应用联网控制_过程控制的应用

在这节课中，你将学习如何监视和控制可能使用标准或非标准协议和端口的网络应用程序——除了简单地阻断或允许协议、端口号或IP地址之外。

在这节课中，你将探讨以下主题：

应用程序控制基础知识
应用程序控制配置
记录和监视应用程序控制事件
最佳实践和故障排查

在完成本节之后，你应该能够：

理解应用程序控制
检测应用程序控制类型
了解FortiGuard应用程序控制服务数据库
使用应用程序控制签名

　　通过展示应用程序控制基础的能力，你将能够理解应用程序控制在FortiGate上的工作方式。

应用程序控制检测应用程序——通常是消耗大量带宽的应用程序——并允许你采取与应用程序流量相关的适当操作，比如监控、阻止或应用流量整形。

　　应用程序控制通过将已知的模式与应用程序的传输模式相匹配来识别应用程序，比如Google Talk。因此，只有在其传输模式是唯一的情况下，才可以准确地识别应用程序。然而，并不是每个应用程序都以一种独特的方式运行。许多应用程序重用已经存在的、标准的协议和通信方法。例如，许多视频游戏，如魔兽世界，使用BitTorrent协议分发游戏补丁。

　　应用程序控制可以在基于代理和基于流的虚拟域中进行配置。然而，由于应用程序控制使用的是IPS引擎，它使用基于流的检查，所以检查总是基于流的。相比之下，当通过HTTP代理应用web过滤和抗病毒时，代理首先解析HTTP并删除协议，然后只扫描内部的有效负载。

　　为什么FortiGate使用基于流的扫描来进行应用程序控制？

　　不像其他形式的安全配置文件，如web过滤或反病毒，应用程序控制不是由代理应用的。它使用一个IPS引擎来分析网络流量和检测应用程序流量，即使应用程序使用的是标准的或非标准的协议和端口。它不使用内置的协议状态来操作。它匹配数据包的整个字节流中的模式，然后寻找模式。

当HTTP和其他协议被设计时，它们被设计为易于跟踪。正因为如此，管理员可以轻松地访问NAT设备背后的单个服务器，比如路由器，以及后来的防火墙。

　　但是，当P2P应用程序被设计时，他们必须能够在没有帮助的情况下工作，或者从网络管理员那里进行合作。为了实现这一点，设计师们让P2P应用程序能够绕过防火墙，而且难以察觉。端口随机化、针孔和更改加密模式是P2P协议使用的一些技术。

　　这些技术使得P2P应用程序很难使用防火墙策略来阻止，并且使它们很难通过基于代理的检查来检测。

　　使用IPS引擎的基于流的检查可以分析数据包的模式匹配，然后寻找用于检测P2P应用程序的模式。

这张幻灯片展示了传统的客户端——服务器架构。可能有很多流行站点的客户端，但是通常，比如使用office文件服务器，它只是一个客户端和一个服务器。

　　传统的下载使用一个定义的协议，而不是标准的端口号。无论是来自web还是FTP站点，下载都是从一个IP地址到一个IP地址。因此，阻止这种通信量很容易：你只需要一个防火墙策略。

　　但对于点对点的下载来说，这是比较困难的。为什么?

P2P下载将每个文件划分为多个（理论上是无限的）对等体。每一个对等体都提供了文件的一部分。虽然在客户端——服务器架构中有许多客户端是一个缺点，但它是P2P体系结构的一个优势，因为随着对等节点的数量增加到n，文件的传输速度要快n倍。

　　因为受欢迎程度提高了交付的速度——不像传统的客户端-服务器架构，受欢迎程度可以有效地导致对服务器的服务攻击——一些软件，比如Linux的bt分发版，以及发布新补丁的游戏，利用了这种优势。即使每个客户端都没有带宽，他们也可以为下载提供比许多功能强大的服务器更多的带宽。

　　相反，为了下载文件，请求对等体每秒可以消耗更多的带宽，而不是只使用单个服务器。即使你的网络中只有一个对等体，它也可以消耗异常大量的带宽。由于协议通常是回避的，而且会有许多会话给许多对等体，所以很难完全阻止它们。

