L7 存取設定檔可以包含多個具有不同屬性類型的項目。L7 存取設定檔可用於第 0 層和第 1 層閘道防火牆規則。

L7 存取設定檔包含一個預設項目,並且可在預設項目上方新增更多項目。設定檔中的項目將按照排列順序進行評估,並在首次比對時採取動作。

在第 0 層閘道防火牆上建立應用程式防火牆規則之前,請務必手動新增閘道防火牆規則,以允許使用 BGP、OSPF 和故障偵測通訊協定 BFD 等路由通訊協定。應將這些規則新增到任何應用程式規則之前,以確保在變更應用程式防火牆規則時,路由對等對應的故障偵測通訊協定不受影響。

程序

  1. 選取詳細目錄 > 設定檔
  2. 選取 L7 存取設定檔索引標籤,然後按一下新增 L7 存取設定檔
  3. 輸入設定檔名稱和選用的說明
  4. 在 [屬性實體] 資料行中,按一下設定
  5. 按一下新增屬性類型,然後從下拉式功能表中選取一或多個屬性。對於第 0 層閘道防火牆規則,[應用程式識別碼] 是唯一支援的屬性類型。
    屬性類型 屬性值
    應用程式識別碼 - 超過 750 個 若要檢視可用的應用程式識別碼,請向下捲動清單或選取應用程式識別碼
    URL 類別 - 80 個以上的類別,包括社群媒體、銀行、網路釣魚等。 透過向下捲動清單來選取一或多個 URL 類別。
    自訂 URL - 具有規則運算式 如需更多詳細資料,請參閱自訂 URL
    URL 信譽 選擇其中一個或多個信譽:高風險、可疑、中等風險、低風險、可信和未知
  6. 選取規則動作:
    • 允許 - 允許相符的流量。
    • 拒絕 - 拒絕相符的流量。
    • 拒絕 (含回應) - 拒絕並向用戶端傳送回應頁面。此選項不適用於「應用程式識別碼」屬性類型。導覽至安全性 > 閘道防火牆 > 設定 > URL 篩選以檢視並自訂拒絕 (含回應) 訊息。

      僅針對 HTTP 流量傳送拒絕 (含回應) 頁面。回應頁面將包含 URL (顯示前 10 個位元組)、類別、來源 IP 和訊息文字。輸入拒絕 (含回應) 頁面的訊息。按一下預覽頁面,以檢視 URL 存取被原則封鎖時將傳送的頁面。

  7. 依預設,系統會關閉記錄功能。切換按鈕以啟動記錄。
  8. 依預設,會開啟新增的項目。切換按鈕以停用項目。
  9. 按一下新增
  10. 若要編輯或刪除項目,請按一下功能表圖示 (),然後選取編輯刪除
  11. 若要變更預設項目的設定,請按一下功能表圖示 (),然後選取編輯。請注意,預設項目無法關閉。依預設,會關閉預設項目的記錄功能。在最終處理完 L7 存取設定檔中的預設項目後,會停止閘道防火牆的評估程序。
  12. 按一下新增,啟用已變更的預設項目設定,或按一下取消
  13. 按一下套用
  14. 按一下儲存