云防火墙的应用程序控制功能基于深度报文检测(DPI)与启发式行为分析技术实现应用层流量管控。该功能突破了传统防火墙仅依赖IP/端口五元组的限制,通过识别流量中的应用特征,剥离出隐藏在加密或非常规端口后的应用真实身份。系统支持按应用类型对出向流量执行放行、观察或拒绝操作,将管控粒度细化至具体应用及行为,便于实现精细化的访问控制策略。
功能优势
精准剥离伪装流量:无论应用如何跳变端口、加密传输或借用协议(如通过HTTPS隧道),应用程序控制引擎均可精准识别其真实身份,解决传统网络层管控无法识别具体应用的痛点。
基于身份的精细化管控:提供内置应用特征库,覆盖多个行业领域。用户可基于应用分类或具体应用定义处置动作,实现从“端口过滤”到“业务感知”的核心演进。
策略优先级灵活定义:支持自定义规则与内置分类规则的混合配置。通过对特定应用(如GitHub文件上传)设置独立处置动作,满足复杂场景下的精细化管控需求。
应用程序控制功能目前处于邀测阶段。如需开通,请联系您的商务经理。
查看内置的应用特征库
云防火墙内置应用特征库,覆盖商业交易、销售营销、教育学习及多媒体内容等分类,并为每个应用程序配置了风险等级。查看步骤如下:
登录云防火墙控制台。
在左侧导航栏,选择。
在应用特征库页签,查看支持的应用程序列表。支持按应用程序名、应用程序ID、分类等进行搜索。
在应用特征库页签右侧区域,展示特征库规则更新动态。
创建自定义模板
若要在访问控制策略中应用应用程序控制规则,请先创建自定义规则模板。具体步骤如下:
在左侧导航栏,选择。
在自定义模版页签,单击新增模板,并完成以下配置。
配置项
说明
基本信息
设置便于识别的模板名称与描述。
内置应用程序分类
针对各类应用程序设置处置动作,支持的动作类型如下:
观察:默认的动作类型,放行请求,同时在日志审计的事件日志模块中记录。
放行:放行请求,不记录事件日志。
拒绝:拦截请求,并记录事件日志。
各类应用程序均支持一键批量设置动作,便于快速完成配置。
自定义规则
若需调整应用程序规则的优先级,可单击添加自定义规则进行配置,适用于精细化管控场景。
规则生效:自定义规则的开关状态为启用时,规则生效。
优先级设定:支持配置多条规则,同一模板内优先级数值不可重复,数值越小优先级越高。
动作配置:单条规则支持关联多个应用程序,可选动作包括观察、放行或拒绝。
冲突处理:针对同一应用程序,自定义规则的动作优先级高于内置应用程序分类。
未识别应用动作
定义云防火墙对未知应用的默认处置动作。
模板开关
控制模板的启用状态,仅开启状态下配置方可生效。
配置建议
宽泛管控场景:当管控目标不明确时,建议仅配置内置应用程序分类,并将动作设置为观察。待业务运行一段时间后,请前往日志审计的流量日志页面查看应用程序的识别情况,并根据实际业务需求调整对应模板的动作。
精确管控场景:当明确需要管控特定应用时,由于自定义规则优先级高于内置应用程序分类,建议配置自定义规则进行管控。
应用识别机制与动作判定规则
应用识别机制:云防火墙对单个请求可能识别出多个应用程序。针对HTTP应用协议(含配置TLS检查后的HTTPS)的长连接场景,识别结果随请求动态更新,系统仅提取最近一次的识别结果,不保留中间状态;针对非HTTP应用协议,仅在连接建立时进行一次识别,后续不再更新。
动作判定规则:在判定非未知应用的处置动作时,系统优先按优先级匹配自定义规则;若未匹配到自定义规则,则按权重匹配内置应用程序分类。
示例:某请求同时被识别为“GitHub-base”与“GitHub下载”。在未设置自定义规则的情况下,由于内置应用程序分类中“GitHub下载”的权重高于“GitHub-base”,系统将执行“GitHub下载”对应的处置动作。
后续步骤
模板创建完成后,即可在互联网边界出向访问控制策略中引用,具体操作,请参见配置互联网边界访问控制策略。
日常运维
在自定义模版页签,支持对已创建的模板执行以下操作:
设置模板开启状态:通过模板开关列的按钮开启或关闭模板。
编辑模板:单击模板操作列的编辑,调整模板配置。
删除模板:单击模板操作列的删除。若模板包含自定义规则或被访问控制策略引用,则不支持删除。
附录:支持的应用分类