在你尝试控制应用程序之前，了解应用程序控制使用的签名是很重要的。

　　应用程序控制如何检测最新的应用程序和对应用程序协议进行更改？

　　应用程序控制现在是一个免费的FortiGuard服务，应用程序控制签名的数据库与IPS数据库是分开的。你可以配置你的FortiGate，以自动更新其在FortiGuard页面上的应用程序控制签名数据库。应用程序控制签名数据库信息也会显示在FortiGuard上。你还可以启用推送更新，以便在FortiGuard服务器可用时，FortiGate会收到更新。

你可以在FortiGuard网站http://www.fortiguard.com上查看应用程序控制数据库的最新版本，也可以在应用程序控制配置文件中单击单个应用程序签名。

　　应用程序控制数据库提供了基于类别、流行度和风险的应用程序控制签名的详细信息。

　　在构建应用程序控制签名时，FortiGuard安全研究团队评估应用程序并分配一个风险级别。所分配的风险等级是基于安全风险的类型。评分是特定于Fortinet的，与普通的漏洞评分系统（CVSS）或其他外部系统无关。如果你没有意识到具体的应用程序，那么这些信息可以帮助你决定是否明智地屏蔽应用程序。

　　在FortiGuard网站上，你可以阅读有关每个签名相关应用的详细信息。让我们来看一个例子。

　　在这张幻灯片上，您可以看到一个用于超声9.6+的示例文章。超声9.6+是一个web代理，因此它属于代理类别。创建测试策略是一种很好的实践，你可以使用它来观察策略行为。

　　如果你需要控制新的应用程序，并且最新的更新不包括对它们的定义，你可以到FortiGuard网站，并提交一个请求来添加新的应用程序。如果你认为应用程序应该属于一个不同的类别，那么你还可以提交一个请求来重新评估一个应用程序类别。

许多web应用程序提供的功能可以嵌入到第三方网站或应用程序中。例如，你可以在文章的结尾嵌入一个 “Facebook喜欢”的按钮，或者在一个教育网站上引用YouTube视频。FortiOS为管理员提供了检查子应用程序流量所需的所有工具。FortiGuard应用控制签名数据库是按层次结构组织的。这使你够更细粒度地检查流量。你可以屏蔽Facebook的应用程序，同时允许用户使用Facebook聊天进行协作。

小测验。

你现在了解了基本的应用程序控制功能。接下来，你将了解应用程序控制配置。

在完成本节之后，你应该能够：

在配置文件模式下配置应用程序控制
下一代防火墙（NGFW）策略模式中配置应用程序控制
使用应用程序控制流量整形策略

　　通过展示在FortiOS上的应用程序控制操作模式的能力，你将能够在配置文件模式和NGFW策略模式中有效地使用应用程序控制。

当FortiGate或VDOM以基于流的（NGFW模式设置为基于配置文件）检查模式或基于代理的检查模式时，为了配置应用程序控制，管理员必须创建一个应用程序控制配置文件，并将该配置文件应用到防火墙策略中。

　　值得注意的是，应用程序控制配置文件使用基于流的扫描技术，而不管在VDOM或FortiGate上使用哪种检查模式。

　　应用程序控制配置文件由三种不同类型的过滤器组成：

Categories：基于相似性的组应用程序。例如，所有能够提供远程访问的应用程序都被分组到Remote Access类别中。你可以查看一个类别中所有应用程序的签名，或者将一个动作应用到一个类别中。
Application overrides：提供控制特定签名和应用程序的灵活性。
Filter overrides：当一个预定义的类别不满足您的需求时，您想要根据类别中不可用的标准来阻止所有的应用程序。你可以根据行为、流行程度、协议、风险、供应商或应用程序使用的技术来配置应用程序的分类，并基于此采取行动。

应用程序控制配置文件是在Application Control页面上配置的。你可以根据类别、应用程序覆盖和过滤覆盖来配置动作。你还可以通过单击View Application Signatures来查看应用程序控制签名列表。

