H3C SecPath ACG1000系列应用控制网关 Web配置指导(R6612 E6453)-6W106

27-应用对象

1 应用对象

1.1 应用对象简介

为了方便用户配置和管理，设备中引入了应用对象的概念。应用对象分为应用对象和应用标签对象两大类，在其它功能模块（如控制策略、IPv6策略、流量控制策略模块）可以引用应用对象来配置匹配条件以及子策略等。

应用对象基于特征进行分析并通过应用组、应用、应用行为三级目录树结构展示，应用对象和应用标签对象在控制策略、IPv6控制策略、流量控制等模块都是以树形结构展示，可以方便的进行查询及引用。

控制策略的配置过程，请参见“控制策略”、“IPv6控制策略”及“流控策略”模块资料。

1.2 应用对象

在导航栏中选择“策略配置 > 对象管理 > 应用对象”，进入应用对象显示页面，可以查看设备上支持的所有应用对象，如图1-1所示。

图1-1 应用对象显示页面

应用对象页面各项参数含义如表1-1所示。

表1-1 应用对象页面各项参数含义表

配置项	说明
标签	应用及应用行为对应的标签类，系统内置9个预定义标签。
应用列表	展示详细的应用及应用行为列表，显示该应用或应用行为所属标签以及对应的系统平台，还有应用的流行度展示。
查询	根据应用名称进行查询。

1.3 应用标签对象

在导航栏中选择“策略配置 > 对象管理 > 应用对象”，点击“应用标签对象”标签页，如图1-2所示。

图1-2 应用标签对象显示界面

应用标签对象页面详细参数如表1-2所示。

表1-2 应用标签对象页面详细参数表

配置项	说明
名称	应用标签对象的名称。
描述	新建应用标签对象添加的描述信息。
内容（应用对象）	选择的应用对象。
操作	操作包括编辑和删除两项：编辑：可对描述和内容进行修改编辑操作；删除：对选中对象进行删除操作。

点击<新建>按钮，可以新建一条应用标签对象，如图1-3所示。

图1-3 新建应用标签对象

点击<提交>按钮，完成自定义应用标签对象的配置，如图1-4所示。

图1-4 应用标签对象自定义配置完成

自定义配置好的应用标签对象可以在应用对象页面上展示，如图1-5所示。

图1-5 应用对象组展示自定义应用标签对象

1.4 自定义应用

1.4.1 自定义应用简介

通用的应用无法满足客户的需求，客户需要根据自己定义的规则，标识为自定义的应用。从而方便管理和监控整个网络。

1.4.2 自定义应用页面

在导航栏中选择“策略配置 > 对象管理 > 应用对象”，点击“自定义应用”标签页，进入自定义应用页面，如图1-6所示。

图1-6 自定义应用设置页面

表1-3 自定义应用页面详细说明

项目	说明
新建	新建一个自定义应用
删除	删除一个自定义应用
全部删除	全部删除自定义应用
导入	导入自定义应用
导出	导出自定义应用
启用	启用自定义应用
禁用	禁用自定义应用

1.4.3 自定义应用设置规则

在导航栏中选择“策略配置 > 对象管理 > 应用对象 > 自定义应用>”点击<新建>，进入自定义应用配置规则页面，如图1-7所示。

图1-7 自定义应用设置规则页面

页面的详细说明如表1-4所示。

表1-4 自定义应用配置详细说明

项目	说明
启用	该自定义应用是否开启匹配。
名称	应用名称
描述	自定义应用的描述信息。
风险级别	应用的风险级别，分为低、中、高三个级别。
应用类	选择应用的应用类别，比如QQ就是即时通讯。
数据包方向	数据包方向，包含任意、请求数据和响应数据。 · 任意：包含请求数据和响应数据。 · 请求数据：只匹配请求的数据。 · 响应数据：只匹配响应的数据。
协议	自定义应用的协议类型：any、TCP、UDP、OTHER，默认值any，表示匹配系统支持的所有应用协议类型。
端口	自定义应用规则要匹配的端口，多个配置以回车分割，最多支持5个端口配置。
IP地址	输入自定义应用规则要匹配的IP地址。
目标域名	输入自定义应用规则要匹配的域名，支持模糊匹配。
匹配模式	应用匹配模式，包含文本和正则表达式。 · 文本：应用以文本的方式匹配。 · 正则表达式：应用以正则表达式方式匹配。
DNS域名学习模式	DNS域名的学习模式，包含引用数据包特征中的目标域名和指定域名。 · 引用数据包特征中的目标域名：引用的是上述目标域名。 · 目标域名：自定义域名，支持模糊匹配，多个匹配以回车分割，最多支持64个域名配置。

