網(wǎng)康NI3000-30【應(yīng)用控制】

網(wǎng)康ICG的【應(yīng)用控制】術(shù)語解釋2應(yīng)用控制功能介紹31典型使用場景與配置33例外34問題排查35培訓(xùn)提綱應(yīng)用控制功能介紹本節(jié)要點為什么客戶需要應(yīng)用控制？ICG給客戶帶來了什么價值？ICG能夠做哪些策略？網(wǎng)頁過濾功能介紹應(yīng)用控制什么是應(yīng)用控制ICG對用戶使用的各種互聯(lián)網(wǎng)應(yīng)用進行識別，如果某種應(yīng)用出于管理需要不允許某些用戶使用，則對其進行阻斷為什么要對應(yīng)用進行控制？減輕網(wǎng)絡(luò)出口壓力：限制、禁用各種P2P應(yīng)用，減少其對網(wǎng)絡(luò)出口的占用，釋放寶貴帶寬提高學(xué)習(xí)/工作效率：禁止在學(xué)習(xí)/工作時間使用網(wǎng)游、在線視頻、在線炒股等無關(guān)應(yīng)用，提高學(xué)生/員工的學(xué)習(xí)/工作效率基本概念介紹ICG能做什么策略應(yīng)用控制策略針對用戶使用的各種互聯(lián)網(wǎng)應(yīng)用進行管控的策略用戶場景禁止普通員工在工作時間看在線視頻Who：普通員工；When：工作時間；What：看在線視頻；Action：禁止禁止學(xué)生在上課時間玩網(wǎng)絡(luò)游戲Who：學(xué)生；When：上課時間；What：玩網(wǎng)絡(luò)游戲；Action：禁止基本概念介紹ICG能做什么策略應(yīng)用限額策略（*獨有功能，可進行應(yīng)用時常限制，應(yīng)用流量限制）針對用戶使用的各種互聯(lián)網(wǎng)應(yīng)用進行限制時長（或流量）使用的策略可以干什么限制普通員工在每天工作時間內(nèi)在線炒股不超過半小時Who：普通員工；When：工作時間；What：在線炒股；Action：每天累計時間半小時以內(nèi)允許，超過半小時禁止基本概念介紹ICG能做什么策略流量控制策略對用戶使用的各種互聯(lián)網(wǎng)應(yīng)用進行流量帶寬的控制可以干什么限制所有學(xué)生在每天上網(wǎng)高峰期（20:00-24:00）內(nèi)限制P2P總帶寬為10MbpsWho：學(xué)生用戶；When：上網(wǎng)高峰期（20:00-24:00）；What：P2P下載；Action：限制總帶寬為10Mbps術(shù)語解釋2應(yīng)用控制功能介紹31典型使用場景與配置33例外34問題排查35培訓(xùn)提綱Tips：進入“系統(tǒng)管理”→“系統(tǒng)配置”→“支持協(xié)議列表”，可以查看應(yīng)用協(xié)議庫的詳細(xì)說明實戰(zhàn)策略配置－應(yīng)用控制策略術(shù)語解釋應(yīng)用協(xié)議列表指ICG內(nèi)置的應(yīng)用協(xié)議特征數(shù)據(jù)庫類似殺毒軟件的病毒庫，協(xié)議特征庫是精確識別各種網(wǎng)絡(luò)應(yīng)用的基礎(chǔ)網(wǎng)康的應(yīng)用協(xié)議數(shù)據(jù)庫是目前業(yè)界最全面的中國互聯(lián)網(wǎng)應(yīng)用協(xié)議數(shù)據(jù)庫，針對中國地區(qū)網(wǎng)絡(luò)應(yīng)用的流行程度以及技術(shù)實現(xiàn)方式的專項分析，全面涵蓋IM即時通訊、P2P共享下載、流媒體以及在線游戲等所有互聯(lián)應(yīng)用。術(shù)語解釋用戶對象用戶：在用戶管理章節(jié)已經(jīng)講過的用戶建立部分，這些用戶是需要在今后的策略中引用的。例如：一個策略僅對特定的部分人員生效，當(dāng)然如果希望對所有人生效就選擇所有用戶術(shù)語解釋時間對象設(shè)備默認(rèn)提供兩個時間對象：

全部時間工作時間：周一至周五早9:00-12:0013:00-17:30時間對象：在網(wǎng)康的設(shè)備中可以分時段進行策略的生效，因此需要自行設(shè)定一些用戶期望的時間段，時間段是按照星期和每天的時段來組成的，每個時間對象可在今后被策略引用且一個策略僅能引用一個時間對象例如：一個用戶希望在每周2，5的早8：00-12:00下午2：00-6：00生效一個策略。術(shù)語解釋2網(wǎng)頁過濾功能介紹31典型使用場景與配置33特殊例外的處理34問題排查35培訓(xùn)提綱配置應(yīng)用控制策略時的思路設(shè)置應(yīng)用控制策略時通用思路如下：1.