　　在Application Control配置页面的顶部，你将看到一个关于有多少云应用程序需要深入检查的摘要。使用SSL加密的云应用程序不能在没有深度检查的情况下进行扫描。为了执行检查和控制应用程序的流量，FortiGate需要对流量进行解密。

　　Unknown Applications匹配无法与任何应用程序控制签名匹配的流量，并将流量标识为日志中未知的应用程序。导致流量被确定为未知应用的因素包括：

您的用户使用了多少种罕见的应用程序
您正在使用哪种IPS数据库版本

　　识别未知的流量会导致频繁的日志记录。频繁的日志记录会降低性能。

在云符号的右边列出的数字表示一个指定类别内的云应用程序的数量。

　　如果你需要启用Allow and Log DNS Traffic，你应该只在短时间内启用它，例如在调查期间。根据应用程序和它查询DNS服务器的频率，启用这个设置会使用重要的系统资源。

　　QUIC是来自谷歌的协议。它不使用标准的TCP连接来进行web访问，而是使用UDP，而不是通过web过滤扫描。允许QUIC指导FortiGate检查Google Chrome的数据包，以获得一个QUIC的标题，并生成日志作为一个QUIC 消息。阻止QUIC迫使Google Chrome使用HTTP2/TLS1.2和FortiGate来记录QUIC被阻止。QUIC的默认动作是 Block。

　　基于Replacement Messages for HTTP-based Applications 设置允许你用说明（为用户的利益）替换被阻止的内容。但是，对于非HTTP/HTTPs应用程序，你只能删除数据包或重置TCP连接。

　　在配置了应用程序控制配置文件之后，请选择防火墙策略中的配置文件。与其他安全配置文件一样，您在应用程序控制配置文件中配置的设置也不会在全局范围内应用。FortiGate将应用程序控制配置文件设置应用于您选择应用程序控制配置文件的防火墙策略所控制的流量。这允许细粒度控制。

IPS引擎检查了一个签名匹配的流量。

　　然后，FortiGate按顺序扫描数据包中的匹配项，以查找应用程序控制配置文件：

Application Overrides:如果您已经配置了Application Overrides，那么应用程序控制配置文件首先考虑这些。它寻找一个匹配的覆盖，从列表的顶部开始，就像防火墙策略一样。
Filter Overrides:如果没有匹配的应用程序覆盖，那么应用程序控制配置文件将基于配置的Filter Overrides应用该操作。
Categories:最后，应用程序控制配置文件应用您在选定的Categories中为应用程序配置的操作。

　　同样值得注意的是，不能创建相同签名的多重覆盖

在这张幻灯片上的示例配置文件中，应用程序控制配置文件阻止了Game和 Video/Audio类别。对于这些类别中的应用程序，FortiGate响应应用程序控制的HTTP阻止消息。（它与web过滤的HTTP阻止消息略有不同）。除了Unknown Applications，所有其他类别都将被设置为Monitor，并且允许通过流量。

　　在 Application Overrides 部分，你可以看到指定了一些例外情况。而不是被设置成阻止， Battle.Net (Game) 和Dailymotion (Video/Audio) 被设置为 Monitor.因为应用程序覆盖首先在扫描中应用，所以这两个应用程序将被允许，并且将生成日志。

　　接下来，扫描将检查Filter Overrides。因为过滤器覆盖被配置为阻止使用过多带宽的应用程序，它将阻止所有使用过多带宽的应用程序，而不考虑允许这些应用程序的类别。

　　这里有一个例子，说明了几个安全配置文件特性可以在相同的流量中协同工作、重叠或作为替代品。

　　在应用程序控制配置文件扫描完成之后，FortiGate开始其他的扫描，例如web过滤。网络过滤扫描可以阻止Battle.Net 和Dailymotion,但它会使用自己的阻止消息。另外，web过滤不会检查应用程序控制覆盖列表。因此，即使应用程序控制覆盖允许应用程序，web过滤仍然可以阻止它。