分类名称 | 分类说明 | 典型应用 |
办公协作 | 覆盖企业日常办公和团队协同场景,帮助用户识别文档处理、企业沟通、会议协作和团队生产力相关的应用流量。该分类适合用于管理组织内高频使用的办公平台和协作工具。 | Microsoft 365、Google Workspace、WPS Office、钉钉、企业微信、飞书、Microsoft Teams、Slack、Zoom 企业版、腾讯会议 |
即时通讯 | 覆盖个人或开放用户使用的实时消息沟通应用,帮助用户了解聊天、语音、图片、文件消息和群组交流相关流量。该分类常用于区分个人通讯工具与企业统一管控的办公通讯平台。 | 微信、QQ、Telegram、WhatsApp、Signal、Line、Viber、Snapchat |
VoIP | 覆盖基于 IP 网络承载的语音和视频通话服务,帮助用户识别网络电话、企业语音系统和实时音视频通信流量。该分类适合用于保障语音通信质量或管理实时通话应用访问。 | Cisco Unified Communications、Avaya、3CX、RingCentral、Skype、FaceTime、WebRTC |
邮件 | 覆盖电子邮件收发、邮箱访问和邮件系统管理相关应用,帮助用户识别企业邮箱、个人邮箱、邮件客户端和 Webmail 流量。该分类适合用于邮件访问控制、审计和数据外发治理。 | Outlook、Foxmail、Thunderbird、Gmail、QQ 邮箱、163 邮箱、腾讯企业邮箱、Microsoft Exchange |
文件与内容管理 | 覆盖文件存储、同步、共享、内容发布和知识管理相关应用,帮助用户识别文件上传下载、外链分享、团队知识库和内容管理流量。该分类适合用于文件流转、内容资产和外部共享治理。 | 百度网盘、Dropbox、OneDrive、坚果云、WeTransfer、SharePoint、Confluence、WordPress、Drupal |
企业核心系统 | 覆盖支撑企业经营管理的核心业务系统,帮助用户识别财务、客户、流程、供应链、资产和综合管理相关应用流量。该分类适合用于保护企业关键业务系统并保障核心流程连续性。 | SAP、Oracle EBS、金蝶、用友、Salesforce、Microsoft Dynamics 365、纷享销客 |
人力资源 | 覆盖招聘、人事、考勤、薪酬、绩效、培训等人力资源场景,帮助用户识别员工生命周期管理相关应用流量。该分类适合用于管理员工数据访问和人力资源系统使用情况。 | Workday、北森云、金蝶 HR、SAP HCM、智联招聘、BOSS 直聘、LinkedIn Recruiter、猎聘 |
销售与营销 | 覆盖市场推广、广告投放、客户触达、客服支持和销售转化相关应用,帮助用户识别企业对外获客与客户运营流量。该分类适合用于管理营销工具、客服系统和广告平台访问。 | HubSpot、Marketo、Zendesk、智齿客服、Google Ads、百度推广、巨量引擎、邮件营销平台 |
商务交易 | 覆盖商品、服务、资金和金融资产交易相关应用,帮助用户识别电商购物、企业采购、支付结算、银行、证券、保险和理财流量。该分类适合用于交易类应用访问管理和资金相关业务保护。 | 淘宝、京东、拼多多、Amazon、阿里巴巴 1688、支付宝、微信支付、同花顺、东方财富 |
数据分析 | 覆盖数据查询、报表、可视化分析和业务洞察相关应用,帮助用户识别数据分析平台、BI 工具和用户行为分析服务流量。该分类适合用于管理数据访问、分析工具使用和业务数据流转。 | Tableau、Power BI、帆软、Google Analytics、神策分析、GrowingIO、Snowflake、MaxCompute |
IT 基础设施 | 覆盖支撑业务系统运行的底层 IT 和网络基础能力,帮助用户识别云平台、CDN、DNS、负载均衡、虚拟化、容器和基础网络服务流量。该分类适合用于保障基础设施稳定运行和基础资源访问治理。 | AWS、阿里云、腾讯云、VMware vSphere、Kubernetes、OpenStack、CDN、DNS、DHCP、NTP、BGP、OSPF |
