網康ICG的【應用控制】術語解釋2應用控制功能介紹31典型使用場景與配置33例外34問題排查35培訓提綱應用控制功能介紹本節要點為什么客戶需要應用控制？ICG給客戶帶來了什么價值？ICG能夠做哪些策略？網頁過濾功能介紹應用控制什么是應用控制ICG對用戶使用的各種互聯網應用進行識別，如果某種應用出于管理需要不允許某些用戶使用，則對其進行阻斷為什么要對應用進行控制？減輕網絡出口壓力：限制、禁用各種P2P應用，減少其對網絡出口的占用，釋放寶貴帶寬提高學習/工作效率：禁止在學習/工作時間使用網游、在線視頻、在線炒股等無關應用，提高學生/員工的學習/工作效率基本概念介紹ICG能做什么策略應用控制策略針對用戶使用的各種互聯網應用進行管控的策略用戶場景禁止普通員工在工作時間看在線視頻Who：普通員工；When：工作時間；What：看在線視頻；Action：禁止禁止學生在上課時間玩網絡游戲Who：學生；When：上課時間；What：玩網絡游戲；Action：禁止基本概念介紹ICG能做什么策略應用限額策略（*獨有功能，可進行應用時常限制，應用流量限制）針對用戶使用的各種互聯網應用進行限制時長（或流量）使用的策略可以干什么限制普通員工在每天工作時間內在線炒股不超過半小時Who：普通員工；When：工作時間；What：在線炒股；Action：每天累計時間半小時以內允許，超過半小時禁止基本概念介紹ICG能做什么策略流量控制策略對用戶使用的各種互聯網應用進行流量帶寬的控制可以干什么限制所有學生在每天上網高峰期（20:00-24:00）內限制P2P總帶寬為10MbpsWho：學生用戶；When：上網高峰期（20:00-24:00）；What：P2P下載；Action：限制總帶寬為10Mbps術語解釋2應用控制功能介紹31典型使用場景與配置33例外34問題排查35培訓提綱Tips：進入“系統管理”→“系統配置”→“支持協議列表”，可以查看應用協議庫的詳細說明實戰策略配置－應用控制策略術語解釋應用協議列表指ICG內置的應用協議特征數據庫類似殺毒軟件的病毒庫，協議特征庫是精確識別各種網絡應用的基礎網康的應用協議數據庫是目前業界最全面的中國互聯網應用協議數據庫，針對中國地區網絡應用的流行程度以及技術實現方式的專項分析，全面涵蓋IM即時通訊、P2P共享下載、流媒體以及在線游戲等所有互聯應用。術語解釋用戶對象用戶：在用戶管理章節已經講過的用戶建立部分，這些用戶是需要在今后的策略中引用的。例如：一個策略僅對特定的部分人員生效，當然如果希望對所有人生效就選擇所有用戶術語解釋時間對象設備默認提供兩個時間對象：

全部時間工作時間：周一至周五早9:00-12:0013:00-17:30時間對象：在網康的設備中可以分時段進行策略的生效，因此需要自行設定一些用戶期望的時間段，時間段是按照星期和每天的時段來組成的，每個時間對象可在今后被策略引用且一個策略僅能引用一個時間對象例如：一個用戶希望在每周2，5的早8：00-12:00下午2：00-6：00生效一個策略。術語解釋2網頁過濾功能介紹31典型使用場景與配置33特殊例外的處理34問題排查35培訓提綱配置應用控制策略時的思路設置應用控制策略時通用思路如下：1.