- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
03-应用控制配置指导
本章节下载: 03-应用控制配置指导 (210.93 KB)
随着宽带网络的不断普及,IM(即时聊天软件,如MSN、QQ),P2P(点到点传输软件,如BitTorrent、eMule),流媒体(视频点播软件,如PPLive、QQLive),网络游戏(如搜狐游戏大厅、快乐西游)和股票软件(如大智慧、万点理财)在人们的工作、生活中也扮演了越来越重要的角色。
IM、P2P、流媒体、网络游戏和股票软件在给人们带来便利的同时,也给网络管理带来了新的挑战。一方面,这些软件随意滥用导致的网络拥堵、内部网络信息泄露、病毒传播等情况时有发生;另一方面,由于应用协议的复杂性,传统的防火墙对这些常用外联软件又无能为力,所以迫切需要针对外联软件进行有效管理的手段。
应用主要有以下类别:
· 即时通讯:MSN、QQ、雅虎通、Gtalk、Skype等。
· P2P软件:迅雷、QQ旋风、BitTorrent等。
· 流媒体:优酷、土豆、新浪视频等。
· 网络社区:新浪微博、腾讯微博、猫扑论坛、百度贴吧等。
· 网络游戏:魔兽世界、英雄联盟、刀塔等。
· 搜索引擎:百度、谷歌、雅虎、搜狗等。
· 电子商务:淘宝、京东、一号店、亚马逊等。
· 其它类别如股票软件、文件传输、电子邮件、远程控制、生活服务等。
应用只有在应用策略中引用,才能对相关的用户进行应用的控制和审计。应用对象随着应用特征库的更新而更新,用户不能手动创建新的应用对象,也不能删除已有的应用对象。
应用对象是由应用特征库预定义的,用户不能新建或删除应用对象,但可以对其优先级进行修改。用户可以根据自身需要,修改每个应用对象的优先级。应用的优先级将会在智能流控等功能中参与调度的计算。
应用对象组是根据特定的逻辑将一系列应用抽象为一个组对象,便于管理和配置。预定义的应用对象组用户不能对其进行修改和删除,用户也可自定义新的应用对象组。
按表1-1所示步骤配置应用对象组。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入应用对象组视图 |
application-group name |
必选 |
|
添加应用对象 |
member application name |
必选 |
|
配置应用对象组描述 |
description description |
可选 |
安全策略是应用控制策略的基础。配置应用控制策略,必须首先配置安全策略,并且安全策略的动作必须是审计,安全策略的配置过程,请参见“安全策略配置指导”。
按表1-2所示配置应用控制策略。
表1-2 配置应用控制策略
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
选择策略ID |
policyid |
必选 |
|
添加应用控制策略 |
app-policy id{ application | category }name { behavior | any } { bhcontent | any } { keyword | integer } { include | exclude | equal | unequal | greater | less } { content | any } { accept | deny } { emerg | alert | crit | err | notice | info | ignore } display[ description ] |
必选 |
|
启用应用控制策略 |
app-policy enable id |
可选 |
在完成上述配置后,在用户视图下执行display命令可以显示应用对象配置后的运行情况,通过查看显示信息验证配置的效果。
表1-3 应用对象显示与维护
|
操作 |
命令 |
|
显示应用对象信息 |
display application |
|
显示应用对象组信息 |
display application-group |
|
显示应用对象类信息 |
display application-category |
|
显示应用控制策略 |
display running-config policy |
设备作为网关,内网用户通过设备访问外网资源。
图1-1 配置应用控制组网图
· 内网PC通过ge1口进入设备,从ge0口接入外网。
· 在设备上配置对迅雷、FlashGet、魔兽世界的阻断。
· 其它流量均允许通过设备,但不允许在网络社区发帖。
(1) 配置应用对象组
host(config)# application-group test_app_group
host(config-application-group)# description this is a test group.
host(config-application-group)# member application Thunder
host(config-application-group)# member application Blizard_World_of_Warcraft
host(config-application-group)# member application FlashGet
host(config-application-group)# exit
(2) 配置安全策略,应用对象引用刚刚创建的应用对象组test
host(config)# policy ge1 ge0 any anyanyanytest_app_group always deny 1
host(config-policy)# enable
host(config-policy)# exit
host(config)# policy ge1 ge0 any anyanyanyany always audit 2
host(config-policy)# app-policy 1 category Network_CommunityCommunity_topic any keyword include any deny warning BlockPost
host(config-policy)# app-policy enable 1
host(config-policy)# enable
host(config-policy)# exit
通过执行display running-config policy命令来验证配置
host# display running-config policy
policy ge1 ge0 any anyanyanytest_app_group always deny 1
policy ge1 ge0 any anyanyanyany always audit 2
app-policy 1 category Network_CommunityCommunity_topic any keyword include any deny warning BlockPost
app-policy enable 1
website-policy malware disable
policy default-action deny
!
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