做一個策略，四要素：人、時間、應(yīng)用、動作人，確定策略對誰生效時間，確定策略什么時候生效應(yīng)用，確定策略對那些應(yīng)用協(xié)議生效動作：確定對相關(guān)應(yīng)用是阻斷還是放行實戰(zhàn)策略配置－應(yīng)用控制策略策略配置實戰(zhàn)以“禁止普通員工在工作時間看在線視頻”為例，實際操作配置策略明確四要素“禁止普通員工在工作時間看在線視頻”Who：普通員工When：工作時間(9:00-18:00)What：看在線視頻Action：禁止使用實戰(zhàn)策略配置－應(yīng)用控制策略配置詳解：建立用戶對象與時間對象WhoWhenWhatAction配置過程與之前的實例相同實戰(zhàn)策略配置－應(yīng)用控制策略配置詳解：策略配置（引用相應(yīng)的對象）WhoWhenWhatAction實戰(zhàn)策略配置－應(yīng)用控制策略配置詳解：策略配置（引用相應(yīng)的對象）WhoWhenWhatAction填好策略名稱、描述，選擇對應(yīng)的用戶以及策略生效時間實戰(zhàn)策略配置－應(yīng)用控制策略配置詳解：指定要控制的行為在列表中選擇需要控制的應(yīng)用，已被選中的應(yīng)用會出現(xiàn)在右側(cè)列表框Tips：網(wǎng)絡(luò)電視分類包含了PPLive這類客戶端型和土豆這類在線視頻網(wǎng)站型的在線視頻應(yīng)用，注意根據(jù)實際情況區(qū)分WhoWhenWhatAction實戰(zhàn)策略配置－應(yīng)用控制策略配置詳解：選擇控制方式控制方式可以選擇“允許”或“阻塞”，顧名思義。*應(yīng)用信息默認(rèn)會全部記錄，故無須選擇是否要記錄WhoWhenWhatAction實戰(zhàn)策略配置－應(yīng)用控制策略配置詳解：完成配置記得要點右上角的“配置生效”按鈕實戰(zhàn)策略配置－檢查策略效果自己使用一種被策略禁止的應(yīng)用：例如訪問“網(wǎng)絡(luò)視頻”后，應(yīng)該看到匹配策略處有你的策略在生效，如果沒有生效，請參考后面的故障排查思路實際動手一下！用戶要求：除總經(jīng)理辦公室以外，所有用戶在9：00–18：00禁止訪問QQ農(nóng)場。配置時長限額策略時的思路時長限額的策略配置思路：1.做一個時長限額策略的四要素：人、時間、應(yīng)用、時間額度動作人，確定策略對誰生效應(yīng)用，確定策略對哪種應(yīng)用協(xié)議生效時間額度動作：確定應(yīng)用能夠使用的時長范圍時間，確定策略什么時候生效實戰(zhàn)策略配置－時長限額策略策略配置實戰(zhàn)以“限制普通員工每天工作時間炒股不超過半小時”為例，實際操作配置策略明確四要素“限制普通員工每天工作時間炒股不超過半小時”Who：普通員工When：工作時間(9:00-18:00)What：在線炒股Action：限時半小時實戰(zhàn)策略配置－應(yīng)用控制策略配置詳解：建立用戶對象與時間對象WhoWhenWhatAction配置過程與之前的實例相同實戰(zhàn)策略配置－時長限額策略配置詳解：策略配置WhoWhenWhatAction實戰(zhàn)策略配置－時長限額策略配置詳解：策略配置（引用相應(yīng)的對象）WhoWhenWhatAction填好策略名稱、描述，選擇對應(yīng)的用戶以及策略生效時間實戰(zhàn)策略配置－時長限額策略配置詳解:選擇對應(yīng)的應(yīng)用行為WhoWhenWhatAction在列表中選擇需要控制的應(yīng)用，已被選中的應(yīng)用會出現(xiàn)在右側(cè)列表框?qū)崙?zhàn)策略配置－時長限額策略配置詳解與應(yīng)用控制策略基本相同，區(qū)別在于控制方式變成了“每日限額”分鐘數(shù)。Tips：限額時間可以自由分配，比如上午9點使用5分鐘、11點再使用10分鐘……直到限額用光在非策略生效時間段內(nèi)，限額不起作用。如策略生效時間是每天工作時間，則在非工作時間可以任意炒股，不計入限額總時間。WhoWhenWhatAction實戰(zhàn)策略配置－時長限額策略配置詳解：完成配置WhoWhenWhatAction實際動手一下！