做一個策略，四要素：人、時間、應用、動作人，確定策略對誰生效時間，確定策略什么時候生效應用，確定策略對那些應用協議生效動作：確定對相關應用是阻斷還是放行實戰策略配置－應用控制策略策略配置實戰以“禁止普通員工在工作時間看在線視頻”為例，實際操作配置策略明確四要素“禁止普通員工在工作時間看在線視頻”Who：普通員工When：工作時間(9:00-18:00)What：看在線視頻Action：禁止使用實戰策略配置－應用控制策略配置詳解：建立用戶對象與時間對象WhoWhenWhatAction配置過程與之前的實例相同實戰策略配置－應用控制策略配置詳解：策略配置（引用相應的對象）WhoWhenWhatAction實戰策略配置－應用控制策略配置詳解：策略配置（引用相應的對象）WhoWhenWhatAction填好策略名稱、描述，選擇對應的用戶以及策略生效時間實戰策略配置－應用控制策略配置詳解：指定要控制的行為在列表中選擇需要控制的應用，已被選中的應用會出現在右側列表框Tips：網絡電視分類包含了PPLive這類客戶端型和土豆這類在線視頻網站型的在線視頻應用，注意根據實際情況區分WhoWhenWhatAction實戰策略配置－應用控制策略配置詳解：選擇控制方式控制方式可以選擇“允許”或“阻塞”，顧名思義。*應用信息默認會全部記錄，故無須選擇是否要記錄WhoWhenWhatAction實戰策略配置－應用控制策略配置詳解：完成配置記得要點右上角的“配置生效”按鈕實戰策略配置－檢查策略效果自己使用一種被策略禁止的應用：例如訪問“網絡視頻”后，應該看到匹配策略處有你的策略在生效，如果沒有生效，請參考后面的故障排查思路實際動手一下！用戶要求：除總經理辦公室以外，所有用戶在9：00–18：00禁止訪問QQ農場。配置時長限額策略時的思路時長限額的策略配置思路：1.做一個時長限額策略的四要素：人、時間、應用、時間額度動作人，確定策略對誰生效應用，確定策略對哪種應用協議生效時間額度動作：確定應用能夠使用的時長范圍時間，確定策略什么時候生效實戰策略配置－時長限額策略策略配置實戰以“限制普通員工每天工作時間炒股不超過半小時”為例，實際操作配置策略明確四要素“限制普通員工每天工作時間炒股不超過半小時”Who：普通員工When：工作時間(9:00-18:00)What：在線炒股Action：限時半小時實戰策略配置－應用控制策略配置詳解：建立用戶對象與時間對象WhoWhenWhatAction配置過程與之前的實例相同實戰策略配置－時長限額策略配置詳解：策略配置WhoWhenWhatAction實戰策略配置－時長限額策略配置詳解：策略配置（引用相應的對象）WhoWhenWhatAction填好策略名稱、描述，選擇對應的用戶以及策略生效時間實戰策略配置－時長限額策略配置詳解:選擇對應的應用行為WhoWhenWhatAction在列表中選擇需要控制的應用，已被選中的應用會出現在右側列表框實戰策略配置－時長限額策略配置詳解與應用控制策略基本相同，區別在于控制方式變成了“每日限額”分鐘數。Tips：限額時間可以自由分配，比如上午9點使用5分鐘、11點再使用10分鐘……直到限額用光在非策略生效時間段內，限額不起作用。如策略生效時間是每天工作時間，則在非工作時間可以任意炒股，不計入限額總時間。WhoWhenWhatAction實戰策略配置－時長限額策略配置詳解：完成配置WhoWhenWhatAction實際動手一下！