Cloud Firewall的應用程式控制功能基於深度報文檢測(DPI)與啟發學習法行為分析技術實現應用程式層流量管控。該功能突破了傳統防火牆僅依賴IP/連接埠五元組的限制,通過識別流量中的應用特徵,剝離出隱藏在加密或非常規連接埠後的應用真實身份。系統支援按應用類型對出向流量執行允許存取、觀察或拒絕操作,將管控粒度細化至具體應用及行為,便於實現精細化的存取控制策略。
功能優勢
精準剝離偽裝流量:無論應用如何跳變連接埠、加密傳輸或借用協議(如通過HTTPS隧道),應用程式控制引擎均可精準識別其真實身份,解決傳統網路層管控無法識別具體應用的痛點。
基於身份的精細化管控:提供內建應用程式特徵庫,覆蓋多個行業領域。使用者可基於應用分類或具體應用定義處置動作,實現從“連接埠過濾”到“業務感知”的核心演化。
策略優先順序靈活定義:支援自訂規則與內建分類規則的混合配置。通過對特定應用(如GitHub檔案上傳)設定獨立處置動作,滿足複雜情境下的精細化管控需求。
應用程式控制功能目前處於邀測階段。如需開通,請聯絡您的商務經理。
查看內建的應用特徵庫
Cloud Firewall內建應用程式特徵庫,覆蓋商業交易、銷售營銷、教育學習及多媒體內容等分類,並為每個應用程式配置了風險等級。查看步驟如下:
在左側導覽列,選擇。
在应用特征库頁簽,查看支援的應用程式列表。支援按应用程序名、应用程序ID、分類等進行搜尋。
在应用特征库頁簽右側地區,展示特徵庫規則更新動態。
建立自訂模板
若要在存取控制策略中應用應用程式控制規則,請先建立自訂規則模板。具體步驟如下:
在左側導覽列,選擇。
在自定义模版頁簽,單擊新增模板,並完成以下配置。
配置項
說明
基本信息
設定便於識別的模板名稱與描述。
内置应用程序分类
針對各類應用程式設定處置動作,支援的動作類型如下:
觀察:預設的動作類型,允許存取請求,同時在日誌審計的事件記錄模組中記錄。
放行:允許存取請求,不記錄事件記錄。
拒絕:攔截請求,並記錄事件記錄。
各類應用程式均支援一鍵大量設定動作,便於快速完成配置。
自定义规则
若需調整應用程式規則的優先順序,可單擊添加自定义规则進行配置,適用於精細化管控情境。
規則生效:自定义规则的開關狀態為啟用時,規則生效。
優先順序設定:支援配置多條規則,同一模板內優先順序數值不可重複,數值越小優先順序越高。
動作配置:單條規則支援關聯多個應用程式,可選動作包括觀察、放行或拒絕。
衝突處理:針對同一應用程式,自定义规则的動作優先順序高於内置应用程序分类。
未识别应用动作
定義Cloud Firewall對未知應用的預設處置動作。
模板开关
控制模板的啟用狀態,僅開啟狀態下配置方可生效。
配置建議
寬泛管控情境:當管控目標不明確時,建議僅配置内置应用程序分类,並將動作設定為觀察。待業務運行一段時間後,請前往日誌審計的流量日誌頁面查看應用程式的識別情況,並根據實際業務需求調整對應模板的動作。
精確管控情境:當明確需要管控特定應用時,由於自定义规则優先順序高於内置应用程序分类,建議配置自定义规则進行管控。
應用識別機制與動作判定規則
應用識別機制:Cloud Firewall對單個請求可能識別出多個應用程式。針對HTTP應用協議(含配置TLS檢查後的HTTPS)的長串連情境,識別結果隨請求動態更新,系統僅提取最近一次的識別結果,不保留中間狀態;針對非HTTP應用協議,僅在串連建立時進行一次識別,後續不再更新。
動作判定規則:在判定非未知應用的處置動作時,系統優先按優先順序匹配自定义规则;若未匹配到自定义规则,則按權重匹配内置应用程序分类。
樣本:某請求同時被識別為“GitHub-base”與“GitHub下載”。在未設定自定义规则的情況下,由於内置应用程序分类中“GitHub下載”的權重高於“GitHub-base”,系統將執行“GitHub下載”對應的處置動作。
後續步驟
模板建立完成後,即可在互联网边界出向存取控制策略中引用,具體操作,請參見配置互連網邊界存取控制策略。
日常營運
在自定义模版頁簽,支援對已建立的模板執行以下操作:
設定模板開啟狀態:通過模板开关列的按鈕開啟或關閉模板。
編輯模板:單擊模板操作列的編輯,調整模板配置。
刪除模板:單擊模板操作列的刪除。若模板包含自訂規則或被存取控制策略引用,則不支援刪除。
附錄:支援的應用分類
