Ejemplos de Políticas de Application Control
Puede usar la acción de Application Control Global con otras acciones de Application Control para permitir o bloquear diferentes aplicaciones en base a la hora del día, o en base al nombre del usuario o el grupo de usuarios. Primero, cree acciones de Application Control que bloqueen o permitan diferentes conjuntos de aplicaciones. Luego aplique diferentes acciones de Application Control a diferentes políticas.
Cada uno de los ejemplos habilita acciones de Application Control para un solo tipo de política. Si su configuración incluye otros tipos de políticas, como TCP-UDP o Saliente, puede utilizar los mismos pasos para establecer una configuración de Application Control de dos niveles para esas políticas. Las políticas que en las que debe aplicar una acción de Application Control dependen de qué políticas existen en su configuración y qué aplicaciones desea bloquear. Por ejemplo, si desea bloquear una aplicación y sabe que usa FTP, debe activar la acción de Application Control para la política FTP.
Para crear una excepción para un host remoto, cree una política por nombre de dominio para permitir el dominio. Para más información, consulte Acerca de las Políticas por Nombre de Dominio (FQDN).
Para obtener recomendaciones acerca de qué tipos de políticas configurar para Application Control, consulte Pautas de Políticas para Application Control.
Permitir una aplicación para un grupo de usuarios
Si las acciones de Application Control Global bloquean una aplicación, puede crear una acción de Application Control aparte para permitir la misma aplicación a un departamento o a otro grupo de usuarios. Por ejemplo, si desea bloquear el uso de mensajería instantánea de MSN para la mayoría de los usuarios, pero desea permitir esta aplicación para las personas del departamento de Ventas, puede crear acciones y políticas de Application Control diferentes para obtener este resultado.
Si ya tiene una política de filtrado de paquetes HTTP que se aplica a todos los usuarios, puede utilizar estos pasos para permitir aplicaciones distintas para el departamento de Ventas.
- Configure la acción de Application Control Global para bloquear la mensajería instantánea de MSN, y cualquier otra aplicación que no desee permitir.
- Aplique la acción de Application Control Global a la política de filtrado de paquetes HTTP existente.
- Cree una acción de Application Control nueva para permitir la mensajería instantánea de MSN. Por ejemplo, podría llamar a esta acción Permitir IM. Configure esta acción para usar la acción Global cuando la aplicación no coincida.
- Cree una política HTTP para los usuarios en el departamento de Ventas. Por ejemplo, podría llamar a esta política HTTP Ventas. Para obtener información acerca de cómo crear una política para un grupo de usuarios, consulte Utilizar Usuarios y Grupos en las Políticas.
- Aplique la acción de Application Control Permitir IM a la política HTTP Ventas.
- Habilite la generación de registros para las políticas HTTP y HTTP Ventas.
Debe activar la generación de registros para ver la información acerca de Application Control en los archivos e informes de registro.
En este ejemplo, las políticas HTTP resultantes podrían tener esta apariencia:
Política: HTTP Ventas
Las conexiones HTTP son: Permitida
De: Ventas A: Cualquiera Externa
Application Control: Permitir IM
Política: HTTP
Las conexiones HTTP son: Permitida
De: Cualquiera-De Confianza A: Cualquiera Externa
Application Control: Global
La acción de Application Control Permitir IM aplicada a la política HTTP Ventas actúa como una excepción a la acción de Application Control Global. Los usuarios en el grupo de Ventas pueden usar la mensajería instantánea de MSN, pero no pueden usar ninguna otra aplicación bloqueada por la acción de Application Control Global.
Si esta configuración del dispositivo incluía otras políticas, como Proxy HTTP, TCP-UDP o Saliente, que podrían ser usadas para tráfico de IM, puede repetir los pasos anteriores para establecer una configuración de Application Control de dos niveles para otras políticas.
Bloquear aplicaciones durante los horarios laborales
Puede usar Application Control con políticas para bloquear diferentes aplicaciones según el horario del día. Por ejemplo, es posible que desee bloquear el uso de juegos durante los horarios laborales. Para bloquear aplicaciones durante ciertos horarios, puede usar Application Control con políticas que tengan un cronograma operativo.
Si ya tiene una política Proxy HTTP que no tiene un cronograma de funcionamiento, use estos pasos para agregar una nueva política y acción de Application Control para bloquear aplicaciones durante horas de oficina.
- Configure la acción de Application Control Global para bloquear las aplicaciones que desee bloquear siempre.
- Aplique la acción de Application Control Global a la política Proxy HTTP existente.
- Cree un cronograma llamado Horas de Oficina que defina las horas de oficina. Para obtener más información acerca de los cronogramas, consulte Crear Cronogramas para las Acciones de Firebox.
- Cree una nueva política Proxy HTTP que utilice el cronograma Horas de Oficina que configuró. Por ejemplo, podría denominar a la nueva política Proxy-HTTP-Oficina. Para obtener más información acerca de cómo definir un cronograma para una política, consulte Establecer un Cronograma Operativo.
- Cree una acción de Application Control que bloquee las aplicaciones que desea bloquear durante los horarios laborales. Por ejemplo, podría denominar a esta acción Oficina.
- Aplique la acción de Application Control Oficina a la política Proxy-HTTP-Oficina.
- Habilite la generación de registros para las políticas Proxy HTTP y Proxy-HTTP-Oficina.
Debe activar la generación de registros para ver la información acerca de Application Control en los archivos e informes de registro.
En este ejemplo, las políticas resultantes podrían tener esta apariencia:
Política: Proxy-HTTP-Oficina
Las conexiones HTTP son: Permitida
De: Ventas A: Cualquiera Externa
Application Control: Oficina
Política: Proxy HTTP
Las conexiones HTTP son: Permitida
De: Cualquiera-De Confianza A: Cualquiera Externa
Application Control: Global
La Acción de Application Control Oficina en la política Proxy-HTTP-Oficina bloquea los juegos solamente durante las horas de oficina. Las otras aplicaciones en la acción de Application Control Global están bloqueadas en todas las horas del día.
Si esta configuración del dispositivo incluía otras políticas, como HTTP, TCP-UDP o Saliente, que podrían ser usadas para tráfico de juegos, puede repetir los pasos anteriores para establecer una configuración de Application Control de dos niveles para otras políticas.
Precedencia de Application Control y de la Política
Cuando aplica diferentes acciones de Application Control a políticas múltiples del mismo tipo, es útil comprender la precedencia de la política, para saber qué políticas aplicar a qué tipo de tráficos. El dispositivo Firebox automáticamente ordena las políticas desde la más detallada a la más general. La primera regla de la lista que coincida con las condiciones del paquete se aplica al paquete.
Para más información acerca de la precedencia de políticas, consulte Acerca de la Precedencia de las Políticas.