目录
应用场景
随着宽带网络的不断普及,IM(即时聊天软件,如MSN、QQ),P2P(点到点传输软件,如BitTorrent、eMule),流媒体(视频点播软件,如PPLive、QQLive),网络游戏(如搜狐游戏大厅、快乐西游)和股票软件(如大智慧、万点理财)在人们的工作、生活中也扮演了越来越重要的角色。
IM、P2P、流媒体、网络游戏和股票软件在给人们带来便利的同时,也给网络管理带来了新的挑战。一方面,这些软件随意滥用导致的网络拥堵、内部网络信息泄露、病毒传播等情况时有发生;另一方面,由于应用协议的复杂性,传统的防火墙对这些常用外联软件又无能为力,所以迫切需要针对外联软件进行有效管理的手段。 下一代防火墙的应用控制有以下功能:
控制MSN、QQ、雅虎通、Gtalk、Skype等IM的登陆和文件传输。
控制BitTorrent、eMule等P2P软件的使用和限速。
控制PPLive、QQLive等流媒体软件的使用和限速。
控制多数网络游戏和股票软件的使用。
NGFW的应用控制功能只有在安全防护表中启用后,才能对相关的用户进行应用控制。
本案例以QQ聊天工具、跑跑卡丁车、酷狗、优酷视频为例,通过NGFW的应用控制功能禁止用户使用类似QQ等IM聊天工具、跑跑卡丁车等网络游戏、酷狗等P2P下载工具以及优酷视频等流媒体软件,从而节省用户出口网络带宽。
功能原理
数据包首先协议分析模块,进行协议识别,包括TCP、UDP、ICMP,再根据已分析出来的协议特性与系统已有的应用控制特征库进行模式匹配,匹配到相应特征后,根据规则设置进行放行、阻断和日志上报;
一、组网需求
某单位当前已经可以上网了,但是现在不想让员工用IM聊天工具聊天,或者只允许个别用户可以聊天。
二、组网拓扑
三、配置要点
1、初始化上网配置
2、应用控制传感器
- 屏蔽及时通信软件
- 针对p2p应用进行流控
3、在策略中开启应用控制
四、配置步骤
1、初始化上网配置
配置详细过程请参照 “路由模式典型功能"--"单线上网"--"静态地址线路上网配置"“一节:
2、定义应用控制传感器
菜单: 安全配置--应用控制--应用控制传感器。点击“新建”按钮。
1)新建新的传感器,名称:office,点击”应用“
2)点击"新建",为传感器添加应用控制过滤条目:
3)根据应用控制分类添加:屏蔽qq和相关软件。
传感器类型:选择指定应用,输入QQ,会显示所有QQ相关的应用,用鼠标左键点击进行选择。
动作:选择屏蔽。
4)根据应用控制分类添加:为p2p应用进行流控。
传感器类型:选择“过滤基于”,
分类:选择p2p
动作选择“流量控制”
正向流量控制:1M
5)添加应用控制后,页面如下:
3、在策略中开启应用控制
应用控制中选择"office" 应用控制传感器。
4.开启日志显示
如果日志没有显示,可以通过命令开启日志显示
说明:执行操作前,建议先升级到P2版本,如在P1版本下操作,需先输入print cliovrd enabl4e并回车,同时用户登出再登录后才可执行下列命令
RG-WALL # config application list
RG-WALL (list) # edit office
new entry 'office' added
RG-WALL (office) # set extended-utm-log enable
RG-WALL (office) # end
五、检查配置效果
使用应用程序进行测试。
访问video.qq.com,结果无法访问,且防在日志中可以看到被阻断的日志
流量控制效果 限速1M
未开启限速时,带宽相当于6M左右;
开启限速后,带宽相当于1M左右;
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
