H3C SecPath ACG1000係列應用控製網關 Web配置指導(R6612 E6453)-6W106

27-應用對象

1 應用對象

1.1 應用對象簡介

為了方便用戶配置和管理，設備中引入了應用對象的概念。應用對象分為應用對象和應用標簽對象兩大類，在其它功能模塊（如控製策略、IPv6策略、流量控製策略模塊）可以引用應用對象來配置匹配條件以及子策略等。

應用對象基於特征進行分析並通過應用組、應用、應用行為三級目錄樹結構展示，應用對象和應用標簽對象在控製策略、IPv6控製策略、流量控製等模塊都是以樹形結構展示，可以方便的進行查詢及引用。

控製策略的配置過程，請參見“控製策略”、“IPv6控製策略”及“流控策略”模塊資料。

1.2 應用對象

在導航欄中選擇“策略配置 > 對象管理 > 應用對象”，進入應用對象顯示頁麵，可以查看設備上支持的所有應用對象，如圖1-1所示。

圖1-1 應用對象顯示頁麵

應用對象頁麵各項參數含義如表1-1所示。

表1-1 應用對象頁麵各項參數含義表

配置項	說明
標簽	應用及應用行為對應的標簽類，係統內置9個預定義標簽。
應用列表	展示詳細的應用及應用行為列表，顯示該應用或應用行為所屬標簽以及對應的係統平台，還有應用的流行度展示。
查詢	根據應用名稱進行查詢。

1.3 應用標簽對象

在導航欄中選擇“策略配置 > 對象管理 > 應用對象”，點擊“應用標簽對象”標簽頁，如圖1-2所示。

圖1-2 應用標簽對象顯示界麵

應用標簽對象頁麵詳細參數如表1-2所示。

表1-2 應用標簽對象頁麵詳細參數表

配置項	說明
名稱	應用標簽對象的名稱。
描述	新建應用標簽對象添加的描述信息。
內容（應用對象）	選擇的應用對象。
操作	操作包括編輯和刪除兩項：編輯：可對描述和內容進行修改編輯操作；刪除：對選中對象進行刪除操作。

點擊<新建>按鈕，可以新建一條應用標簽對象，如圖1-3所示。

圖1-3 新建應用標簽對象

點擊<提交>按鈕，完成自定義應用標簽對象的配置，如圖1-4所示。

圖1-4 應用標簽對象自定義配置完成

自定義配置好的應用標簽對象可以在應用對象頁麵上展示，如圖1-5所示。

圖1-5 應用對象組展示自定義應用標簽對象

1.4 自定義應用

1.4.1 自定義應用簡介

通用的應用無法滿足客戶的需求，客戶需要根據自己定義的規則，標識為自定義的應用。從而方便管理和監控整個網絡。

1.4.2 自定義應用頁麵

在導航欄中選擇“策略配置 > 對象管理 > 應用對象”，點擊“自定義應用”標簽頁，進入自定義應用頁麵，如圖1-6所示。

圖1-6 自定義應用設置頁麵

表1-3 自定義應用頁麵詳細說明

項目	說明
新建	新建一個自定義應用
刪除	刪除一個自定義應用
全部刪除	全部刪除自定義應用
導入	導入自定義應用
導出	導出自定義應用
啟用	啟用自定義應用
禁用	禁用自定義應用

1.4.3 自定義應用設置規則

在導航欄中選擇“策略配置 > 對象管理 > 應用對象 > 自定義應用>”點擊<新建>，進入自定義應用配置規則頁麵，如圖1-7所示。

圖1-7 自定義應用設置規則頁麵

頁麵的詳細說明如表1-4所示。

表1-4 自定義應用配置詳細說明

項目	說明
啟用	該自定義應用是否開啟匹配。
名稱	應用名稱
描述	自定義應用的描述信息。
風險級別	應用的風險級別，分為低、中、高三個級別。
應用類	選擇應用的應用類別，比如QQ就是即時通訊。
數據包方向	數據包方向，包含任意、請求數據和響應數據。 · 任意：包含請求數據和響應數據。 · 請求數據：隻匹配請求的數據。 · 響應數據：隻匹配響應的數據。
協議	自定義應用的協議類型：any、TCP、UDP、OTHER，默認值any，表示匹配係統支持的所有應用協議類型。
端口	自定義應用規則要匹配的端口，多個配置以回車分割，最多支持5個端口配置。
IP地址	輸入自定義應用規則要匹配的IP地址。
目標域名	輸入自定義應用規則要匹配的域名，支持模糊匹配。
匹配模式	應用匹配模式，包含文本和正則表達式。 · 文本：應用以文本的方式匹配。 · 正則表達式：應用以正則表達式方式匹配。
DNS域名學習模式	DNS域名的學習模式，包含引用數據包特征中的目標域名和指定域名。 · 引用數據包特征中的目標域名：引用的是上述目標域名。 · 目標域名：自定義域名，支持模糊匹配，多個匹配以回車分割，最多支持64個域名配置。

