L7 访问配置文件可以包含多个具有不同属性类型的条目。L7 访问配置文件可用于 Tier-0 和 Tier-1 网关防火墙规则。

L7 访问配置文件包含一个默认条目,并且可在默认条目上方添加更多条目。配置文件中的条目将按照排列顺序进行评估,并在首次匹配时执行操作。

在 Tier-0 网关防火墙上创建应用程序防火墙规则之前,请务必手动添加网关防火墙规则,以允许使用 BGP、OSPF 和故障检测协议 BFD 等路由协议。应在任何应用程序规则之前添加这些规则,以确保在更改应用程序防火墙规则时,路由对等连接各自的故障检测协议不受影响。

过程

  1. 选择清单 > 配置文件
  2. 选择 L7 访问配置文件选项卡,然后单击添加 L7 访问配置文件
  3. 输入配置文件名称和可选的说明
  4. 在“属性实体”列中,单击设置
  5. 单击添加属性类型,然后从下拉菜单中选择一个或多个属性。对于 Tier-0 网关防火墙规则,应用程序 ID 是唯一支持的属性类型。
    属性类型 属性值
    应用 ID - 超过 750 个 要查看可用的应用程序 ID,请向下滚动列表,或选择应用程序 ID
    URL 类别 - 80 个以上的类别,包括社交媒体、银行、网络钓鱼等。 通过向下滚动列表来选择一个或多个 URL 类别。
    自定义 URL - 具有正则表达式 有关更多详细信息,请参见 自定义 URL
    URL 信誉 选择其中一个或多个信誉:高风险、可疑、中等风险、低风险、可信和未知
  6. 选择规则操作:
    • 允许 - 允许匹配的流量。
    • 拒绝 - 拒绝匹配的流量。
    • 拒绝并响应 - 拒绝并向客户端发送响应页面。此选项不适用于“应用 ID”属性类型。导航到 安全 > 网关防火墙 > 设置 > URL 筛选 以查看和自定义拒绝并响应消息。

      仅针对 http 流量发送“拒绝并响应”页面。响应页面将包含 URL(显示前 10 个字节)、类别、源 IP 和消息文本。输入“拒绝并响应”页面的消息。单击预览页面以查看 URL 访问被某个策略阻止时将发送的页面。

  7. 默认情况下,日志记录处于关闭状态。切换按钮以激活日志记录。
  8. 默认情况下,新添加的条目处于打开状态。切换按钮以停用条目。
  9. 单击添加
  10. 要编辑或删除条目,请单击菜单图标 (),然后选择编辑删除
  11. 要更改默认条目的设置,请单击菜单图标 (),然后选择编辑。请注意,无法关闭默认条目。默认情况下,默认条目的日志记录处于关闭状态。最终处理 L7 访问配置文件中的默认条目后,网关防火墙评估进程将停止。
  12. 单击添加以激活默认条目的已更改设置,或单击取消
  13. 单击应用
  14. 单击保存