飞塔应用控制技术详解：V4.3-14

"飞塔中文Ｖ4.3-14应用控制主要讲解了飞塔（Fortinet）设备在WEB设置中的应用控制功能，包括如何识别和管理各种网络应用，以及相应的控制策略和技术实现。" 飞塔（Fortinet）在V4.3版本中引入的应用控制功能是一种强大的网络管理工具，它超越了传统的基于端口和协议的控制方法，能够深入到应用层进行监控和管理。这种功能使得管理员能够更精确地识别和控制网络流量，确保网络安全并优化带宽使用。 1. 应用控制的内容： - 不仅限于TCP/IP端口检查，还能探测非标准端口上的应用，如HTTP协议在非80或443端口的使用。 - 通过模式匹配技术，可以识别并控制如Skype、IM等通过HTTP通道进行的P2P应用。 - 提供对应用的细粒度控制，允许执行阻断、放行、流量整形和用户级别的控制。比如，可以单独阻止FTP的PUT命令，禁止IM的文件传输，甚至检测并阻止恶意文件通过IM传递，同时实现IM消息的归档。 - 报告系统灵活，可以根据端口、协议和应用生成报告，以便分析和管理。 2. 应用控制的技术基础： - IPSScan技术，包含通用引擎和签名，支持多种应用识别，如P2P应用在3.0版本中得到广泛支持。 - 集成代理技术，可以识别应用并将其转发给代理处理，以便进行AV、WCF、内容存档等操作。在3.0版本中，全面支持HTTP、POP3、IMAP、SMTP、IM、NTP、FTP等代理，同时提供SSL代理支持，如HTTPS、POP3S、IMAPS和SMTPS。 - 其他技术包括流量控制，针对P2P应用的速率限制。 3. 数据包处理过程： - 数据包首先通过IPS异常和特征检查，接着是应用控制流量的检查。 - 协议解码用于代理识别应用，如果目标是代理，并且代理正在监听相应的端口或所有端口，流量将被转发给代理进行进一步处理，如AV、AS、WCF等。 4. 支持的应用类型广泛： - 包括即时通讯（IM）、P2P、VoIP等多种应用，如AIM、ICQ、MSN、Yahoo!、BitTorrent、gnutella、emule、winny等。 - 对P2P应用实施速率限制，以及支持SIP、H323、Skinny、RTP、MGCP等VoIP协议。 - 社交媒体和邮件服务，如Gmail、Hotmail、Blackberry、Yahoo-Mail、Facebook-Mail等。 - 数据库服务，如DB2、MySQL、Oracle、Postgres、Informix等。 - 以及特定协议命令和文件传输服务。 飞塔的应用控制功能提供了全面的网络应用识别和管理能力，结合其先进的技术手段，能够有效管理和保护企业网络，确保数据安全，优化网络性能，并帮助满足合规性需求。