最近发现很多新上线的CP防火墙配置或测试应用层功能的时候很多策略配置上不是很规范和标准,下面简单的谈谈最佳实践,仅供大家实施或checkup参考。
CP的应用层策略的实现,本例以墙作为proxy服务器为例:
Step1:定义一个四层策略,如下图:
说明:该策略是源为10.133.1.0/24到本机的proxy服务的请求
Step2:在四层策略的Action上给与一个lnline的层,叫APP,如果有多个条策略共享该layer,可以勾选share,如下图:
说明:该策略是四层的策略为proxy的流交给APP和URL过滤去识别和归类
Step3:在APP和URL分类与识别后,再创建一个Content的层,勾选content awareness用于内容识别,如下图:
Step4:添加完成后再在该策略下加一条隐含策略,如果是旁路做chekup建议做Accept
Step5:一定要记得让策略track记录日志,切记开启刀片功能
注:Application Control/URL Filtering/Content awareness要勾选
Step6:至此,一条完整的策略如下:
