网康NI3000-30【应用控制】

网康ICG的【应用控制】术语解释2应用控制功能介绍31典型使用场景与配置33例外34问题排查35培训提纲应用控制功能介绍本节要点为什么客户需要应用控制？ICG给客户带来了什么价值？ICG能够做哪些策略？网页过滤功能介绍应用控制什么是应用控制ICG对用户使用的各种互联网应用进行识别，如果某种应用出于管理需要不允许某些用户使用，则对其进行阻断为什么要对应用进行控制？减轻网络出口压力：限制、禁用各种P2P应用，减少其对网络出口的占用，释放宝贵带宽提高学习/工作效率：禁止在学习/工作时间使用网游、在线视频、在线炒股等无关应用，提高学生/员工的学习/工作效率基本概念介绍ICG能做什么策略应用控制策略针对用户使用的各种互联网应用进行管控的策略用户场景禁止普通员工在工作时间看在线视频Who：普通员工；When：工作时间；What：看在线视频；Action：禁止禁止学生在上课时间玩网络游戏Who：学生；When：上课时间；What：玩网络游戏；Action：禁止基本概念介绍ICG能做什么策略应用限额策略（*独有功能，可进行应用时常限制，应用流量限制）针对用户使用的各种互联网应用进行限制时长（或流量）使用的策略可以干什么限制普通员工在每天工作时间内在线炒股不超过半小时Who：普通员工；When：工作时间；What：在线炒股；Action：每天累计时间半小时以内允许，超过半小时禁止基本概念介绍ICG能做什么策略流量控制策略对用户使用的各种互联网应用进行流量带宽的控制可以干什么限制所有学生在每天上网高峰期（20:00-24:00）内限制P2P总带宽为10MbpsWho：学生用户；When：上网高峰期（20:00-24:00）；What：P2P下载；Action：限制总带宽为10Mbps术语解释2应用控制功能介绍31典型使用场景与配置33例外34问题排查35培训提纲Tips：进入“系统管理”→“系统配置”→“支持协议列表”，可以查看应用协议库的详细说明实战策略配置－应用控制策略术语解释应用协议列表指ICG内置的应用协议特征数据库类似杀毒软件的病毒库，协议特征库是精确识别各种网络应用的基础网康的应用协议数据库是目前业界最全面的中国互联网应用协议数据库，针对中国地区网络应用的流行程度以及技术实现方式的专项分析，全面涵盖IM即时通讯、P2P共享下载、流媒体以及在线游戏等所有互联应用。术语解释用户对象用户：在用户管理章节已经讲过的用户建立部分，这些用户是需要在今后的策略中引用的。例如：一个策略仅对特定的部分人员生效，当然如果希望对所有人生效就选择所有用户术语解释时间对象设备默认提供两个时间对象：

全部时间工作时间：周一至周五早9:00-12:0013:00-17:30时间对象：在网康的设备中可以分时段进行策略的生效，因此需要自行设定一些用户期望的时间段，时间段是按照星期和每天的时段来组成的，每个时间对象可在今后被策略引用且一个策略仅能引用一个时间对象例如：一个用户希望在每周2，5的早8：00-12:00下午2：00-6：00生效一个策略。术语解释2网页过滤功能介绍31典型使用场景与配置33特殊例外的处理34问题排查35培训提纲配置应用控制策略时的思路设置应用控制策略时通用思路如下：1.做一个策略，四要素：人、时间、应用、动作人，确定策略对谁生效时间，确定策略什么时候生效应用，确定策略对那些应用协议生效动作：确定对相关应用是阻断还是放行实战策略配置－应用控制策略策略配置实战以“禁止普通员工在工作时间看在线视频”为例，实际操作配置策略明确四要素“禁止普通员工在工作时间看在线视频”Who：普通员工When：工作时间(9:00-18:00)What：看在线视频Action：禁止使用实战策略配置－应用控制策略配置详解：建立用户对象与时间对象WhoWhenWhatAction配置过程与之前的实例相同实战策略配置－应用控制策略配置详解：策略配置（引用相应的对象）WhoWhenWhatAction实战策略配置－应用控制策略配置详解：策略配置（引用相应的对象）WhoWhenWhatAction填好策略名称、描述，选择对应的用户以及策略生效时间实战策略配置－应用控制策略配置详解：指定要控制的行为在列表中选择需要控制的应用，已被选中的应用会出现在右侧列表框Tips：网络电视分类包含了PPLive这类客户端型和土豆这类在线视频网站型的在线视频应用，注意根据实际情况区分WhoWhenWhatAction实战策略配置－应用控制策略配置详解：选择控制方式控制方式可以选择“允许”或“阻塞”，顾名思义。*应用信息默认会全部记录，故无须选择是否要记录WhoWhenWhatAction实战策略配置－应用控制策略配置详解：完成配置记得要点右上角的“配置生效”按钮实战策略配置－检查策略效果自己使用一种被策略禁止的应用：例如访问“网络视频”后，应该看到匹配策略处有你的策略在生效，如果没有生效，请参考后面的故障排查思路实际动手一下！用户要求：除总经理办公室以外，所有用户在9：00–18：00禁止访问QQ农场。配置时长限额策略时的思路时长限额的策略配置思路：1.