应用行为控制简介
定义:
FW的应用行为控制功能用来对用户的HTTP行为、FTP行为和IM行为进行精确的控制。
与传统设备使用协议或端口号来控制HTTP和FTP协议不同,FW的应用行为控制功能可以对HTTP和FTP进行更精细的控制。例如,可以通过应用行为控制功能禁止FTP的文件上传和文件删除操作,但允许FTP文件下载操作。FW还支持对QQ登录行为进行控制。
应用场景:
应用行为控制常用于企业内部对内网用户的上网(http)行为和文件上传下载(FTP)行为进行管理。
HTTP应用行为控制:
- 允许用户浏览网页,但不允许传输文件
- 允许用户浏览网页,但不允许发布内容
- 禁止用户使用HTTP代理
FTP应用行为控制:
- 允许用户访问外部的FTP服务器,但只允许下载,不允许上传文件。
应用行为控制原理
应用行为控制特性功能:
HTTP:
- 浏览网页控制
- POST外发内容控制(包括内容大小限制)
- HTTP代理控制
- 上传、下载文件控制(包括文件大小控制)
FTP:
- 上传、下载文件控制(包括文件大小控制)
- 删除文件控制
应用行为控制处理流程:
- 应用识别:识别当前流量的应用类型
- 协议解码器:解析协议应用层的信息
- 应用行为分析:分析根据不同字段内容识别具体应用行为
- 策略查找:判断当前流量需要进行的处理动作
- 响应动作:放行或阻断
应用行为控制配置思路
配置思路:
创建应用行为控制的配置文件(Profile),并在其中设置需要控制的行为选项。
在安全策略中创建规则(Rule),并在其中设置需要生效的域、用户、时间等信息。
在规则(Rule)中引用应用行为控制配置文件(Profile)即可生效。
应用行为配置文件无需提交配置重新编译。
应用行为控制排错思路:
- 检查组网环境
- 检查License控制项
- 检查配置信息
- 查看是否命中流量
- 安全策略是否配置正确
参考文档:华为HedEx文档
