Pour surveiller ou bloquer l'utilisation des applications, vous devez activer Application Control pour toutes les stratégies gérant le trafic de l'application. Il est déconseillé d'appliquer l'action globale d'Application Control à chaque stratégie. Au vu des conséquences que cela aurait sur la performance de votre système, vous ne voulez pas, et n'avez pas besoin, d'activer Application Control pour chaque stratégie.
Nous vous conseillons d'activer Application Control pour les types de stratégie suivantes :
- Toute stratégie sortante gérant le trafic HTTP ou HTTPS
- Les stratégies de réseau privé VPN utilisant les routes 0.0.0.0/0 (Route par défaut de réseau privé VPN)
- Toute stratégie si la façon dont la stratégie est utilisée vous est incertaine.
- Les stratégies utilisant le protocole « Tout »
- Les stratégies utilisant un alias « Tout-* », par exemple Autoriser « Tout-Approuvé » vers « Tout-Externe », pour un protocole/port spécifique
Si Application Control est activé dans une stratégie de proxy HTTPS, il est également nécessaire d'activer l'Inspection du Contenu dans l'action de proxy HTTPS. Application Control le requiert pour déceler les applications sur une connexion HTTPS. Pour plus d'informations, consultez Proxy HTTPS : inspection du contenu.
Il n'est pas nécessaire d'activer Application Control pour une stratégie si vous contrôlez le réseau des deux côtés d'un flux de trafic géré par la stratégie. Certains exemples de ces types de stratégie comprennent :
- Systèmes POS
- Applications Web sur l'Intranet
- Bases de données internes et trafic d'un DMZ
Il n'est généralement pas nécessaire d'activer Application Control pour des stratégies dont le port et le protocole sont restreints et qui n'autorise qu'un service connu. Certains exemples de ces types de stratégie comprennent :
- Stratégies WatchGuard par défaut
- Trafic DNS
- RDP
- VoIP - SIP et passerelles ALG H.323 (Application Layer Gateway)
Chaque stratégie peut autoriser uniquement le trafic qui correspond au protocole de cette stratégie. À titre d'exemple, le trafic d'application HTTP n'es jamais autorisé via le proxy DNS. Pour surveiller et bloquer une application efficacement, vous devez prendre en compte tous les protocoles utilisés par cette application et activer Application Control pour toutes les stratégies qui gèrent ces protocoles.
Pour bloquer des applications insaisissables qui utilisent différents ports de manière dynamique, vous devez activer Application Control afin de bloquer ces applications dans toutes vos stratégies. Pour de plus amples informations sur les applications évasives, consultez Gérer des Applications Insaisissables.
Pour voir des exemples d'utilisation d'Application Control avec des stratégies, consultez Exemples de Stratégies d'Application Control.