|
AF的应用控制策略就类似交换机的ACL控制,需要禁止上外网,禁止访问指定应用等,可通过【应用控制策略】实现 ;
AF应用控制策略配置步骤如下: ①以标准版本8.0.35-8.0.59版本操作示例:可在【策略】-【访问控制】-【应用控制策略】中配置相关上网策略 ②以标准版本AF7.4-8.0.32版本操作路径示例:可在【策略】-【访问控制】-【应用控制策略】中配置相关上网策略 ③以标准版本AF7.3版本操作路径示例:可在【内容安全】-【应用控制策略】中配置相关上网策略
具体配置建议查看文档,应用控制策略&web过滤配置指导:点击这里
AF应用控制策略不生效? 一、以标准版本AF8.0.35-8.0.59版本排查步骤和路径示例: 1、是否开启了【系统】-【排障】-【故障排查】定向数据流分析或者直通,若开启则需关闭后测试 2、是否在【安全运营】-【黑白名单】中放行了或封堵了源IP组/用户组,有的话需删除 3、源IP组是否匹配到了前面的策略,导致没匹配到目前策略 4、【系统】-【安全能力更新】查看url库和应用识别库的是否是最新版本 5、如果源网络对象选择的是用户,需查看【策略】-【认证】-【用户认证-】【认证策略】是否已经开启,并且选择好区域,否则用户/组的策略不成效 6、核对下配置的区域和动作是否正确 7、是否是IPV6地址的通信,若是的话,在【系统】-【通用配置】-【网络参数】中勾选【启用IPV4/IPV6双协议栈】重启后生效;8.0.50以上新架构默认支持IPV6
二、以标准版本AF8.0.17-8.0.32版本操作路径示例: 1、是否开启了【系统】-【排障】-【故障排查】定向数据流分析或者直通,若开启则需关闭后测试 2、是否在【策略】-【黑白名单】中放行了或封堵了源IP组/用户组,有的话需删除 3、源IP组是否匹配到了前面的策略,导致没匹配到目前策略 4、【系统】-【安全能力更新】查看url库和应用识别库的是否是最新版本 5、如果源网络对象选择的是用户,需查看【认证系统】-【用户认证】-【认证策略】是否已经开启,并且选择好区域,否则用户/组的策略不成效 6、核对下配置的区域和动作是否正确 7、是否是IPV6地址的通信,若是的话,在【系统】-【通用配置】-【网络参数】中勾选【启用IPV4/IPV6双协议栈】重启后生效
三、以标准版本AF7.4-8.0.13版本操作路径示例: 1、是否开启了【系统】-【排障】-【数据包拦截日志并直通】,若开启则需关闭后测试 2、是否在【策略】-【黑白名单】中放行了或封堵了源IP组/用户组,有的话需删除 3、源IP组是否匹配到了前面的策略,导致没匹配到目前策略 4、【系统】-【系统维护】-【系统更新】-【库升级】查看url库和应用识别库的是否是最新版本 5、如果源网络对象选择的是用户,需查看【认证系统】-【用户认证】-【认证策略】是否已经开启,并且选择好区域,否则用户/组的策略不成效 6、核对下配置的区域和动作是否正确 7、是否是IPV6地址的通信,若是的话,在【系统】-【系统配置】-【通用配置】-【网络参数】中勾选【启用IPV4/IPV6双协议栈】重启后生效
四、标准版本AF7.3及之前版本操作路径示例: 1、是否开启了【系统维护】-【数据包拦截日志并直通】,若开启则需关闭后测试 2、是否在【系统】-【放行与封堵名单】(6.8之前叫全局排除名单)中放行了或封堵了源IP组/用户组,有的话需删除 3、源IP组是否匹配到了前面的策略,导致没匹配到目前策略 4、【系统维护】-【系统更新】-【库升级】查看url库和应用识别库的是否是最新版本 5、如果源网络对象选择的是用户,需查看【认证系统】-【用户认证】-【认证策略】是否已经开启,并且选择好区域,否则用户/组的策略不成效 6、核对下配置的区域和动作是否正确 7、是否是IPV6地址的通信,若是的话,需设备为5.0及以上版本在【系统】-【系统配置】-【网络参数】中勾选【启用IPV4/IPV6双协议栈】重启后生效 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-8-11 12:45
