【简介】飞塔防火墙5.6版本,可以通过策略直接使用应用控制功能。

  启用下一代防火墙模式

下一代防火墙(NGFW)模式只能是基于流的检测模式下使用。

① 选择菜单【系统管理】-【设定】,在〖System Operation Settings〗下选择检测模式为【基于流的】,NGFW模式为【基于策略】,SSL/SSH检测下拉选择【certificate-inspection】。

  建立禁止使用百度的策略

NGFW模式将应用控制与策略绑定,这里我们禁止使用百度的所有功能。

① 选择菜单【策略&对象】-【IPv4策略】,新建一条上网策略,这时可以看到,和原来的策略相比,多出了〖应用〗和〖URL类别〗两项选择,在应用选项下〖应用程序〗里,我们输入baidu,找到所有关于百度的应用签名。

② 选择所有的百度签名后,我们将动作选择为【拒绝】,并启用【记录拒绝流量】。

③ 新建立的拒绝策略按顺序排在最下面,我们需要把拒绝策略放在允许上网策略的最上面。鼠标按住策略最前面数字,拖动鼠标,可以调整策略顺序。

④ 将策略2拖到策略1上方,顺序调整完成,我们可以看到,原有的上网策略NAT显示自定义,而且网络都断开了。

  建立中央SNAT

中映SNAT是定义源NAT的另一种方法,这使得网络地址转换在控制IP地址、协议和端口转换方面具有更大的粒度。

① 选择菜单【系统管理】-【中央SNAT】,象建立上网策略一样,输入上网策略的正常参数,启用【启用NAT】。

② 中央SNAT建立完成。需要注意的是,看上去和上网策略设置有些相同,但这里只是设置NAT,原来的上网策略仍然有效,只是NAT转到这里了。

  效果测试

配置完成后,我们可以测试一下应用控制的效果。由于除了百度自己的网站,还有很多和其它网站的链接,所以我们测试最主要的,那就是百度官网和搜索。

① 用浏览器打开 www.baidu.com 网站,一直没有反应。在基于流模式下,象这样的类似Web过滤的情况下,都不会出现反馈提示。

② 再试一下百度的其它功能,比如百度地图。

③ 出现了应用被防火墙阻止的提示,说明防火墙的应用控制起了作用,通过Baidu.Services签名,在流量中找到并阻止了百度地图的使用。

④ 选择菜单【日志&报表】-【转发流量】,可以看到Baidu.Services被UTM阻断的日志。

  FortiCloud报告

如果有配置FortiCloud,我们可以在FortiCloud查看百度被阻止的情况。

① 选择菜单【日志&报表】-【日志设置】,可以启用【发送日志FortiCloud】,FortiCloud可以申请和购买。

② 选择菜单【日志&报表】-【FortiCloud报告】,点击【登录Portal】。

③ 在FortiCloud,首先选择【FortiView】,然后选择菜单【Traffic Analysis】- 【Application】,可以看到最后60分钟内的应用,双击baidu.services。

④ 显示有哪些IP使用了这个应用,双击指定IP。

⑤ 就可以看到百度被阻止的详细记录了。

​​​​​​​飞塔技术-老梅子   QQ:57389522

【控制篇 / 应用】(5.6) ❀ 01. NGFW 模式下使用应用控制 ❀ FortiGate 防火墙相关推荐

  1. 【控制篇 / 流量】(5.2) ❀ 03. 对每个 IP 进行限速 ❀ FortiGate 防火墙

    [简介]在大型企业中人员比较多而带宽又不太够的情况下,需要对上网进行限速,但是领导的速你不能限吧,在限制员工上网的速度同时又要保证领导上网的速度,这就需要用到针对每个IP限速了.   地址对象 我们需 ...

  2. VIM - 01. 标准模式 - 下简单操作

    1. 概述 标准模式下, 简单操作 移动 删除 复制粘贴 收益 熟练后, 编辑文本基本不需要鼠标操作了 思路 只讲最基本的, 避免初学时的混淆 把基本操作归类了, 方便理解 2. 准备 一篇篇幅较长的 ...

  3. 【控制篇 / 流量】(5.4) ❀ 01. 限制下载和上传网速 ❀ FortiGate 防火墙

    [简介]当带宽有限,而上网的人比较多的时候,就需要对带宽的使用加以限制.飞塔防火墙可以制定不同的流量整形,允许不同的IP使用不同的带宽流量.   什么是带宽 在单位时间内从网络中的某一点到另一点所能通 ...