用戶要求：所有人在9：00-12：00，13：00-18：00時間內，最多只能玩20分鐘QQ農場術語解釋2應用控制功能介紹31典型使用場景與配置33特殊例外的處理34問題排查35培訓提綱特殊情況的處理管或不管，從不是問題策略網段免監控IP屏蔽IP網址黑白名單Bypass域名策略也要面向對象時間對象網站分類對象網址匹配對象文件類型對象用戶自定義協議言之有理，封之有據提示信息頁面某些網段不想被管理怎么辦“策略管理”→“策略網段”不配置策略網段，ICG默認對所有網段均生效如果配置了策略網段，ICG的所有策略只對策略網段內的IP生效；不在策略網段內的IP不進行任何策略的匹配如果選擇了“阻塞不在策略網段中的IP”，則不在策略網段內的IP都無法上網用戶場景：“只需要管學生網段，不需要管老師網段，當然前提是學生網段和老師網段是清晰區隔的。特殊情況的處理某些IP不想被管理怎么辦“策略管理”→“黑白名單”→“免監控IP”前提是人員的IP是固定的，不能變，否則不能起到作用對于免監控IP列表中的IP，ICG會視而不見（即既不執行策略，也不進行監控，直接放行）可以設置單個IP，也可以設置網段用戶場景：“總經理上網的行為是不能管理的啊，畢竟是大領導”特殊情況的處理如果是動態IP，但是領導不想被管理怎辦“策略管理”→“黑白名單”→“免管控用戶”前提在組織管理中有這些用戶的用戶名，并開啟了用戶認證或用戶識別免控制用戶列在這里的用戶不受應用控制策略、時長限額策略、用戶帶寬上限策略、流量控制策略的影響免審計用戶列在這里的用戶不受所有審計策略的審計特殊情況的處理特殊情況的處理時間對象“策略管理”→“對象設置”→“時間對象”定義好的一些時間段的組合，用于在策略中約定策略生效的時間范圍特殊情況的處理用戶自定義協議“策略管理”→“對象設置”→“用戶自定義協議”對于用戶一些特有的應用，可以通過設置源/目的IP、源/目的端口的方式來添加用戶自定義協議術語解釋2應用控制功能介紹31典型使用場景與配置33特殊例外的處理34問題排查35培訓提綱問題排查一.如果出現應用控制無效2-在策略網段內嗎？你是不是免監控IP？策略的用戶包含你嗎？5-檢查應用流量日志，查看你的應用的類型是不是正確的檢查日志匹配的行為是否是禁止1-設備的引擎是否開啟了思路行動1-檢查引擎的開啟狀態（系統管理-系統狀態-引擎狀態）2-檢查你是否在控制范圍內4-檢查是不是有高優先級策略放行了4-查看訪問日志，你的訪問時允許狀態嗎？是哪個策略放行的5-檢查應用識別與動作是否正確如果都不是上述的問題，可能你自己就不能解決了。請聯系廠商工程師遠程幫你定位。3-檢查你的訪問是否通過ICG3-查看訪問日志，是否有你的訪問日志，沒有可能就沒有通過問題排查二.如果出現應用無法訪問2-是否在策略網段內，并且阻塞了策略網段外的訪問。是否在屏蔽IP內。5-逐一關閉ICG的策略，看看關閉那個策略的時候恢復正常。如果定位，先不要開啟那個策略1-確認是不是ICG導致的1-關閉引擎，看看是否還封堵，如果關閉引擎還是有問題，可能就不是ICG的問題了。不放心還可以按下bypass按鈕，如果bypass按下還有問題，就肯定不是ICG的問題2-檢查是不是被特殊例外的處理阻斷的4-如果策配置正確，檢查是否應用被誤識別4-檢查應用流量日志，查看你的應用流量日志是不是正確的不正確的識別可能導致不正確的阻斷5-檢查是否被非應用策略阻斷如果都不是上述的問題，可能你自己就不能解決了。請聯系廠商工程師遠程幫你定位。3-檢查是那條策略阻斷的3-查看日志，看看你的應用訪問是否被阻斷了。如果是，請檢查那條策略的配置是否正確思路行動1.分組討論：什么是應用控制？為什么需要對應用進行控制？對應用進行控制給客戶能帶來什么樣的好處？2.分組討論：應用協議列表是什么？有什么作用？3.分組討論：作一個應用控制與時長限額控制策略時，我們的通用思路是什么？為什么？4.試驗：禁止除總經理外的所有員工，