应用控制策略中策略组什么场景下使用是最佳的

假设我有多个应用，分别对外开放不同端口，指向内网的也都是不同的服务器，最优的管理方式是否应建立不同的策略组并将不同应用设置到不同的策略组里进行区分管理，还是使用默认策略组将所有设置写在一起为最优的方式，谢谢

区分管理是最好的  这样以后找的时候也好找

应用场景：应用控制控制常用于企业内部对内部用户的上网（HTTP）行为、FTP行为和IM行为、工具类等行为进行精细化控制



作用：AF的应用控制策略就类似交换机的ACL控制，需要禁止上外网，禁止访问指定应用等，可通过【应用控制策略】实现,基于源、目的IP，基于端口服务或应用来做策略控制,数据包匹配到对应服务端口或应用特征识别库中的应用规则之后，根据策略动作进行拦截或放通处理 【应用控制策略】中选择【应用】，则需要先检查通过的几个数据包来识别对应的应用，然后拒绝；选择【服务】则不要先放通数据，直接根据端口匹配策略，服务是首包，而基于应用的是识别完成后的首包，当数据的五元组特征匹配上应用类型的ACL策略时，AF会先放通一部分数据包（最多不超过10个数据包），通过这部分数据包识别是什么应用类型的数据，再进行应用层面的策略拦截。 注意：基于应用实现策略控制需设备更新到最新版本的应用识别库

应用场景：应用控制控制常用于企业内部对内部用户的上网（HTTP）行为、FTP行为和IM行为、工具类等行为进行精细化控制
作用：AF的应用控制策略就类似交换机的ACL控制，需要禁止上外网，禁止访问指定应用等，可通过【应用控制策略】实现,基于源、目的IP，基于端口服务或应用来做策略控制,数据包匹配到对应服务端口或应用特征识别库中的应用规则之后，根据策略动作进行拦截或放通处理 【应用控制策略】中选择【应用】，则需要先检查通过的几个数据包来识别对应的应用，然后拒绝；选择【服务】则不要先放通数据，直接根据端口匹配策略，服务是首包，而基于应用的是识别完成后的首包，当数据的五元组特征匹配上应用类型的ACL策略时，AF会先放通一部分数据包（最多不超过10个数据包），通过这部分数据包识别是什么应用类型的数据，再进行应用层面的策略拦截。
注意：基于应用实现策略控制需设备更新到最新版本的应用识别库

应用场景：应用控制控制常用于企业内部对内部用户的上网（HTTP）行为、FTP行为和IM行为、工具类等行为进行精细化控制
作用：AF的应用控制策略就类似交换机的ACL控制，需要禁止上外网，禁止访问指定应用等，可通过【应用控制策略】实现,基于源、目的IP，基于端口服务或应用来做策略控制,数据包匹配到对应服务端口或应用特征识别库中的应用规则之后，根据策略动作进行拦截或放通处理 【应用控制策略】中选择【应用】，则需要先检查通过的几个数据包来识别对应的应用，然后拒绝；选择【服务】则不要先放通数据，直接根据端口匹配策略，服务是首包，而基于应用的是识别完成后的首包，当数据的五元组特征匹配上应用类型的ACL策略时，AF会先放通一部分数据包（最多不超过10个数据包），通过这部分数据包识别是什么应用类型的数据，再进行应用层面的策略拦截。
注意：基于应用实现策略控制需设备更新到最新版本的应用识别库

    感谢上面几位的回复，但是太官方了看不明白，我做了一下实验，我的理解是，策略组实际是逻辑分组，将相同性质的策略逻辑上放在一起实际是为了便于管理，加入组后该条策略在所有策略中的实际位置取决于策略组在所有策略组中的位置，“默认策略组”永远是在全部策略的最下面，也是要保证“默认策略”（any到any全拒绝）在所有策略的最下面

应用控制策略针对服务端进行闲置房访问做

楼主分享的案例很实用，具有典型性，希望有更多这样的干货供我们学习参考，非常感谢！

如果是对外提供业务的话，应用控制策略不用手动放开外到内的访问，建立地址映射的时候会自动放开对应的端口和地址

应用场景：应用控制控制常用于企业内部对内部用户的上网（HTTP）行为、FTP行为和IM行为、工具类等行为进行精细化控制
作用：AF的应用控制策略就类似交换机的ACL控制，需要禁止上外网，禁止访问指定应用等，可通过【应用控制策略】实现,基于源、目的IP，基于端口服务或应用来做策略控制,数据包匹配到对应服务端口或应用特征识别库中的应用规则之后，根据策略动作进行拦截或放通处理 【应用控制策略】中选择【应用】，则需要先检查通过的几个数据包来识别对应的应用，然后拒绝；选择【服务】则不要先放通数据，直接根据端口匹配策略，服务是首包，而基于应用的是识别完成后的首包，当数据的五元组特征匹配上应用类型的ACL策略时，AF会先放通一部分数据包（最多不超过10个数据包），通过这部分数据包识别是什么应用类型的数据，再进行应用层面的策略拦截。
注意：基于应用实现策略控制需设备更新到最新版本的应用识别库