输入完毕后，点击<提交>按钮，应用配置，点击<取消>按钮，取消配置修改。

1.5 应用智能识别

1.5.1 应用智能识别简介

当前迅雷可通过多种方式（如：FTP、HTTP、P2P下载等）下载资源，单独限制迅雷下载，效果不佳，应用智能识别功能可有效的提高迅雷下载流量识别率。

当前部分P2P软件无法通过应用特征识别，应用智能识别功能可通过P2P行为来智能识别P2P流量。

1.5.2 应用智能识别页面

在导航栏中选择“策略配置>对象管理>应用对象>应用智能识别”，进入应用智能识别页面，如图1-8所示。

图1-8 应用智能识别页面

页面的详细说明如表1-5所示

表1-5 应用智能识别页面详细说明

项目	说明
状态	启用/禁用功能状态展示，默认功能开启。
应用名称	应用智能识别名称。
应用类型	应用智能识别归属应用分类。
应用描述	应用智能识别描述。
检测宽松度	应用智能识别的宽松度级别展示。

1.5.3 应用智能识别-P2P行为

在导航栏中选择“策略配置>对象管理>应用对象>应用智能识别”，点击“P2P行为”右边的<编辑>按钮，进入P2P行为配置页面，如图1-7所示。

图1-9 P2P行为配置页面

页面的详细说明如表1-4所示。

表1-6 P2P行为详细说明

项目	说明
启用	启用/禁用P2P行为识别功能。
应用名称	应用智能识别名称。
应用类型	应用智能识别归属应用分类。
应用描述	应用智能识别描述。
检测宽松度	单选框，有3个级别：严格、适中、宽松。 · 严格：识别要求严格，可能存在漏报； · 适中：识别要求适中，默认配置； · 宽松：识别要求宽松，可能存在误报。
排除扫描端口	排除P2P智能识别端口。

输入完毕后，点击<提交>按钮，应用配置，点击<取消>按钮，取消配置修改。

1.5.4 应用智能识别-迅雷

在导航栏中选择“策略配置>对象管理>应用对象>应用智能识别”，点击“迅雷”右边的<编辑>按钮，进入迅雷配置页面，如图1-10所示。

图1-10 迅雷配置页面

页面的详细说明如表1-7所示。

表1-7 迅雷配置详细说明

项目	说明
应用名称	应用智能识别名称。
应用类型	应用智能识别归属应用分类。
应用描述	应用智能识别描述。
检测宽松度	单选框，有2个级别：严格、宽松。 · 严格：识别要求严格，默认配置； · 宽松：识别要求宽松，可能存在误报。

输入完毕后，点击<提交>按钮，应用配置，点击<取消>按钮，取消配置修改。

1.6 应用识别模式配置

通过菜单“策略配置 > 对象管理 > 应用识别模式”，进入应用识别模式配置显示页面，如图1-11所示。

图1-11 应用识别模式配置页面

页面的详细说明如表1-8所示。

表1-8 应用识别模式配置描述表

项目	说明
智能模式	应用引擎模式将尽可能的尝试用各种方式识别网络流量
快速模式	应用引擎模式将关闭部分智能分析功能以提高性能
关闭模式	应用引擎模式将不进行应用识别

选择完毕后，点击<提交>按钮，应用配置。

1.7 配置应用识别高级配置

通过菜单“策略配置 > 对象管理 > 应用识别模式>应用识别高级配置”，进入应用识别高级配置显示页面，如图1-12所示。

图1-12 应用识别模式配置页面

页面的详细说明如表1-9所示。

表1-9 应用识别高级配置描述表

项目	说明
开启智能识别应用学习	智能识别学习应用结果。
覆盖智能识别应用学习结果	用户访问不同网站，智能识别应用学习结果可能相同。启用此选项学习结果覆盖，智能识别应用为最新学习结果。
开启真实文件类型识别	通过特征识别文件，配置文件类型过滤功能使用。

选择完毕后，点击<提交>按钮，应用配置。

1.8 配置举例

1.8.1 应用对象配置举例

1. 组网需求

某企业内网用户访问外网时，工作时间禁止登录即时通讯软件。

2. 配置步骤

进入“策略配置 > 控制策略”，新建一条控制策略，行为选择允许，基础条件使用默认配置，在应用过滤中新建一条应用控制策略，配置应用对象选择“即时通讯”类的应用组如图1-13所示，动作配置拒绝，日志级别选择通知级别，如图1-14所示；高级配置中时间选择工作时间，点击策略下的<提交>按钮，控制策略配置完成，如图1-15所示。

图1-13 应用控制策略应用对象选择即时通讯类配置