輸入完畢後，點擊<提交>按鈕，應用配置，點擊<取消>按鈕，取消配置修改。

1.5 應用智能識別

1.5.1 應用智能識別簡介

當前迅雷可通過多種方式（如：FTP、HTTP、P2P下載等）下載資源，單獨限製迅雷下載，效果不佳，應用智能識別功能可有效的提高迅雷下載流量識別率。

當前部分P2P軟件無法通過應用特征識別，應用智能識別功能可通過P2P行為來智能識別P2P流量。

1.5.2 應用智能識別頁麵

在導航欄中選擇“策略配置>對象管理>應用對象>應用智能識別”，進入應用智能識別頁麵，如圖1-8所示。

圖1-8 應用智能識別頁麵

頁麵的詳細說明如表1-5所示

表1-5 應用智能識別頁麵詳細說明

項目	說明
狀態	啟用/禁用功能狀態展示，默認功能開啟。
應用名稱	應用智能識別名稱。
應用類型	應用智能識別歸屬應用分類。
應用描述	應用智能識別描述。
檢測寬鬆度	應用智能識別的寬鬆度級別展示。

1.5.3 應用智能識別-P2P行為

在導航欄中選擇“策略配置>對象管理>應用對象>應用智能識別”，點擊“P2P行為”右邊的<編輯>按鈕，進入P2P行為配置頁麵，如圖1-7所示。

圖1-9 P2P行為配置頁麵

頁麵的詳細說明如表1-4所示。

表1-6 P2P行為詳細說明

項目	說明
啟用	啟用/禁用P2P行為識別功能。
應用名稱	應用智能識別名稱。
應用類型	應用智能識別歸屬應用分類。
應用描述	應用智能識別描述。
檢測寬鬆度	單選框，有3個級別：嚴格、適中、寬鬆。 · 嚴格：識別要求嚴格，可能存在漏報； · 適中：識別要求適中，默認配置； · 寬鬆：識別要求寬鬆，可能存在誤報。
排除掃描端口	排除P2P智能識別端口。

輸入完畢後，點擊<提交>按鈕，應用配置，點擊<取消>按鈕，取消配置修改。

1.5.4 應用智能識別-迅雷

在導航欄中選擇“策略配置>對象管理>應用對象>應用智能識別”，點擊“迅雷”右邊的<編輯>按鈕，進入迅雷配置頁麵，如圖1-10所示。

圖1-10 迅雷配置頁麵

頁麵的詳細說明如表1-7所示。

表1-7 迅雷配置詳細說明

項目	說明
應用名稱	應用智能識別名稱。
應用類型	應用智能識別歸屬應用分類。
應用描述	應用智能識別描述。
檢測寬鬆度	單選框，有2個級別：嚴格、寬鬆。 · 嚴格：識別要求嚴格，默認配置； · 寬鬆：識別要求寬鬆，可能存在誤報。

輸入完畢後，點擊<提交>按鈕，應用配置，點擊<取消>按鈕，取消配置修改。

1.6 應用識別模式配置

通過菜單“策略配置 > 對象管理 > 應用識別模式”，進入應用識別模式配置顯示頁麵，如圖1-11所示。

圖1-11 應用識別模式配置頁麵

頁麵的詳細說明如表1-8所示。

表1-8 應用識別模式配置描述表

項目	說明
智能模式	應用引擎模式將盡可能的嚐試用各種方式識別網絡流量
快速模式	應用引擎模式將關閉部分智能分析功能以提高性能
關閉模式	應用引擎模式將不進行應用識別

選擇完畢後，點擊<提交>按鈕，應用配置。

1.7 配置應用識別高級配置

通過菜單“策略配置 > 對象管理 > 應用識別模式>應用識別高級配置”，進入應用識別高級配置顯示頁麵，如圖1-12所示。

圖1-12 應用識別模式配置頁麵

頁麵的詳細說明如表1-9所示。

表1-9 應用識別高級配置描述表

項目	說明
開啟智能識別應用學習	智能識別學習應用結果。
覆蓋智能識別應用學習結果	用戶訪問不同網站，智能識別應用學習結果可能相同。啟用此選項學習結果覆蓋，智能識別應用為最新學習結果。
開啟真實文件類型識別	通過特征識別文件，配置文件類型過濾功能使用。

選擇完畢後，點擊<提交>按鈕，應用配置。

1.8 配置舉例

1.8.1 應用對象配置舉例

1. 組網需求

某企業內網用戶訪問外網時，工作時間禁止登錄即時通訊軟件。

2. 配置步驟

進入“策略配置 > 控製策略”，新建一條控製策略，行為選擇允許，基礎條件使用默認配置，在應用過濾中新建一條應用控製策略，配置應用對象選擇“即時通訊”類的應用組如圖1-13所示，動作配置拒絕，日誌級別選擇通知級別，如圖1-14所示；高級配置中時間選擇工作時間，點擊策略下的<提交>按鈕，控製策略配置完成，如圖1-15所示。

圖1-13 應用控製策略應用對象選擇即時通訊類配置