Ejemplos de Políticas de Application Control

Puede usar la acción de Application Control Global con otras acciones de Application Control para permitir o bloquear diferentes aplicaciones en base a la hora del día, o en base al nombre del usuario o el grupo de usuarios. Primero, cree acciones de Application Control que bloqueen o permitan diferentes conjuntos de aplicaciones. Luego aplique diferentes acciones de Application Control a diferentes políticas.

Cada uno de los ejemplos habilita acciones de Application Control para un solo tipo de política. Si su configuración incluye otros tipos de políticas, como TCP-UDP o Saliente, puede utilizar los mismos pasos para establecer una configuración de Application Control de dos niveles para esas políticas. Las políticas que en las que debe aplicar una acción de Application Control dependen de qué políticas existen en su configuración y qué aplicaciones desea bloquear. Por ejemplo, si desea bloquear una aplicación y sabe que usa FTP, debe activar la acción de Application Control para la política FTP.

Para obtener recomendaciones acerca de qué tipos de políticas configurar para Application Control, consulte Pautas de Políticas para Application Control.

Permitir una aplicación para un grupo de usuarios

Si las acciones de Application Control Global bloquean una aplicación, puede crear una acción de Application Control aparte para permitir la misma aplicación a un departamento o a otro grupo de usuarios. Por ejemplo, si desea bloquear el uso de mensajería instantánea de MSN para la mayoría de usuarios, pero desea permitir esta aplicación para las personas del departamento de Ventas, puede crear acciones y políticas de Application Control diferentes para obtener este resultado.

Si ya tiene una política de filtrado de paquetes HTTP que se aplica a todos los usuarios, puede utilizar estos pasos para permitir aplicaciones distintas para el departamento de Ventas.

1. Configure la acción de Application Control Global para bloquear la mensajería instantánea de MSN, y cualquier otra aplicación que no desee permitir.
2. Aplique la acción de Application Control Global a la política de filtrado de paquetes HTTP existente.
3. Cree una acción de Application Control nueva para permitir la mensajería instantánea de MSN. Por ejemplo, podría llamar a esta acción Permitir IM. Configure esta acción para usar la acción Global cuando la aplicación no coincida.
4. Cree una política HTTP para los usuarios en el departamento de Ventas. Por ejemplo, podría llamar a esta política HTTP Ventas. Para obtener información acerca de cómo crear una política para un grupo de usuarios, consulte Usar los Usuarios y Grupos en las Políticas.
5. Aplique la acción de Application Control Permitir IM a la política HTTP Ventas.
6. Habilite la generación de registros para las políticas HTTP y HTTP Ventas.
   Debe activar la generación de registros para ver la información acerca de Application Control en los archivos e informes de registro.

En este ejemplo, las políticas HTTP resultantes podrían tener esta apariencia:

Política: HTTP Ventas

Las conexiones HTTP son: Permitidas
Desde: Ventas Para: Cualquiera Externo
Application Control: Permitir IM

Política: HTTP

Las conexiones HTTP se: Permitidas
Desde: Cualquiera de Confianza Para: Cualquiera Externo
Application Control: Global

La acción de Application Control Permitir IM aplicada a la política HTTP Ventas actúa como una excepción a la acción de Application Control Global. Los usuarios en el grupo de Ventas pueden usar la mensajería instantánea de MSN, pero no pueden usar ninguna otra aplicación bloqueada por la acción de Application Control Global.

Si esta configuración del dispositivo incluía otras políticas, como Proxy HTTP, TCP-UDP o Saliente, que podrían ser usadas para tráfico de IM, puede repetir los pasos anteriores para establecer una configuración de Application Control de dos niveles para otras políticas.

Bloquear aplicaciones durante los horarios laborales

Puede usar Application Control con políticas para bloquear diferentes aplicaciones según el horario del día. Por ejemplo, es posible que desee bloquear el uso de juegos durante los horarios laborales. Para bloquear aplicaciones durante ciertos horarios, puede usar Application Control con políticas que tengan un cronograma operativo.

Si ya tiene una política Proxy HTTP que no tiene un cronograma de funcionamiento, use estos pasos para agregar una nueva política y acción de Application Control para bloquear aplicaciones durante horas de oficina.

1. Configure la acción de Application Control Global para bloquear las aplicaciones que desee bloquear siempre.
2. Aplique la acción de Application Control Global a la política Proxy HTTP existente.
3. Cree un cronograma llamado Horas de Oficina que defina las horas de oficina. Para obtener más información acerca de los cronogramas, consulte Crear Cronogramas para las Acciones de Firebox.
4. Cree una nueva política Proxy HTTP que utilice el cronograma Horas de Oficina que configuró. Por ejemplo, podría denominar a la nueva política Proxy-HTTP-Oficina. Para obtener más información acerca de cómo definir un cronograma para una política, consulte Establecer un Cronograma Operativo.
5. Cree una acción de Application Control que bloquee las aplicaciones que desea bloquear durante los horarios laborales. Por ejemplo, podría denominar a esta acción Oficina.
6. Aplique la acción de Application Control Oficina a la política Proxy-HTTP-Oficina.
7. Habilite la generación de registros para las políticas Proxy HTTP y Proxy-HTTP-Oficina.
   Debe activar la generación de registros para ver la información acerca de Application Control en los archivos e informes de registro.

En este ejemplo, las políticas resultantes podrían tener esta apariencia:

Política: Proxy-HTTP-Oficina

Las conexiones HTTP son: Permitidas
Desde: Ventas Para: Cualquiera Externo
Application Control: Negocios

Política: Proxy HTTP

Las conexiones HTTP se: Permitidas
Desde: Cualquiera de Confianza Para: Cualquiera Externo
Application Control: Global

La Acción de Application Control Oficina en la política Proxy-HTTP-Oficina bloquea los juegos solamente durante las horas de oficina. Las otras aplicaciones en la acción de Application Control Global están bloqueadas en todas las horas del día.

Si esta configuración del dispositivo incluía otras políticas, como HTTP, TCP-UDP o Saliente, que podrían ser usadas para tráfico de juegos, puede repetir los pasos anteriores para establecer una configuración de Application Control de dos niveles para otras políticas.

Precedencia de Application Control y de la Política

Cuando aplica diferentes acciones de Application Control a políticas múltiples del mismo tipo, es útil comprender la precedencia de la política, para saber qué políticas aplicar a qué tipo de tráficos. El dispositivo Firebox automáticamente ordena las políticas desde la más detallada a la más general. La primera regla de la lista que coincida con las condiciones del paquete se aplica al paquete.

Para más información acerca de la precedencia de políticas, consulte Acerca de la Precedencia de las Políticas.

Ver también

Configurar Acciones de Application Control

Danos tu Opinión  •   Obtener Soporte  •   Toda la Documentación del Producto  •   Búsqueda Técnica

© 2019 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware y LiveSecurity son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies en Estados Unidos y/o en otros países.