Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

在 Session Smart 路由器上配置应用程序策略

应用程序策略是瞻博网络 WAN 保证设计中的安全策略,您可以在其中定义哪些网络和用户可以访问哪些应用程序,以及根据哪种流量定向策略。要定义应用程序策略,必须创建网络、应用程序和流量定向配置文件。然后,将这些详细信息用作匹配标准,以允许访问应用程序或目标或阻止访问应用程序或目标。

在瞻博网络 Mist™ 云门户中, 网络或用户 设置确定源区域。 “应用程序 + 流量定向 ”设置确定目标区域。

有关瞻博网络® Session Smart™ 路由器上的应用程序策略的说明:

  • 您可以通过三种方式之一定义应用程序策略:在组织级别、在 WAN 边缘模板内或中心配置文件中。

  • 在组织级别定义应用程序策略时,可以在多个 WAN 边缘模板或中心配置文件中导入并使用该策略。也就是说,您可以遵循“定义一次,多次使用”模型。

  • 直接在 WAN 边缘或中心配置文件中定义应用程序策略时,策略的范围仅限于该 WAN 边缘模板或中心配置文件。您不能在其他模板或配置文件中重复使用该策略。

  • Mist 会根据策略列表中出现的顺序评估和应用策略。

配置应用程序策略

要配置应用程序策略:

  1. 在瞻博网络 Mist 云门户中,选择组织> WAN >应用程序策略,以在组织级别创建策略。
    如果要在 WAN 边缘模板或中心配置文件级别创建策略,请选择 “组织 > WAN > WAN 边缘模板 ”或 “中心配置文件 ”,然后选择所需的模板或配置文件
  2. 向下滚动到应用程序策略部分,然后单击添加应用程序策略按钮。
    注意:

    您可以通过单击“ 导入应用程序 策略”选项将全局策略导入 WAN Edge 模板或中心配置文件。

    瞻博网络 Mist 云门户以灰色显示导入的策略,以便与模板/配置文件中定义的本地策略区分开来。
  3. 单击 Name 列下的新字段并为策略命名,然后单击蓝色复选标记以应用更改。

    图 1 显示了配置应用程序策略时可用的选项。

    图 1:应用程序策略配置选项 Application Policy Configuration Options
    表 1 介绍了可用于应用程序策略的配置选项。
    表 1:应用程序策略选项
    字段 说明
    不。

    编号的缩写。此条目表示应用程序策略的位置。Mist 会根据其位置(即这些策略在此字段中列出的顺序)评估和应用策略。

    对于 Session Smart 路由器,策略顺序并不重要。作为一种良好做法,您可以将全局策略放在策略列表的末尾。
    名字 应用程序策略的名称。最多可使用 32 个字符来命名应用程序,包括字母数字、下划线和破折号。
    网络/用户

    网络的网络和用户。网络是网络中请求的来源。您可以从可用的网络列表中选择一个网络。如果已将用户关联到网络,则 Mist 门户在下拉菜单中将详细信息显示为 user.network 格式。
    行动

    策略操作。选择以下策略操作之一:

    • 允许
    应用程序/目标 目标端点。应用程序确定策略中使用的目标您可以从已定义的应用程序列表中选择应用程序。
    IDP

    (可选)入侵检测和防御 (IDP) 配置文件。选择一个 IDP 配置文件:

    • 标准 — 标准配置文件是默认配置文件,表示瞻博网络推荐的一组 IDP 签名和规则。操作包括:

      关闭客户端和服务器 TCP 连接。

      丢弃当前数据包和所有后续数据包

    • 严格 — 严格配置文件包含一组与标准配置文件类似的 IDP 签名和规则。但是,当系统检测到攻击时,配置文件会主动阻止网络中检测到的任何恶意流量或其他攻击。

    • 警报

      —警报配置文件仅生成警报,不采取任何其他操作。警报配置文件仅适用于低严重程度的攻击。IDP 签名和规则与标准配置文件中相同。
    • — 未应用 IDP 配置文件。

    应用程序策略中应用的 IDP 配置文件会执行流量检查,以检测并防止对允许的流量的入侵。
    流量定向

    流量定向配置文件。流量定向配置文件定义一个或多个流量路径。

    将策略部署到 WAN 边缘辐射型设备或中枢设备需要引导配置文件。
    注意:

    No.(订单号)和流量定向字段不可用于组织级别应用程序策略。直接在 WAN 边缘或中心配置文件中定义应用程序策略时,需要指定订单号和流量定向选项。
  4. 根据表 2 中提供的详细信息完成配置。
    表 2:应用程序策略示例
    不。 策略名称 网络/用户 应用程序/目标 操作
    1 辐射状到 Hub-DMZ 辐射型 LAN1 HUB1-LAN1 和 HUB2-LAN1 允许
    2 辐射状到辐射状-via-hub 辐射型 LAN1 辐射型 LAN1 允许
    3 中心-DMZ-辐射型 HUB1-LAN1 和 HUB2-LAN1 辐射型 LAN1 允许
    4 通过 Hub-CBO 的互联网 辐射型 LAN1 任何 允许
  5. 单击“保存”。

    图 2 显示了新创建的应用程序策略列表。

    图 2:应用程序策略摘要 Application Policies Summary

重新订购和删除应用程序策略

通过对应用程序策略进行重新订购,您可以在创建策略后四处移动这些策略。

Mist 会根据策略列表中出现的顺序评估策略并执行策略,您应该注意以下几点:

  • 策略顺序很重要。由于策略评估从列表顶部开始

  • 新策略将转到策略列表的末尾。

选择一个策略,然后使用上箭头或下箭头更改顺序。您可以随时更改策略顺序。

图 3:更改策略顺序 Changing Policy Order

要删除应用程序策略,请选择要删除的应用程序策略,然后单击“ 删除 ”(显示在窗格右上角)。

在网络和应用程序中使用相同的 IP 地址/前缀

在应用程序策略配置中, 网络/用户 属于源区域, 应用程序/目标 属于目标区域。

当您为不同目的定义网络和前缀时,可以为网络和应用程序使用相同的 IP 地址和前缀:也就是说,它们充当一个策略中的源,另一个策略中的目标

考虑 图 4 中的策略。

图 4:应用程序策略详细信息 Application Policies Details

在这里,您有一个 网络/用户 SPOKE-LAN1,其 IP 地址为辐射型 LAN 接口的 IP 地址为 192.168.200.0/24。屏幕截图显示,以下策略以不同的方式使用相同的网络:

  • 辐射状到辐射状-通过中心 — 此策略允许通过中心进行入站和出站分支到辐射型流量。在这里,我们定义为 SPOKE-LAN1 网络和应用程序

  • 辐射状到中心 DMZ — 此策略允许辐射到中心流量。我们在这里定义为 SPOKE-LAN1 一个网络

  • 中心-DMZ-辐射状 — 此策略允许中心到辐射状流量。在这里,我们定义为 SPOKE-LAN1 一个应用程序

另请参阅