  4. 【交换篇】(6.4) ❀ 01. HA 状态下的核心交换机连接方法 (上) ❀ FortiSwitch 交换机

    [简介]FortiSwtich大多是二层交换机,那么在防火墙HA的环境下,FortiSwitch二层交换机是不是也能做到象其它三层交换机堆叠功能那样,保证两台核心交换机始终有一台能正常工作呢?   网 ...

  5. Android开发笔记(一百六十)休眠模式下的定时器控制

    定时器AlarmManager常常用于需要周期性处理的场合,比如闹钟提醒.任务轮询等等.并且定时器来源于系统服务,即使App已经不在运行了,也能收到定时器发出的广播而被唤醒.似此回光返照的神技,便遭到 ...

  6. OPCDA通信--工作在透明模式下的CISCO ASA 5506-X防火墙配置

    inside OPCSERVER 一台 outside OPCCLIENT 一台 route模式 配置没成功,放弃,采用透明模式 !----进入全局配置-- configure terminal !- ...

  7. 【接口篇 / Wan】(7.0) ❀ 03. 配置固定 IP 宽带上网 ❀ FortiGate 防火墙

    绝大多数企业都会使用固定IP宽带,优点很明显:网速稳定,上行带宽比较大,适合映射服务器到公网,连接VPN等等.而且通常运营商会给你多个公网IP地址,这个是ADSL拨号宽带没法比的.  配置使用固定IP ...

  8. 【隧道篇 / IPsec】(5.6) ❀ 02. IPsec 对宽带的要求 ❀ FortiGate 防火墙

    [简介]VPN与宽带有关系吗?答案是有的,在飞塔防火墙,不同的宽带VPN的连接设置是不同的.   宽带运营商 我们常用的宽带接入,有电信.移动.联通三家运营商. 我们国家从上世纪末就开展了八纵八横光纤 ...

  9. ELMO驱动器用arm板子控制,并工作在 PVT(position-velocity-time)模式

    Elmo驱动器 SimplIQ系列可以结合编码器信息,以多种模式控制伺服电机,常用的模式有速度控制模式,力矩控制模式,微步控制模式.实验室使用的场景基本就是速度模式控制伺服电机的旋转,对于四轮独立驱动 ...

最新文章

  1. 解决CSDN免登陆复制问题
  2. 汇编语言程序设计-钱晓捷(第五版)第三章-汇编语言程序格式
  3. FFPlay命令入门教程
  4. rplidar适配说明
  5. pdfminer识别pdf无法识别问题
  6. 计算机图形点阵表示实例,[计算机图形学的应用实例计算机图形作业).doc
  7. GitHub 上这份计算机自学指南火了~
  8. 基于Android汽车违章查询app系统
  9. 输入汉语星期几输出英文c语言程序,C根据英文星期获取对应汉字或数字的星期函数(1)...
  10. PMP 易错题汇总(二)
  11. vim常用插件安装及使用
  12. 学习认识使用大数据数据采集工具
  13. Elasticsearch:运用 Java 创建索引并写入数据
  14. 中国15家外卖O2O大盘点-2014
  15. 7-ZIP压缩软件设置文件关联及设置密码
  16. DFMEA之严重度/频度/探测度/风险优先系数
  17. 远程桌面连接出错解决方案
  18. 基于HttpClient接口开发实例(一)
  19. VMware Pro v14.1.1 官方版本及激活密钥(转载)
  20. 29.【C语言】进制转换:10转16、10转2、2转10、16转10(Demo)

热门文章

  1. mongodb php auth,mongodb 3.0改变了authMechanism
  2. 微信公众平台开发-入门教程
  3. 微信公众号 php sdk,GitHub - yuanchenglu/wechat-php-sdk: 微信公众平台 PHP SDK
  4. OCL(对象约束语言)简易教程
  5. 怎么做二维码?二维码制作的简单方法
  6. 线性代数(预备知识)
  7. Unity3D|Animation:动画位置与对象位置不一致如何改正
  8. ccf公共钥匙盒python_CCF/CSP 公共钥匙盒
  9. Sitecore 8.2 防火墙规则的权威指南
  10. HEG安装教程以及闪退问题解决