Exemples de Stratégies d'Application Control
Vous pouvez utiliser l'action Globale d'Application Control avec d'autres actions d'Application Control pour autoriser ou bloquer différentes applications en vous basant sur l'heure du jour, le nom d'utilisateur ou le groupe d'utilisateurs. Dans un premier temps, créez des actions Application Control pour bloquer ou autoriser différents ensembles d'applications. Appliquez ensuite différentes actions Application Control à différentes stratégies.
Chaque exemple active les actions Application Control pour un seul type de stratégie. Si votre configuration comprend d'autres types de stratégie, comme TCP-UDP, ou Sortant, vous pouvez utiliser les mêmes étapes pour configurer une configuration Application Control à deux niveaux pour ces stratégies. Les stratégies que vous devez appliquer à une action Application Control dépendent des stratégies existantes dans votre configuration et des applications que vous souhaitez bloquer. Par exemple, si vous souhaitez bloquer une application utilisant FTP, vous devez activer l'action d'Application Control pour la stratégie FTP.
Pour créer une exception pour un hôte distant, créez une stratégie par nom de domaine pour autoriser le domaine. Pour plus d'informations, consultez About Policies by Domain Name (FQDN).
Pour obtenir des conseils sur les types de stratégie à configurer pour Application Control, consultez Normes des Stratégies pour Application Control.
Autoriser une application pour un groupe d'utilisateurs
Si l'action Globale d'Application Control bloque une application, vous pouvez créer une autre action d'Application Control permettant à un département ou un groupe d'utilisateurs donné d'accéder à cette application. Par exemple, si vous souhaitez bloquer l'utilisation de la messagerie instantanée MSN pour la plupart des utilisateurs mais que vous souhaitez autoriser cette application pour les employés du département des ventes, vous pouvez créer d'autres actions et stratégies Application Control pour obtenir ce résultat.
Si vous avez déjà une stratégie de filtrage de paquets HTTP s'appliquant à tous les utilisateurs, vous pouvez utiliser ces étapes pour autoriser différentes applications pour le département des ventes de votre entreprise.
- Configurez l'action Application Control Globale de façon à bloquer la messagerie instantanée MSN et toute autre application que vous ne souhaitez pas autoriser.
- Appliquez l'action Application Control Globale à la stratégie de filtrage de paquets HTTP existante.
- Créer une nouvelle action d'Application Control pour autoriser la messagerie instantanée MSN. Par exemple, vous pourriez appeler cette action AutoriserMI. Configurez cette action afin d'utiliser l'action Globale lorsque l'application ne correspond pas aux critères de l'action précédente.
- Créer une stratégie HTTP pour les utilisateurs du département des ventes. Par exemple, vous pourriez appeler cette stratégie HTTP-Ventes. Pour de plus amples informations sur la création d'une stratégie pour un groupe d'utilisateurs, consultez Utiliser les Utilisateurs et Groupes dans les Stratégies.
- Appliquez l'action Application Control AutoriserMI à la stratégie HTTP-Ventes.
- Activez la journalisation pour les stratégies HTTP et HTTP-Ventes.
Vous devez activer la journalisation pour afficher les informations Application Control dans les fichiers journaux et les rapports.
Dans cet exemple, les deux stratégies HTTP ressembleront à ce qui suit :
Stratégie :HTTP-Ventes
Les connexions HTTP sont : Autorisées
De : Ventes A : Tout-Externe
Application Control : AutoriserMI
Stratégie : HTTP
Les connexions HTTP sont : Autorisées
De : Tout-Approuvé A : Tout-Externe
Application Control : Global
L'action Application Control AutoriserMI appliquée à la stratégie HTTP-Ventes agit comme une exception à l'action Application Control Globale. Les utilisateurs du département des ventes peuvent utiliser la messagerie instantanée MSN, mais ne peuvent pas utiliser toute autre application bloquée par l'action Globale d'Application Control.
Si la configuration de ce périphérique comprend d'autres stratégies, comme HTTP-Proxy, TCP-UDP ou Sortant, pouvant être utilisées pour gérer le trafic de messagerie instantanée, vous pouvez répéter les étapes ci-dessus pour configurer Application Control sur deux niveaux pour d'autres stratégies.
Bloquer les applications durant les heures de bureau
Vous pouvez utiliser Application Control avec des stratégies de façon à bloquer différentes applications en vous basant sur l'heure du jour. Par exemple, il est possible que vous souhaitiez bloquer l'utilisation de jeux durant les heures de bureau. Pour bloquer des applications durant certaines heures, vous pouvez utiliser Application Control avec des stratégies se basant sur un calendrier d'application.
Si vous avez déjà une stratégie HTTP-Proxy n'ayant pas de calendrier d'application, utilisez ces étapes pour ajouter une nouvelle stratégie et une action d'Application Control pour bloquer les applications durant les heures de bureau.
- Configurez l'action Globale d'Application Control pour bloquer les applications que vous souhaitez toujours bloquer.
- Appliquez l'action Application Control Globale à la stratégie HTTP-Proxy existante.
- Créez un calendrier appelé Heures de bureau qui définit les heures de bureau. Pour plus d'informations sur les plannings, consultez Créer des Plannings pour les Actions Firebox.
- Créer une nouvelle stratégie HTTP-Proxy qui utilise le calendrier Heure de bureau que vous avez configuré. Par exemple, vous pourriez appeler la nouvelle stratégie HTTP-Proxy-HeuresBureau. Pour de plus amples informations sur la planification d'une stratégie, consultez Définir un Calendrier d'Application.
- Créer une action d'Application Control qui bloque toutes les application voulues durant les heures de bureau. Par exemple, vous pourriez appeler cette action HeuresBureau.
- Appliquez l'action Application Control HeuresBureau à la stratégie HTTP-Proxy-HeuresBureau existante.
- Activer la journalisation pour les stratégies HTTP-Proxy et HTTP-Proxy-HeuresBureau.
Vous devez activer la journalisation pour afficher les informations Application Control dans les fichiers journaux et les rapports.
Dans cet exemple, les deux stratégies ressembleront à ce qui suit :
Stratégie :HTTP-Proxy-HeuresBureau
Les connexions HTTP sont : Autorisées
De : Ventes A : Tout-Externe
Application Control : Professionnel
Stratégie : Proxy HTTP
Les connexions HTTP sont : Autorisées
De : Tout-Approuvé A : Tout-Externe
Application Control : Global
L'action Application Control HeuresBureau de la stratégie HTTP-Proxy-HeuresBureau bloque les jeux uniquement durant les heures de bureau. Toutes les autres applications de l'action Globale d'Application Control sont bloquées à toute heure du jour.
Si la configuration de ce périphérique comprend d'autres stratégies, comme HTTP, TCP-UDP ou Sortant, pouvant être utilisées pour gérer le trafic des jeux, vous pouvez répéter les étapes ci-dessus pour configurer Application Control sur deux niveaux pour d'autres stratégies.
Application Control et priorité des stratégies
Lorsque vous appliquez différentes actions d'Application Control à plusieurs stratégies du même type, il est utile de comprendre l'ordre de priorité des stratégies, afin que vous sachiez quelles stratégies appliquer à quels types de trafic. Le Firebox trie automatiquement les stratégies de la plus spécifique à la plus générale. La première règle de la liste qui correspond aux conditions du paquet est appliquée à ce paquet.
Pour plus d'informations sur l'ordre de priorité des stratégies, consultez À propos de l'Ordre de Priorité des Stratégies.