分類名稱 | 分類說明 | 典型應用 |
辦公協作 | 覆蓋企業日常辦公和團隊協同情境,協助使用者識別文檔處理、企業溝通、會議協作和團隊生產力相關的應用流量。該分類適合用於管理組織內高頻使用的辦公平台和協作工具。 | Microsoft 365、Google Workspace、WPS Office、DingTalk、企業微信、飛書、Microsoft Teams、Slack、Zoom 企業版、騰訊會議 |
即時通訊 | 覆蓋個人或開放使用者使用的即時訊息溝通應用,協助使用者瞭解聊天、語音、圖片、檔案訊息和群組交流相關流量。該分類常用於區分個人通訊工具與企業統一管控的辦公通訊平台。 | 微信、QQ、Telegram、WhatsApp、Signal、Line、Viber、Snapchat |
VoIP | 覆蓋基於 IP 網路承載的語音和視訊通話服務,協助使用者識別網路電話、企業語音系統和即時音視頻通訊流量。該分類適合用於保障語音通訊品質或管理即時通話應用訪問。 | Cisco Unified Communications、Avaya、3CX、RingCentral、Skype、FaceTime、WebRTC |
郵件 | 覆蓋電子郵件收發、郵箱訪問和郵件系統管理相關應用,協助使用者識別Alibaba Mail、個人郵箱、郵件用戶端和 Webmail 流量。該分類適合用於郵件存取控制、審計和資料外發治理。 | Outlook、Foxmail、Thunderbird、Gmail、QQ 郵箱、163 郵箱、騰訊Alibaba Mail、Microsoft Exchange |
檔案與內容管理 | 覆蓋檔案儲存體、同步、共用、內容發布和知識管理相關應用,協助使用者識別檔案上傳下載、外鏈分享、團隊知識庫和內容管理流量。該分類適合用於檔案流轉、內容資產和外部共用治理。 | 百度網盤、Dropbox、OneDrive、堅果雲、WeTransfer、SharePoint、Confluence、WordPress、Drupal |
企業核心系統 | 覆蓋支撐企業經營管理的核心業務系統,協助使用者識別財務、客戶、流程、供應鏈、資產和綜合管理相關應用流量。該分類適合用於保護企業關鍵業務系統並保障核心流程連續性。 | SAP、Oracle EBS、金蝶、用友、Salesforce、Microsoft Dynamics 365、紛享銷客 |
人力資源 | 覆蓋招聘、人事、考勤、薪酬、績效、培訓等人力資源情境,協助使用者識別員工生命週期管理相關應用流量。該分類適合用於管理員工資料訪問和人力資源系統使用方式。 | Workday、北森雲、金蝶 HR、SAP HCM、智聯招聘、BOSS 直聘、LinkedIn Recruiter、獵聘 |
銷售與營銷 | 覆蓋市場推廣、廣告投放、客戶觸達、客服支援和銷售轉化相關應用,協助使用者識別企業對外獲客與客戶營運流量。該分類適合用於管理營銷工具、客服系統和廣告平台訪問。 | HubSpot、Marketo、Zendesk、智齒客服、Google Ads、百度推廣、巨量引擎、郵件營銷平台 |
商務交易 | 覆蓋商品、服務、資金和金融資產交易相關應用,協助使用者識別電商購物、企業採購、支付結算、銀行、證券、保險和理財流量。該分類適合用於交易類應用訪問管理和資金相關業務保護。 | 淘寶、京東、拼多多、Amazon、阿里巴巴 1688、支付寶、微信支付、同花順、東方財富 |
資料分析 | 覆蓋資料查詢、報表、可視化分析和業務洞察相關應用,協助使用者識別資料分析平台、BI 工具和使用者行為分析服務流量。該分類適合用於管理資料訪問、分析工具使用和業務資料流轉。 | Tableau、Power BI、帆軟、Google Analytics、神策分析、GrowingIO、Snowflake、MaxCompute |
IT 基礎設施 | 覆蓋支撐業務系統啟動並執行底層 IT 和網路基礎能力,協助使用者識別雲平台、CDN、DNS、負載平衡、虛擬化、容器和基礎網路服務流量。該分類適合用於保障基礎設施穩定運行和基礎資源訪問治理。 | AWS、阿里雲、騰訊雲、VMware vSphere、Kubernetes、OpenStack、CDN、DNS、DHCP、NTP、BGP、OSPF |
