背景
员工通过网页不受控地对外发布,传播违规信息,影响公司形象甚至带来法律风险
员工上传公司敏感信息到internet,导致公司机密泄露
应用行为控制常用于企业内部对内网用户的上网(HTTP)行为、FTP行为和IM行为进行管理。
在企业内部通常需要对内网用户的HTTP行为和FTP行为进行管理,不同的用户使用HTTP和FTP访问网络资源需要不同的权限,同一用户在不同的时间段具有的权限往往也不同。FW的应用行为控制能够很好的满足上述需求,还可以对IM行为进行控制
FW作为企业的出口网关部署在内网出口处,通过在FW上配置应用行为控制功能,当内网用户访问外网时,能够有效管理内网用户的HTTP行为、FTP行为和IM行为。
在FW上创建多个应用行为控制配置文件,每个应用行为控制配置文件用来控制用户具有不同的HTTP、FTP和IM权限。然后通过在安全策略里面引用应用行为控制配置文件、用户和时间段(工作时间、非工作时间)等对象,可以达到对内网用户的HTTP行为、FTP行为和IM行为差异化、精细化管理的目的。
处理流程
应用识别:识别当前流量的应用类型
协议解码器:解析协议应用层的信息
应用行为分析:分析根据不同字段内容识别具体应用行为
策略查找:判断当前流量进行的处理动作
响应动作:放行或者阻断
行为类型 |
控制项 |
说明 |
动作 |
HTTP行为 |
POST操作 |
HTTP POST一般用于通过网页向服务器发送信息,例如论坛发帖、表单提交、用户名/密码登录。 |
允许/禁止 |
浏览网页 |
采用浏览器进行网页浏览。 |
||
代理上网 |
代理上网是指用户使用代理服务器访问特定网站,使用该功能时FW需部署在内网用户和代理服务器之间。 |
||
文件上传 |
- |
||
文件下载 |
- |
||
POST操作的内容大小(告警/阻断阈值) |
当允许HTTP POST操作时,可以配置告警阈值a和阻断阈值b,对POST操作的内容大小进行控制。 |
告警/阻断 |
|
文件上传大小(告警/阻断阈值) |
当允许文件上传操作时,可以配置告警阈值a和阻断阈值b,对上传的文件大小进行控制。 |
||
文件下载大小(告警/阻断阈值) |
当允许文件下载操作时,可以配置告警阈值a和阻断阈值b,对下载的文件大小进行控制。 HTTP文件下载控制项用来控制采用HTTP协议进行文件下载的操作,如在文件下载页面选择专用的下载工具(如BT、电驴等)进行下载,将无法对下载工具进行控制。 |
||
FTP行为 |
文件上传 |
- |
允许/禁止 |
文件下载 |
- |
||
文件删除 |
- |
||
文件上传大小(告警/阻断阈值) |
当允许文件上传操作时,可以配置告警阈值a和阻断阈值b,对上传的文件大小进行控制。 |
告警/阻断 |
|
文件下载大小(告警/阻断阈值) |
当允许文件下载操作时,可以配置告警阈值a和阻断阈值b,对下载的文件大小进行控制。 |
||
IM行为 |
QQ登录 |
可配置QQ账号的黑白名单以及缺省动作,来对QQ登录行为进行控制。 黑白名单和缺省动作的优先级关系为:白名单> 黑名单> 缺省动作。 |
允许/禁止 |
典型场景
http应用行为控制
允许用户浏览网页,但是不允许传输文件
允许用户浏览网页,但是不允许外发内容
禁止用户使用http代理
控制post外发内容控制(包括内容大小控制)
上传、下载文件控制(包括文件大小控制)
ftp应用行为控制
允许用户访问外部的ftp服务器,但是只允许下载,不允许上传文件
上传下载文件控制(包括文件大小控制)
删除文件控制