　　类似地，静态URL过滤有它自己的豁免操作，它绕过了所有后续的安全检查。然而，应用程序控制发生在web 过滤之前，因此web过滤豁免不能绕过应用程序控制。

于应用程序控制配置文件中的每个过滤器，你必须指出一个动作——当流量匹配时，FortiGate会做什么。行动包括以下内容：

Allow：允许流量通过但不记录日志
Monitor：允许流量，但也生成一条日志消息。
Block：删除已检测到的流量并生成一条日志消息。
Quarantine：阻止攻击者IP的流量，直到到达过期时间为止。它还生成一条日志消息。

　　View Signature设置允许你只查看特定类别的签名，而不是一个可配置的动作。 View Cloud Signatures设置允许你从一个特定的类别查看应用程序签名。

　　哪一个是正确的选择？

　　如果你不确定要选择哪一个动作，那么在你研究你的网络时，Monitor最初可能是有用的。稍后，在你研究了你的网络流量之后，你可以通过选择最合适的操作来调整筛选器的选择。你所选择的操作也依赖于应用程序。如果应用程序需要反馈来防止不稳定或其他不需要的行为，那么你可以选择quarantine而不是block。否则，最有效地使用FortiGate资源就是要阻止。

在配置了应用程序控制配置文件之后，必须将其应用于防火墙策略。这将指示FortiGate开始扫描受防火墙策略影响的应用程序流量。

对于基于HTTP的应用程序，应用程序控制可以向用户提供关于为什么他们的应用程序被阻止的反馈。这被称为阻止页面，它类似于您可以配置的URL，你可以使用FortiGuard web过滤来阻止它。

　　还值得一提的是，如果防火墙策略中启用了深度检查，所有基于HTTP的应用程序都将提供这个阻止页面。

　　阻止页面包含以下信息：

检测到应用程序的签名（在本例中是BitTorrent）
签名的类别(P2P)
被特别屏蔽的URL（在本例中是bittorrent.com的索引页），因为一个web页面可以从多个URL组装
客户端的源IP（10.0.1.10）
服务器的目的IP
用户名（如果启用了身份验证）
管理流量的策略的UUID
FortiGate的主机名

　　这个列表中的最后两个条目可以帮助你识别哪个FortiGate阻止了页面，即使你有一个大型的网络，有许多FortiGate的设备保护不同的部分。

当FortiGate在NGFW策略模式下运行时，管理员可以直接将应用程序控制应用到防火墙策略中，而不是先创建一个应用程序控制配置文件，然后将其应用到防火墙策略中。消除了使用应用程序控制配置文件的需要，使得管理员可以更容易地选择他们希望在防火墙策略中允许或拒绝的应用程序或应用程序类别。

　　需要注意的是，NGFW策略模式下VDOM或FortiGate中的所有防火墙策略都必须使用相同的SSL/SSH检查配置文件。NGFW基于策略的模式还需要使用中央SNAT，而不是在防火墙策略中应用NAT设置。

你可以在Application部分的防火墙策略中选择一个或多个应用程序、应用程序组和应用程序类别。在你点击应用程序的+图标之后，FortiOS将打开一个弹出窗口，你可以使用它来搜索和选择一个或多个应用程序签名、应用程序组或应用程序类别。基于应用程序、组和应用程序类别应用于策略，FortiOS将应用防火墙动作到应用程序流量中。

　　你可以在相同的防火墙策略中配置URL Category，但是，添加一个URL过滤器将导致应用程序控制只在基于浏览器的技术类别中扫描应用程序。例如，Facebook 网站上的Facebook Messenger。

　　你还可以配置具有多个应用程序和应用程序类别的Group ，这将允许管理员混合多个应用程序和类别。

　　除了应用一个URL类别过滤器之外，你还可以将AntiVirus、DNS Filter和IPS安全配置文件应用到允许通过的应用程序流量中。

FortiOS使用一个三步过程来执行NGFW基于策略的应用程序过滤。以下是对每一步所发生的事情的简要概述：

　　在步骤1中，FortiOS将允许所有的流量，同时将数据包转发到IPS引擎，以检查和识别流量。与此同时，FortiOS将在会话表中创建一个入口，以供流量通过，并为它添加一个may_dirty的标记。

