在安全策略中引用应用和应用组

业务感知技术

防火墙采用业务感知技术来精确识别应用。既然传统的端口识别技术只检测报文五元组信息，不能识别应用，那业务感知技术就费点力，继续检测报文的应用层数据。不同的应用软件发出的流量自有其特征，这些特征可能是特定的命令字或者特定的比特序列。这些特征就相当于应用软件的“指纹”，只要我们提取到了能够唯一确认各种应用软件的指纹，建立一个指纹库，就可以用来跟流量进行比对。

华为安全能力中心采用业务感知技术，分析并提取大量互联网应用的流量特征，形成了超过6000多种应用的特征库，分为5个大类，57个小类。你可以访问华为安全中心网站，在应用百科中查询当前的应用识别能力。在应用百科中，可以按照类别、子类别、标签、数据传输方式和风险级别筛选应用，也可以直接输入应用名称搜索。针对每一个应用，应用识别特征库还提供了多维度的描述信息，可以帮助你制定有针对性的管控策略。

预定义应用和应用组

应用识别特征库加载到防火墙上，即为预定义应用。互联网上新的应用层出不穷，已有应用的特征也会发生变化，所以必须定期升级应用识别特征库，才能够保证更好的识别效果。

应用组是应用的集合，是为了管理方便而引入的概念。你可以为具有相同访问策略的应用创建一个应用组，并在安全策略中引用。以创建一个“网盘”应用组为例，你可以选择基于列表添加应用，或者基于树结构添加应用。

图3-4 新建应用组

（1）基于列表添加应用

调出的界面类似于应用界面，你可以根据类别、子类别、标签、数据传输方式和风险级别筛选应用，也可以直接输入应用名称来模糊查询。

图3-5 基于列表添加应用

（2）基于树结构添加应用

树结构是一种新的应用组织形式。你可以直接按照应用类别和子类别的树形结构选择应用；你也可以先按照标签/软件筛选出一类应用，再使用模糊搜索。

图3-6 基于树结构添加应用

在安全策略中引用一组应用

在安全策略中引用一组应用是常规操作，你可以根据应用类别、子类别、标签、软件、自定义的应用组来选择应用，其操作界面和操作方法与基于树结构向应用组中添加应用类似。唯一不同的是，在安全策略中，你可以直接选择已经创建的应用组。

在安全策略中引用单个应用

在安全策略中引用单个应用时，需要考虑该应用的依赖应用和关联应用。

依赖应用是应用的底层应用，相应地，该应用为其依赖应用的上层应用。在应用识别过程中，防火墙首先识别出依赖应用，然后才能识别出上层应用。在安全策略检查过程中，防火墙首先根据依赖应用查找安全策略。仅当依赖应用匹配的安全策略动作为允许时，才会继续识别上层应用、根据上层应用查找安全策略。因此，当需要放行某个应用时，需要同步放行该应用的依赖应用。

关联应用是与该应用具有关联关系的其他应用，通常为同一个公司开发的多款相近应用。他们具有相近的流量特征，当需要阻断某个应用时，需要在安全策略中同步阻断关联应用，以确保该应用被完全阻断。

在安全策略中引用单个应用时，依赖应用和关联应用的同步配置要求如表3-4所示，请关注防火墙提供的提示信息。

下面以“允许访问百度网盘，并执行反病毒检查和文件过滤”为例，展示防火墙的提示信息和配置界面。在安全策略中，设置应用为“百度网盘”，动作为“允许”，反病毒和文件过滤配置文件选择缺省配置文件“default”。在配置下发的时候，防火墙会校验配置，并提示你选择依赖应用。

图3-7 选择依赖应用的提示信息

单击提示信息中的“配置”链接，可以看到百度网盘的依赖应用包括HTTP、HTTPS、SSL，如图3-8所示。选择所有依赖应用，安全策略配置可以正常下发。

图3-8 选择依赖应用

策略未决

在安全策略中引用了应用以后，流量需要发送给内容安全引擎进行应用识别。防火墙需要获取多个报文才能识别出应用。因此，在应用识别完成之前，防火墙不能确定命中的安全策略，即处于策略未决状态。防火墙会先根据首包匹配安全策略中应用以外的条件（主要是五元组），暂时放行流量并建立一条会话，其中应用信息保留为空。在应用识别完成后，重新匹配安全策略，并刷新会话信息。