做一个时长限额策略的四要素：人、时间、应用、时间额度动作人，确定策略对谁生效应用，确定策略对哪种应用协议生效时间额度动作：确定应用能够使用的时长范围时间，确定策略什么时候生效实战策略配置－时长限额策略策略配置实战以“限制普通员工每天工作时间炒股不超过半小时”为例，实际操作配置策略明确四要素“限制普通员工每天工作时间炒股不超过半小时”Who：普通员工When：工作时间(9:00-18:00)What：在线炒股Action：限时半小时实战策略配置－应用控制策略配置详解：建立用户对象与时间对象WhoWhenWhatAction配置过程与之前的实例相同实战策略配置－时长限额策略配置详解：策略配置WhoWhenWhatAction实战策略配置－时长限额策略配置详解：策略配置（引用相应的对象）WhoWhenWhatAction填好策略名称、描述，选择对应的用户以及策略生效时间实战策略配置－时长限额策略配置详解:选择对应的应用行为WhoWhenWhatAction在列表中选择需要控制的应用，已被选中的应用会出现在右侧列表框实战策略配置－时长限额策略配置详解与应用控制策略基本相同，区别在于控制方式变成了“每日限额”分钟数。Tips：限额时间可以自由分配，比如上午9点使用5分钟、11点再使用10分钟……直到限额用光在非策略生效时间段内，限额不起作用。如策略生效时间是每天工作时间，则在非工作时间可以任意炒股，不计入限额总时间。WhoWhenWhatAction实战策略配置－时长限额策略配置详解：完成配置WhoWhenWhatAction实际动手一下！用户要求：所有人在9：00-12：00，13：00-18：00时间内，最多只能玩20分钟QQ农场术语解释2应用控制功能介绍31典型使用场景与配置33特殊例外的处理34问题排查35培训提纲特殊情况的处理管或不管，从不是问题策略网段免监控IP屏蔽IP网址黑白名单Bypass域名策略也要面向对象时间对象网站分类对象网址匹配对象文件类型对象用户自定义协议言之有理，封之有据提示信息页面某些网段不想被管理怎么办“策略管理”→“策略网段”不配置策略网段，ICG默认对所有网段均生效如果配置了策略网段，ICG的所有策略只对策略网段内的IP生效；不在策略网段内的IP不进行任何策略的匹配如果选择了“阻塞不在策略网段中的IP”，则不在策略网段内的IP都无法上网用户场景：“只需要管学生网段，不需要管老师网段，当然前提是学生网段和老师网段是清晰区隔的。特殊情况的处理某些IP不想被管理怎么办“策略管理”→“黑白名单”→“免监控IP”前提是人员的IP是固定的，不能变，否则不能起到作用对于免监控IP列表中的IP，ICG会视而不见（即既不执行策略，也不进行监控，直接放行）可以设置单个IP，也可以设置网段用户场景：“总经理上网的行为是不能管理的啊，毕竟是大领导”特殊情况的处理如果是动态IP，但是领导不想被管理怎办“策略管理”→“黑白名单”→“免管控用户”前提在组织管理中有这些用户的用户名，并开启了用户认证或用户识别免控制用户列在这里的用户不受应用控制策略、时长限额策略、用户带宽上限策略、流量控制策略的影响免审计用户列在这里的用户不受所有审计策略的审计特殊情况的处理特殊情况的处理时间对象“策略管理”→“对象设置”→“时间对象”定义好的一些时间段的组合，用于在策略中约定策略生效的时间范围特殊情况的处理用户自定义协议“策略管理”→“对象设置”→“用户自定义协议”对于用户一些特有的应用，可以通过设置源/目的IP、源/目的端口的方式来添加用户自定义协议术语解释2应用控制功能介绍31典型使用场景与配置33特殊例外的处理34问题排查35培训提纲问题排查一.如果出现应用控制无效2-在策略网段内吗？你是不是免监控IP？策略的用户包含你吗？5-检查应用流量日志，查看你的应用的类型是不是正确的检查日志匹配的行为是否是禁止1-设备的引擎是否开启了思路行动1-检查引擎的开启状态（系统管理-系统状态-引擎状态）2-检查你是否在控制范围内4-检查是不是有高优先级策略放行了4-查看访问日志，你的访问时允许状态吗？是哪个策略放行的5-检查应用识别与动作是否正确如果都不是上述的问题，可能你自己就不能解决了。请联系厂商工程师远程帮你定位。3-检查你的访问是否通过ICG3-查看访问日志，是否有你的访问日志，没有可能就没有通过问题排查二.如果出现应用无法访问2-是否在策略网段内，并且阻塞了策略网段外的访问。是否在屏蔽IP内。5-逐一关闭ICG的策略，看看关闭那个策略的时候恢复正常。如果定位，先不要开启那个策略1-确认是不是ICG导致的1-关闭引擎，看看是否还封堵，如果关闭引擎还是有问题，可能就不是ICG的问题了。不放心还可以按下bypass按钮，如果bypass按下还有问题，就肯定不是ICG的问题2-检查是不是被特殊例外的处理阻断的4-如果策配置正确，检查是否应用被误识别4-检查应用流量日志，查看你的应用流量日志是不是正确的不正确的识别可能导致不正确的阻断5-检查是否被非应用策略阻断如果都不是上述的问题，可能你自己就不能解决了。请联系厂商工程师远程帮你定位。3-检查是那条策略阻断的3-查看日志，看看你的应用访问是否被阻断了。如果是，请检查那条策略的配置是否正确思路行动1.分组讨论：什么是应用控制？为什么需要对应用进行控制？对应用进行控制给客户能带来什么样的好处？2.分组讨论：应用协议列表是什么？有什么作用？3.分组讨论：作一个应用控制与时长限额控制策略时，我们的通用思路是什么？为什么？4.试验：禁止除总经理外的所有员工，