】→ 【策略配置】 ，点击进入对应策略，选择高级选项设置。版权所有? 2020深信服科技股份有限公司第页应用控制策略辅助功能版权所有? 2020深信服科技股份有限公司第页辅助功能应用控制策略辅助功能主要用来协助我们分析、记录和管理现有的策略。常用的辅助功能主要有以下几个：标签管理：对同一类策略打上相同标签，可对标签进行新增、编辑、删除等操作策略变更原因记录：在新增或修改策略时显示变更原因输入框，方便记录变更原因模拟策略匹配：输入五元组等信息，模拟策略匹配方式，给