　　在步骤2中，一旦IPS引擎识别出应用程序，它就会用下面的信息来更新会话条目，包括dirty标志、valid_app标志和应用程序id。

　　在步骤3中，FortiOS内核再次执行防火墙策略查找，以查看已确定的应用程序id是否在任何发现有防火墙策略中列出。这一次，内核同时使用了第4层和第7层信息来进行策略匹配。在与防火墙策略规则相匹配之后， FortiOS内核将在防火墙策略上配置的动作应用到应用程序流量中。

在NGFW策略模式中配置应用程序控制非常简单。你可以创建一个新的防火墙策略或者编辑一个现有的防火墙策略。在Application部分中，选择你想要允许或拒绝的应用程序、类别或组，并相应地更改防火墙策略 Action 。在你选择允许的应用程序中，你可以通过启用AV扫描、DNS过滤和IPS控制进一步增强网络安全性。你还可以启用Security Events或All Sessions的日志记录，以确保记录所有应用程序控制事件。

在NGFW的策略模式下，你必须有一个匹配的中央SNAT策略，以便能够通过流量。NAT是基于中央SNAT策略中定义的标准应用于流量。

　　安排防火墙策略是非常重要的，这样更具体的策略就位于顶部，以确保正确使用应用程序控制。

　　注意：SSH/SSL Inspection部分是灰色的，因为当NGFW策略模式启用时，它是在VDOM级别选择的。

NGFW策略匹配使用上到下的方法。你必须有一个具体的策略，高于一个更广泛的策略。举个例子，如果你想屏蔽Facebook，但允许Social.Media类别，你必须把阻止Facebook流量的策略置于允许Social.Media类别的策略之上。

如果一个应用程序是必需的，但是你需要防止它影响带宽，那么您可以将一个速率限制应用到应用程序中，而不是完全阻止它。例如，你可以对用于存储或备份的限制应用程序进行评级，为更敏感的流媒体应用程序留出足够的带宽，比如视频会议。

　　当你试图限制使用相同TCP或UDP端口号作为关键任务应用程序的流量时，将流量整形应用于应用程序是非常有用的。一些高流量的网站，比如YouTube，可以通过这种方式被限流。

　　检查节流如何工作的细节。并不是所有对www.youtube.com的URL请求都是用于视频的。你的浏览器会发出几个HTTPS请求：

网页本身
图像
脚本和样式表
视频

　　所有这些条目都有单独的URL。如果你分析一个像YouTube这样的网站，网页本身就不会占用太多的带宽；它是使用最多带宽的视频内容。但是，由于所有的内容都是使用相同的协议（HTTPS）传输的，并且URL包含动态生成的字母数字字符串，所以传统的防火墙策略不能通过端口号或协议来阻止或限制流量，因为它们是相同的。使用应用程序控制，你可以只对视频进行限制。这样做可以防止用户在仍然允许他们访问网络带宽的情况下使网络带宽饱和。

你可以通过配置流量整形策略来限制应用程序类别或特定应用程序的带宽。你也可以将流量整形应用到 FortiGuard web过滤类别中。

　　你必须确保匹配的标准与你想要应用整形的防火墙策略相一致。它不需要完全匹配。例如，如果防火墙策略中的源地址被设置为all（0.0.0.0/0.0.0.0），那么流量整形策略中的源地址可以被设置为包含在all中的任何源，例如LOCAL_SUBNET（10.0.1.0/24）。

　　如果在GUI中不可见流量整形策略，你可以在 Feature Visibility 页面启动它。

　　注意，传出的接口通常是出口接口（WAN）。Shared Shaper设置适用于入口-出口的流量，这对于限制上传的带宽是很有用的。反向的Reverse Shaper也是一种共享的工具，但它适用于反向方向的流量（从出口到入口的流量）。这对于限制下载或流媒体的带宽是很有用的，因为它限制了从外部接口到内部接口的带宽。

　　有两种类型的shapers可以从Traffic Shaping Policy 页面进行设置，你可以将它们应用到流量成型策略中：