应用程序网络访问控制

在此部分：

• 关于应用程序网络访问控制
• 网络连接项目
• 添加网络连接
• 将网络项目直接添加到规则
• 直接在规则中编辑网络连接
• 将网络连接项目分配给组
• 在组中编辑网络连接项目
• 应用程序网络访问控制和反向 DNS 查找
• 配置反向 DNS 查找条目
• 分发的文件系统

关于应用程序网络访问控制

应用程序网络访问控制 (ANAC) 可基于规则处理的结果并通过 IP 地址、主机名、URL、UNC 或端口提供控制出站网络连接的功能。例如，基于请求者的位置进行访问 - 通过 VPN 或直接连接到网络。

应用程序网络访问控制旨在控制公司网络基础设施中的访问。此控制通过拦截通过 WINSOCK 层发出的应用程序请求来实现。例如，

网络连接项目可以单独创建，也可以作为组的一部分创建。组和项目可以应用于允许的项目中的任何规则，以允许访问，或应用于拒绝的项目中的任何规则，以拒绝访问。如果请求拒绝网络资源，Application Control 将拦截和阻止网络访问。应用程序的执行不受控制。

允许访问所有网络资源，直到积极拒绝为止。

网络连接项目

可以为任何网络资源创建网络连接项目，并可以通过以下方式将其添加到配置中：

• 直接到规则 - 当需要更精细的控制级别或只需要几个项目时，在允许和拒绝的项目列表中添加单个网络连接项目是非常有益的。然而，使用这种方法可能会花费很多时间。
• 分配至组 - 同一组中不允许重复的网络连接项目。
• 复制粘贴 - 可以在规则之间剪切、复制或拖放网络连接项目。配置中没有默认的网络连接项目。网络连接项目的完整路径不能超过 400 个字符。

添加网络连接

连接类型

选择下列类型之一：

• IP 地址 - 选择此项可控制对特定 IP 地址的访问。
• 网络共享 - 选择此项可控制对 UNC 路径的访问。前缀 \\ 将添加到“主机”字段中。
• 主机名 - 选择此项可控制对特定主机名的访问。

连接选项

所有三个字段（主机、端口和路径）的总字符数不得超过 400 个。

主机

网络连接的 IP 地址或主机名。这取决于所选连接的类型。可以使用 ? 和 * 通配符。连字符 (-) 可用于指定范围，但仅适用于选中 IP 地址时。

IP 地址必须是 IP4 八进制格式。比如，n.n.n.n

如果选择“网络共享”作为连接类型，则需要 \\ 前缀。

可以在主机中输入目标资源的完整路径。

示例：

在“主机”字段中输入 http://server1.company.local:80/resource1/。

将焦点从“主机”移开，路径将自动拆分为单独的连接选项：

• http:// 从“主机”字段中移除，server1.company.local 仍然存在。
• ：被移除，80 移至“端口”。
• /resource1/ 移至“路径”。

这样就可以轻松地复制和粘贴完整的路径。

端口

网络连接的端口号。这可以与 IP 地址或主机名结合使用，以控制对特定端口的访问。允许将范围和逗号分隔的值作为端口号的一部分。

单击端口可显示常用端口列表。根据需要选择多个端口。

Path

网络连接的路径。可以使用 ? 和 * 通配符。使用

“路径”仅用于控制 HTTP 和

• 文本包含通配符 - 选择使用字符“?”或“*”作为路径中的通配符。如果未选中，则“?”和“*”被视为 URL 分隔符。
• 使用正则表达式 - 选择此选项可为所选路径使用正则表达式。
• 包含子目录 - 选择在规则处理中包含子目录。
• 仅在选中连接类型网络共享时才适用。

说明

输入有意义的说明来描述网络连接。

将网络项目直接添加到规则

可以将网络项目添加到任何“允许的项目”或“拒绝的项目”节点。例如，针对 IP 地址设置网络连接项目。网络连接项目在组规则中被分配给拒绝的项目。该规则的组成员将不能使用任何具有该 IP 地址的网络资源。

1. 导航到所需节点，例如，拒绝的项目或特定用户组允许的项目。

2. 在“规则项目”功能区中，选择添加项目>拒绝（或“允许”）>网络连接项目。

   将显示“添加网络连接”对话框。

3. 填写连接类型的详细信息。
4. 单击添加。

直接在规则中编辑网络连接

1. 导航到导航树中的“规则”节点，要修改的网络连接项目位于该节点。
2. 将显示“相关区域”工作区。
3. 单击要修改的网络连接项目，其将被列在网络连接下。
4. 选择“规则项目”功能区中的编辑网络连接。
5. 将显示“编辑网络连接”对话框。
6. 进行必要的修改。
7. 单击确定保存更改并关闭对话框。

将网络连接项目分配给组

1. 导航到组管理节点。
2. 在导航树中选择要添加网络连接项目的组。

3. 在工作区右键单击，并选择添加 > 网络连接。

   将显示“添加网络连接”对话框。

4. 指定网络连接的详细信息并单击添加。

在组中编辑网络连接项目

1. 导航到导航树中的相关组。

   将显示“组管理”工作区。

2. 选择要修改的网络连接项目，其将被列在网络连接下。

3. 在“组”功能区中选择编辑项目。

   将显示“编辑网络连接”对话框。

4. 进行必要的修改。
5. 单击确定保存更改并关闭对话框。

应用程序网络访问控制和反向 DNS 查找

应用程序网络访问控制功能可以在评估网络连接规则时使用反向 DNS 查找。默认情况下关闭该功能，因为从 DNS 服务器检索这些信息所花费的时间可能会降低网络应用程序的性能。

启用此功能可确保网络规则在用户或应用程序请求网络资源时更有效，当配置基于主机名时使用 IP 地址。

通过配置一组工程密钥，可以启用反向 DNS 查找。

此功能要求管理员在 DNS 服务器上启用和配置“反向 DNS 区域”。

配置反向 DNS 查找条目

如果使用工程密钥配置反向 DNS 查找条目，则只将公司网络基础设施中的 IP 地址添加到相关工程密钥中。

分发的文件系统

分布式文件系统或网络文件系统支持经由计算机网络实现的多主机共享来访问文件。这样一来，多台计算机上的多个用户就可以共享文件和存储资源。使用 DFS，系统管理员可让用户轻松访问和管理物理上跨网络分布的文件。

可通过两种方法使用服务器上的 DFS：

• 独立 DFS 命名空间
• Domain-Based DFS Namespaces

有关可在域和独立方案中使用的连字符示例，请参阅 Microsoft 指南。

对于使用网络共享的应用程序网络访问控制 (ANAC) 规则以及引用 DFS 共享上项目的文件或文件夹，您必须指定目标服务器，而不是 UNC 路径中的命名空间服务器。Application Control 代理会将命名空间服务器路径替换为目标服务器路径，因此命名空间服务器路径绝不会通过规则引擎进行传递。

相关主题

规则选项