IT 运维管理 | 覆盖系统监控、告警、日志、配置、补丁、自动化运维和 IT 服务管理相关应用,帮助用户识别运维管理平台和可观测性工具流量。该分类适合用于保障运维工具可用性并管理运维访问权限。 | Zabbix、Prometheus、Grafana、Nagios、Ansible、Puppet、Windows Update、WSUS、ServiceNow |
开发与设计 | 覆盖软件研发、测试、代码协作、工程设计和创意设计相关应用,帮助用户识别研发生产力、设计协作和工程创作工具流量。该分类适合用于管理研发环境、代码资产和设计工具访问。 | GitHub、GitLab、Jenkins、VS Code、IntelliJ IDEA、AutoCAD、SolidWorks、Adobe Creative Cloud、Figma |
存储与主机 | 覆盖数据库、主机、对象存储和托管运行环境相关服务,帮助用户识别数据持久化、计算承载和主机托管流量。该分类适合用于保护数据基础资源并管理托管服务访问。 | MySQL、Oracle、PostgreSQL、MongoDB、Redis、Navicat、AWS EC2、阿里云 ECS、腾讯云 CVM、对象存储服务 |
安全服务 | 覆盖身份认证、访问控制、威胁检测、安全防护和数据保护相关应用,帮助用户识别企业安全能力和安全管理平台流量。该分类适合用于保障安全服务可用性和管理关键安全控制访问。 | CrowdStrike、Symantec、火绒、Active Directory、Okta、SAML、DLP 系统、堡垒机、WAF |
网络穿透 | 覆盖远程连接、代理转发和隧道传输相关应用,帮助用户识别可能改变访问路径或打通网络边界的流量。该分类适合用于远程访问、代理服务和隧道类应用的精细化管理。 | SSL VPN、IPsec VPN、RDP、TeamViewer、向日葵、ToDesk、OpenVPN、WireGuard、Squid、Shadowsocks |
社交媒体 | 覆盖社交网络、内容社区、论坛、问答和互动传播平台,帮助用户识别用户发布内容、评论互动、关注订阅和社区交流流量。该分类适合用于管理员工社交媒体访问和外部内容发布场景。 | 微博、知乎、小红书、豆瓣、Facebook、X、LinkedIn、Instagram、Reddit、CSDN |
多媒体内容 | 覆盖视频、音频、直播、图片、游戏和数字娱乐内容应用,帮助用户识别休闲娱乐、流媒体播放和游戏平台流量。该分类适合用于带宽治理、娱乐应用访问管理和内容消费分析。 | 爱奇艺、腾讯视频、优酷、抖音、快手、B 站、Spotify、网易云音乐、Steam、王者荣耀、Twitch |
教育学习 | 覆盖在线课程、直播课堂、学习管理、考试测评和企业培训相关应用,帮助用户识别学习培训和知识传播流量。该分类适合用于保障教育资源访问和管理员工培训平台使用。 | Coursera、edX、中国大学 MOOC、腾讯课堂、网易云课堂、Udemy、极客时间 |
特定行业 | 覆盖服务于特定行业生产、运营、交付或监管流程的应用,帮助用户识别医疗、制造、物流、能源、零售、车联网、政务等行业专用系统流量。该分类适合用于管理行业核心应用和垂直业务系统访问。 | MES、APS、零售 POS、HIS、EMR、PACS、Modbus、OPC-UA、SCADA、DCS |
通用互联网 | 覆盖面向公众或广泛用户开放的信息访问、搜索、门户、导航和通用在线工具,帮助用户识别日常互联网信息服务流量。该分类适合用于基础互联网访问管理和通用网站流量分析。 | 百度、Google、Bing、新浪、网易门户、百度地图、高德地图、有道翻译、政府门户网站 |
人工智能 | 覆盖以人工智能模型、算法和智能生成能力为核心的应用与平台,帮助用户识别 AI 对话、AI 写作、图像生成、代码辅助、模型服务和 AI API 流量。该分类适合用于管理生成式 AI 使用、AI 平台访问和智能应用数据流转。 | ChatGPT、Claude、Gemini、DeepSeek、文心一言、通义千问、Midjourney、GitHub Copilot、Hugging Face、阿里云百炼、Vertex AI |