App Control / URL Filtering¶
傳統防火牆只看 IP / Port,但現代流量大多走 HTTP/HTTPS。Application Control 辨識「這是哪個應用程式」,URL Filtering 管「能不能連到這類網站」,讓你用「應用程式 / 網站分類」而不是 IP 來寫規則。
兩個 Blade 的分工¶
| Blade | 管什麼 | 例子 |
|---|---|---|
| Application Control | 辨識應用程式 / 動作 | 允許 Facebook 瀏覽、禁止 Facebook 上傳檔案 |
| URL Filtering | 依網站分類過濾 | 擋「賭博」「惡意網站」分類 |
兩者常一起啟用,背後靠 Check Point 的 AppWiki 應用程式資料庫與雲端網站分類服務。
在規則庫怎麼用¶
啟用 Blade 後,Access Control 規則的 Services & Applications 欄位就能放:
- 具體應用程式(如
YouTube、BitTorrent) - 應用程式分類(如
P2P File Sharing、Anonymizer) - URL 分類(如
Gambling、Phishing) - 自訂的 URL / 應用群組
範例規則:
Source: Internal_Net
Application: Anonymizer, P2P File Sharing
Action: Drop + Log
→ 內網禁用翻牆工具與 P2P
搭配 Identity Awareness 更精準
啟用 Identity Awareness 後,可用「使用者 / AD 群組」當 Source,寫出「業務部可用社群、工程部禁 P2P」這類以人為單位的規則,而不是綁 IP。
處理 HTTPS 的限制¶
現在網站幾乎全 HTTPS。沒開 HTTPS Inspection 時:
- Gateway 靠檢查 TLS Client Hello 的 SNI 欄位(或伺服器憑證 CN)來分類 HTTPS 網站 / 應用,仍能做基本網站分類與部分 App 辨識。
- 但看不到加密內容,深度的應用程式動作辨識(例如區分「瀏覽」與「上傳」)、URL path 比對會受限。
- 加密、無 SNI 或使用 ECH(Encrypted Client Hello) 的流量無法精確分類。
要完整辨識,需搭配 HTTPS Inspection 解密。
應用程式怎麼被比對
應用程式預設依其 Recommended services 比對;例如 Web Browsing 的預設服務含 http、https、HTTP_proxy、HTTPS_proxy。可在 SmartConsole → Access Tools → Application Wiki(AppWiki) 瀏覽 Check Point 的應用資料庫,把應用 / 分類放進規則。
UserCheck(互動式提示)¶
Action 可設成 Ask / Inform / Block 並搭配 UserCheck 頁面:
- Inform:提醒使用者這個連線被記錄 / 不建議。
- Ask:跳出頁面要使用者確認才放行。
- Block:擋下並顯示自訂封鎖頁。
更新與驗證¶
# 確認 Application & URL Filtering 服務狀態
fw stat
# 確認雲端分類 / 更新狀態(expert)
cpstat appi # Application Control 統計
# Logs 中可看到每筆連線命中的 App 名稱與 URL 分類
版本提醒
App Control / URL Filtering 自 R80 起整合進統一的 Access Control 規則庫,R81.10 ~ R82.10 一致。AppWiki 與網站分類資料庫由雲端持續更新,與大版本無關。R82 起對 QUIC / HTTP3 等新協定的辨識持續強化。
小結¶
- Application Control 辨識「哪個應用」、URL Filtering 管「哪類網站」。
- 直接在 Access Control 規則的 Applications 欄位使用,可用分類批次管理。
- 全 HTTPS 時代,要完整辨識內容需搭配 HTTPS Inspection。
- 配合 Identity Awareness 可用「使用者 / 群組」寫規則。