完成hc应用行为控制技术

1、修订记录课程编码适用产品产品版本课程版本ISSUEHC13031107USG6000V1R1V1.0开发/优化者时间审核人开发类型（新开发/优化）王锐2014-08-15王锐开发丁祖贤2015-04-21优化本页不打印HC13031107 应用行为控制技术 目标学完本课程后，您将能够:了解应用行为控制技术的原理；掌握应用行为控制特性的配置；了解常见故障处理方法。 目录应用行为控制技术的原理应用行为控制特性配置常见故障处理应用行为控制技术应用行为控制是在传统的应用策略基础上进一步细分，通过分析具体流量内容，判断用户当前的行为操作（如浏览网页、下载文件、外发内容等），并对当前动作进行放行或阻断。应

2、用行为控制目的随着互联网应用的迅速发展，计算机网络在经济和生活的各个领域迅速普及，使得信息的获取、共享和传播更加方便，但同时也产生了如下问题：员工通过网页不受控地对外发布、传播违规信息，影响公司形象甚至带来法律风险。 员工上传或发布公司的机密文件到Internet，导致公司机密泄露。 应用行为控制的处理流程应用识别识别当前流量的应用类型协议解码器解析协议应用层的信息应用行为分析分析根据不同字段内容识别具体应用行为策略查找判断当前流量需要进行的处理动作响应动作放行或阻断应用行为控制的应用场景应用行为控制常用于企业内部对内网用户的上网（HTTP）行为和FTP行为进行管理。应用行为控制的应用场景（续

3、）HTTP应用行为控制：允许用户浏览网页，但不允许传输文件；允许用户浏览网页，但不允许外发内容；禁止用户使用HTTP代理。FTP应用行为控制：允许用户访问外部的FTP服务器，但只允许下载，不允许上传文件。应用行为控制特性功能HTTP浏览网页控制；POST外发内容控制（包括内容大小控制）；HTTP代理控制；上传、下载文件控制（包括文件大小控制）。FTP上传、下载文件控制（包括文件大小控制）；删除文件控制。 目录应用行为控制技术的原理应用行为控制特性配置常见故障处理组网需求设备一般部署在网关位置；如果网络中存在负载均衡设备，需要保证网络流量是以会话为单位进行负载分担；在同一会话的流量可以分发到同一

4、设备的情况下，支持双主的部署场景；支持主备的部署场景。配置关系安全策略配置规则应用行为控制配置文件HTTP行为控制选项FTP行为控制选项配置界面（配置文件）应用行为控制配置文件列表配置文件操作配置界面（配置文件）HTTP相关管控配置“允许”的情况下，才能配置告擎、阻断阈值配置界面（配置文件）FTP相关管控配置配置界面（安全策略）安全策略规则列表规则配置操作配置界面（安全策略）安全策略的基本信息。用于配置源、目的安全域，用户、应用、生效时间等信息。配置界面（安全策略）引用配置文件。选择需要在当前规则中生效的应用行为控制配置文件。配置实例接下来通过实例简单一下介绍应用行为管控的配置过程。组网环境如

5、下图，客户端流量通过防火墙访问服务器，防火墙、客户端、服务器接口IP配置如下图。配置实例（配置过程简述）创建应用行为控制的配置文件（Profile），并在其中设置需要控制的行为选项。在安全策略中创建规则（Rule），并在其中设置需要生效的域、用户、时间等信息。在规则（Rule）中引用应用行为控制配置文件（Profile）即可生效。配置实例（第一步：配置文件）新建应用行为控制的配置文件，并配置HTTP下载文件的阈值。配置实例（第二步：安全策略）应用行为控制配置文件引用后即时生效，无需配置提交。新建一条安全策略，并引用应用行为控制配置文件使其生效。配置实例（第三步：验证配置）设备配置完成后，在客户

6、端通过浏览器访问Web服务尝试下载文件，配置正确的情况下，可以看到文件被成功阻断。配置实例（第四步：查看日志）在监控日志中可以看到，生成了相应的管控日志（如下图）。 目录应用行为控制技术的原理应用行为控制特性配置常见故障处理故障处理思路检查组网环境检查License控制项检查配置信息流量分析(开发人员)故障处理案例一（License不生效）现象：各项配置均正确，通过检查引擎会话确定流量可以上传引擎，但是业务仍不能阻断。定位：检查设备License加载情况，发现“内容安全组合”状态为“未授权”。故障处理案例一（License不生效）问题解决：通过本地加载License的功能，将设备对应的Lice

7、nse文件加载，确保“内容安全组合”功能项状态为“已授权”后，业务功能运行正常。故障处理案例二（状态检测）现象：HTTP部分控制功能（上传文件控制）失效，检查配置、License、双向流量上送引擎均正常。定位：检查防火墙的状态检测选项，发现状态检测功能没有启用。故障处理案例二（状态检测）问题解决：应用行为控制功能不支持单边部署场景，在双向流量均可经过防火墙的情况下，如果未开启状态检测，会导致部分数据不上送行为控制模块，从而出现部分应用行为无法正确分析的情况。将设备TCP状态检测启用后，应用行为控制功能恢复正常。练习题判断题HTTP文件下载动作配置为禁止时，可以配置阻断阈值。应用行为控制不需要配置提交，引用后即时生效。多