IT 營運管理 | 覆蓋系統監控、警示、日誌、配置、補丁、自動化營運和 IT 服務管理相關應用,協助使用者識別營運管理平台和可觀測性工具流量。該分類適合用於保障營運工具可用性並管理營運存取權限。 | Zabbix、Prometheus、Grafana、Nagios、Ansible、Puppet、Windows Update、WSUS、ServiceNow |
開發與設計 | 覆蓋軟體研發、測試、代碼協作、工程設計和創意設計相關應用,協助使用者識別研發生產力、設計協作和工程創作工具流量。該分類適合用於管理研發環境、代碼資產和設計工具訪問。 | GitHub、GitLab、Jenkins、VS Code、IntelliJ IDEA、AutoCAD、SolidWorks、Adobe Creative Cloud、Figma |
儲存與主機 | 覆蓋資料庫、主機、Object Storage Service和託管運行環境相關服務,協助使用者識別資料持久化、計算承載和主機託管流量。該分類適合用於保護資料基礎資源並管理託管服務訪問。 | MySQL、Oracle、PostgreSQL、MongoDB、Redis、Navicat、AWS EC2、阿里雲 ECS、騰訊雲 CVM、Object Storage Service服務 |
安全服務 | 覆蓋身份認證、存取控制、威脅檢測、安全防護和資料保護相關應用,協助使用者識別企業安全能力和安全管理平台流量。該分類適合用於保障安全服務可用性和管理關鍵安全控制訪問。 | CrowdStrike、Symantec、火絨、Active Directory、Okta、SAML、DLP 系統、Bastionhost、WAF |
網路穿透 | 覆蓋遠端連線、代理轉寄和隧道傳輸相關應用,協助使用者識別可能改變訪問路徑或打通網路邊界的流量。該分類適合用於遠端存取、代理服務和隧道類應用的精細化管理。 | SSL VPN、IPsec VPN、RDP、TeamViewer、向日葵、ToDesk、OpenVPN、WireGuard、Squid、Shadowsocks |
社交媒體 | 覆蓋社交網路、內容社區、論壇、問答和互動傳播平台,協助使用者識別使用者發布內容、評論互動、關注訂閱和社區交流流量。該分類適合用於管理員工社交媒體訪問和外部內容發布情境。 | 微博、知乎、小紅書、豆瓣、Facebook、X、LinkedIn、Instagram、Reddit、CSDN |
多媒體內容 | 覆蓋視頻、音頻、直播、圖片、遊戲和數字娛樂內容應用,協助使用者識別休閑娛樂、流媒體播放和遊戲平台流量。該分類適合用於頻寬治理、娛樂應用訪問管理和內容消費分析。 | 愛奇藝、騰訊視頻、優酷、抖音、快手、B 站、Spotify、網易雲音樂、Steam、王者榮耀、Twitch |
教育學習 | 覆蓋線上課程、直播課堂、學習管理、考試測評和企業培訓相關應用,協助使用者識別學習培訓和知識傳播流量。該分類適合用於保障教育資源訪問和管理員工培訓平台使用。 | Coursera、edX、中國大學 MOOC、騰訊課堂、網易雲課堂、Udemy、極客時間 |
特定行業 | 覆蓋服務於特定行業生產、營運、交付或監管流程的應用,協助使用者識別醫學、製造、物流、能源、零售、車連網、政務等行業專用系統流量。該分類適合用於管理行業核心應用和垂直業務系統訪問。 | MES、APS、零售 POS、HIS、EMR、PACS、Modbus、OPC-UA、SCADA、DCS |
通用互連網 | 覆蓋面向公眾或廣泛使用者開放的資訊訪問、搜尋、門戶、導航和通用線上工具,協助使用者識別日常互連網資訊服務流量。該分類適合用於基礎互連網訪問管理和通用網站流量分析。 | 百度、Google、Bing、新浪、網易門戶、百度地圖、高德地圖、有道翻譯、政府門戶網站 |
人工智慧 | 覆蓋以人工智慧模型、演算法和智能產生能力為核心的應用與平台,協助使用者識別 AI 對話、AI 寫作、映像產生、代碼輔助、模型服務和 AI API 流量。該分類適合用於管理產生式 AI 使用、AI 平台訪問和智能應用資料流轉。 | ChatGPT、Claude、Gemini、DeepSeek、文心一言、通義千問、Midjourney、GitHub Copilot、Hugging Face、阿里雲百鍊、Vertex AI |