用戶要求：所有人在9：00-12：00，13：00-18：00時間內(nèi)，最多只能玩20分鐘QQ農(nóng)場術(shù)語解釋2應(yīng)用控制功能介紹31典型使用場景與配置33特殊例外的處理34問題排查35培訓(xùn)提綱特殊情況的處理管或不管，從不是問題策略網(wǎng)段免監(jiān)控IP屏蔽IP網(wǎng)址黑白名單Bypass域名策略也要面向?qū)ο髸r間對象網(wǎng)站分類對象網(wǎng)址匹配對象文件類型對象用戶自定義協(xié)議言之有理，封之有據(jù)提示信息頁面某些網(wǎng)段不想被管理怎么辦“策略管理”→“策略網(wǎng)段”不配置策略網(wǎng)段，ICG默認(rèn)對所有網(wǎng)段均生效如果配置了策略網(wǎng)段，ICG的所有策略只對策略網(wǎng)段內(nèi)的IP生效；不在策略網(wǎng)段內(nèi)的IP不進行任何策略的匹配如果選擇了“阻塞不在策略網(wǎng)段中的IP”，則不在策略網(wǎng)段內(nèi)的IP都無法上網(wǎng)用戶場景：“只需要管學(xué)生網(wǎng)段，不需要管老師網(wǎng)段，當(dāng)然前提是學(xué)生網(wǎng)段和老師網(wǎng)段是清晰區(qū)隔的。特殊情況的處理某些IP不想被管理怎么辦“策略管理”→“黑白名單”→“免監(jiān)控IP”前提是人員的IP是固定的，不能變，否則不能起到作用對于免監(jiān)控IP列表中的IP，ICG會視而不見（即既不執(zhí)行策略，也不進行監(jiān)控，直接放行）可以設(shè)置單個IP，也可以設(shè)置網(wǎng)段用戶場景：“總經(jīng)理上網(wǎng)的行為是不能管理的啊，畢竟是大領(lǐng)導(dǎo)”特殊情況的處理如果是動態(tài)IP，但是領(lǐng)導(dǎo)不想被管理怎辦“策略管理”→“黑白名單”→“免管控用戶”前提在組織管理中有這些用戶的用戶名，并開啟了用戶認(rèn)證或用戶識別免控制用戶列在這里的用戶不受應(yīng)用控制策略、時長限額策略、用戶帶寬上限策略、流量控制策略的影響免審計用戶列在這里的用戶不受所有審計策略的審計特殊情況的處理特殊情況的處理時間對象“策略管理”→“對象設(shè)置”→“時間對象”定義好的一些時間段的組合，用于在策略中約定策略生效的時間范圍特殊情況的處理用戶自定義協(xié)議“策略管理”→“對象設(shè)置”→“用戶自定義協(xié)議”對于用戶一些特有的應(yīng)用，可以通過設(shè)置源/目的IP、源/目的端口的方式來添加用戶自定義協(xié)議術(shù)語解釋2應(yīng)用控制功能介紹31典型使用場景與配置33特殊例外的處理34問題排查35培訓(xùn)提綱問題排查一.如果出現(xiàn)應(yīng)用控制無效2-在策略網(wǎng)段內(nèi)嗎？你是不是免監(jiān)控IP？策略的用戶包含你嗎？5-檢查應(yīng)用流量日志，查看你的應(yīng)用的類型是不是正確的檢查日志匹配的行為是否是禁止1-設(shè)備的引擎是否開啟了思路行動1-檢查引擎的開啟狀態(tài)（系統(tǒng)管理-系統(tǒng)狀態(tài)-引擎狀態(tài)）2-檢查你是否在控制范圍內(nèi)4-檢查是不是有高優(yōu)先級策略放行了4-查看訪問日志，你的訪問時允許狀態(tài)嗎？是哪個策略放行的5-檢查應(yīng)用識別與動作是否正確如果都不是上述的問題，可能你自己就不能解決了。請聯(lián)系廠商工程師遠(yuǎn)程幫你定位。3-檢查你的訪問是否通過ICG3-查看訪問日志，是否有你的訪問日志，沒有可能就沒有通過問題排查二.如果出現(xiàn)應(yīng)用無法訪問2-是否在策略網(wǎng)段內(nèi)，并且阻塞了策略網(wǎng)段外的訪問。是否在屏蔽IP內(nèi)。5-逐一關(guān)閉ICG的策略，看看關(guān)閉那個策略的時候恢復(fù)正常。如果定位，先不要開啟那個策略1-確認(rèn)是不是ICG導(dǎo)致的1-關(guān)閉引擎，看看是否還封堵，如果關(guān)閉引擎還是有問題，可能就不是ICG的問題了。不放心還可以按下bypass按鈕，如果bypass按下還有問題，就肯定不是ICG的問題2-檢查是不是被特殊例外的處理阻斷的4-如果策配置正確，檢查是否應(yīng)用被誤識別4-檢查應(yīng)用流量日志，查看你的應(yīng)用流量日志是不是正確的不正確的識別可能導(dǎo)致不正確的阻斷5-檢查是否被非應(yīng)用策略阻斷如果都不是上述的問題，可能你自己就不能解決了。請聯(lián)系廠商工程師遠(yuǎn)程幫你定位。3-檢查是那條策略阻斷的3-查看日志，看看你的應(yīng)用訪問是否被阻斷了。如果是，請檢查那條策略的配置是否正確思路行動1.分組討論：什么是應(yīng)用控制？為什么需要對應(yīng)用進行控制？對應(yīng)用進行控制給客戶能帶來什么樣的好處？2.分組討論：應(yīng)用協(xié)議列表是什么？有什么作用？3.分組討論：作一個應(yīng)用控制與時長限額控制策略時，我們的通用思路是什么？為什么？4.試驗：禁止除總經(jīng)理外的所有員工，