在 Session Smart 路由器上配置应用程序策略
应用程序策略是瞻博网络 WAN 保证设计中的安全策略,您可以在其中定义哪些网络和用户可以访问哪些应用程序,以及根据哪种流量定向策略。要定义应用程序策略,必须创建网络、应用程序和流量定向配置文件。然后,将这些详细信息用作匹配标准,以允许访问应用程序或目标或阻止访问应用程序或目标。
在瞻博网络 Mist™ 云门户中, 网络或用户 设置确定源区域。 “应用程序 + 流量定向 ”设置确定目标区域。
有关瞻博网络® Session Smart™ 路由器上的应用程序策略的说明:
-
您可以通过三种方式之一定义应用程序策略:在组织级别、在 WAN 边缘模板内或中心配置文件中。
-
在组织级别定义应用程序策略时,可以在多个 WAN 边缘模板或中心配置文件中导入并使用该策略。也就是说,您可以遵循“定义一次,多次使用”模型。
-
直接在 WAN 边缘或中心配置文件中定义应用程序策略时,策略的范围仅限于该 WAN 边缘模板或中心配置文件。您不能在其他模板或配置文件中重复使用该策略。
-
Mist 会根据策略列表中出现的顺序评估和应用策略。
配置应用程序策略
要配置应用程序策略:
重新订购和删除应用程序策略
通过对应用程序策略进行重新订购,您可以在创建策略后四处移动这些策略。
Mist 会根据策略列表中出现的顺序评估策略并执行策略,您应该注意以下几点:
-
策略顺序很重要。由于策略评估从列表顶部开始
-
新策略将转到策略列表的末尾。
选择一个策略,然后使用上箭头或下箭头更改顺序。您可以随时更改策略顺序。
![Changing Policy Order](/documentation/us/en/software/mist/mist-wan/images/mist-ssr-application-policies-5.png)
要删除应用程序策略,请选择要删除的应用程序策略,然后单击“ 删除 ”(显示在窗格右上角)。
在网络和应用程序中使用相同的 IP 地址/前缀
在应用程序策略配置中, 网络/用户 属于源区域, 应用程序/目标 属于目标区域。
当您为不同目的定义网络和前缀时,可以为网络和应用程序使用相同的 IP 地址和前缀:也就是说,它们充当一个策略中的源,另一个策略中的目标
考虑 图 4 中的策略。
![Application Policies Details](/documentation/us/en/software/mist/mist-wan/images/mist-ssr-application-policies-6.png)
在这里,您有一个 网络/用户 SPOKE-LAN1,其 IP 地址为辐射型 LAN 接口的 IP 地址为 192.168.200.0/24。屏幕截图显示,以下策略以不同的方式使用相同的网络:
-
辐射状到辐射状-通过中心 — 此策略允许通过中心进行入站和出站分支到辐射型流量。在这里,我们定义为 SPOKE-LAN1 网络和应用程序
-
辐射状到中心 DMZ — 此策略允许辐射到中心流量。我们在这里定义为 SPOKE-LAN1 一个网络
-
中心-DMZ-辐射状 — 此策略允许中心到辐射状流量。在这里,我们定义为 SPOKE-LAN1 一个应用程序