【简介】飞塔防火墙除了保证内网不受攻击之外,也具备上网行为管理功能,例如限定某人是否可以上网,上网流量有多少,也可以限制哪些软件不能用,哪些网站不能打开等,对应用软件的管控,就需要用到防火墙的应用控制功能。
应用传感器
每种应用产生的流量都有其相应的独一无二的特征值,FortiOS应用控制功能可以识别出这种特征值,并通过特征来定位流量是来自哪种应用。应用传感器就是用来感知并识别哪一种应用在使用。
① 默认的情况下,应用控制功能是启用的,如果在菜单中没有找到应用控制,那么也选择菜单【系统管理】-【功能选择】,在安全功能分类里找到并打开【应用控制】选项。
② 选择菜单【安全配置文件】-【应用控制】,可以看到编辑应用传感器界面,设备型号不同,应该控制的界面也不同。这里我们看到是飞塔桌面式防火墙60D,只能编辑默认的default传感器。③ 对于机架式防火墙,可以创建并编辑多个应用传感器。
④ 点击传感器名称右边的加号图标,可以新建一个应用传感器。
⑤ 新建的应用传感器内容和默认的default传感器内容一样,可以重新取过名字,这样我们可以对限制QQ使用建一个传感器,对限制迅雷使用建一个传感器。分别应用到不同IP上。
⑥ 点击传感器名称右边的复制图标,可以复制一个应用传感器。
⑦ 如果新建传感器与原有传感器的内容只有很少不同,就可以使用复制功能,克隆一个传感器,再略加修改,这样可以减少操作,减低误差。
⑧ 点击传感器名称右边的列表图标,可以查看所有的传感器。
⑨ 桌面式防火墙只有一个默认传感器,机架式防火墙则有四条默认传感器,桌面式防火墙只能修改默认传感器,然后在策略里引用,对控制的内容选择性不大。机架式防火墙除了修改默认传感器外,还可以新建传感器,在不同策略里引用不同传感器,控制就比较灵活了。
应用数据库
FortiOS应用控制可以检测二千多种不同的Web应用、软件程序、网络服务及通讯协议,FortiOS对这些应用的识别,是通过FortiGuard应用控制数据库实现的。FortiGuard应用数据库是业界最大的应用数据库之一,可以通过不断的更新识别新的应用和现在应用的新版本。应用数据库从FortiGuard分布式网络中更新,方式包括按需、定时、推送式更新。
① 在编辑应用传感器界面的右上角,点击【显示应用签名】。
② 可以看到在应用数据库里有二千多条应用签名。
传感器内容 应用控制功能可以技持创建多个应用控制传感器,每个传感器中都可以加入应用列表,列表中的每个应用都可以单独配置为允许、禁止或监视。
① FortiOS可识别的应用程序分为19大类,可以对每个大类进行允许、监视、阻断、隔离操作。
② 每个应用程序传感器还可以指定不包含在应用列表中的其它应用处理方式。如果不包含在列表中的应用被阻断,则只有列表中的应用才可以通过,即创建了应用程序白名单。默认方式为允许不包含在列表中的应用允许通过,即创建了应用程序黑名单。对网络安全要求很高的网络可以采取白名单的方式控制应用,一般网络中可以命名用黑名单方式。
③ 可以加入应用列表。
④ 可以通过过滤的方式,在应用数据库里快速找到你想要的应用签名。
⑤ 可以全选或单选你所需要的应用签名。
⑥ 对每个独立的签名,都可以进行允许、监视、阻断、隔离操作。
⑦ 除了可以对每个独立的签名进行操作外,还可以过滤出符合某个条件的一类签名进行批量操作。
⑧ 过滤器可以通过应用的分类、应用的厂商、应用的行为及应用的技术等条件,过滤出需要控制的应用。
⑨ 例如可以过滤出所有Baidu的应用。
⑩ 可以对过滤出来的大类进行允许、监视、阻断、隔离的操作。
传感器应用在防火墙策略中应用不同的应用控制传感器,可对不同的接口或网段启用不同的应用控制策略。
① 在建立的指定IP上网的策略中,启用应用控制,并选择应用的传感器。
② 按住有应用控制的策略前面的序号,拖动鼠标,移动到默认上网策略的上方,优先执行。
效果验证
这里我们主要介绍的是应用控制的设置和使用方法,后述文章将会看到不同应用控制所产生的不同效果。
【提示】应用控制对二层交换机、三层交换机下的设备起作用,对无线路由后的设备不起作用。