應用程式網路存取控制項

在這個部分中:

• 關於應用程式網路存取控制項
• 網路連線項目
• 新增網路連線
• 直接將網路項目新增至規則
• 直接在規則中編輯網路連線
• 將網路連線項目指派給群組
• 編輯群組中的網路連線項目
• 應用程式網路存取控制項和反向 DNS 查詢
• 設定反向 DNS 查詢項目
• 分散式檔案系統

關於應用程式網路存取控制項

「應用程式網路存取控制項」(ANAC) 提供了能依規則處理之結果，透過 IP 位址、主機名稱、URL、UNC 或連接埠控制輸出網路連線的能力。例如，基於要求者位置的存取 - 透過 VPN 連接或直接連接至網路。

「應用程式網路存取控制項」是專為控制公司網路基礎結構內的存取所設。此控制的實施方式是透過攔截經由 WINSOCK 層發出的應用程式要求來實現。例如，

「網路連線項目」可個別建立，或做為群組的一部分建立。群組與項目可套用至「允許的項目」內的任何規則以允許存取，或是套用至「拒絕的項目」以拒絕存取。若要求拒絕網路資源，則 應用程式控制 會攔截和封鎖網路存取。應用程式的執行不受控制。

除非主動拒絕，否則允許存取全部網路資源。

網路連線項目

可以為任何網路資源建立「網路連線項目」，並可透過下列方式新增至組態中:

• 直接新增至規則 - 需要更為精細的控制層級，或是僅需要少數幾個項目時，新增單一「網路連線」項目至允許或拒絕的項目清單較為有利。然而，使用此方法可能相當耗費時間。
• 指派至群組 - 相同群組內不允許有重複的網路連線項目。
• 複製並貼上 - 網路連線項目可在各規則之間剪下、複製或拖放。組態中沒有預設的網路連線項目。網路連線項目的完整路徑不可超過 400 個字元。

新增網路連線

連線類型

選取下列類型之一:

• IP 位址 - 選取將控制特定 IP 位址的存取。
• 網路共享 - 選取將控制 UNC 路徑的存取。前綴 \\ 將新增至「主機」欄位中。
• 主機名稱 - 選取將控制特定主機名稱的存取。

連線選項

全部三個欄位 (「主機」、「連接埠」和「路徑」) 的字元數總計不可超過 400。

主機

網路連線的 IP 位址或主機名稱。這取決於選取的連線類型。可以使用 ? 和 * 萬用字元。連字號 (-) 可用於定義範圍，但是僅限於已選取 IP 位址時。

IP 位址必須採用 IP4 八進位數格式。例如，n.n.n.n

如果選取「網路共享」做為連線類型，則需要 \\ 前綴。

可在「主機」內輸入目標資源的完整路徑。

範例:

在「主機」欄位中輸入 http://server1.company.local:80/resource1/。

從主機移開焦點，路徑將自動分割為個別的連接選項:

• 從「主機」欄位中移除 http://，server1.company.local 仍然存在。
• : 已刪除，而且 80 移至「連接埠」。
• /resource1/ 移至「路徑」。

這樣便能輕鬆複製及貼上完整路徑。

連接埠

網路連線的連接埠號碼。這可以與 IP 位址或主機名稱結合使用，以控制特定連接埠的存取。允許使用範圍及逗點分隔值做為連接埠號碼的一部分。

按一下連接埠即可顯示常用的連接埠清單。視需要選取多個連接埠。

Path

網路連線的路徑。可以使用 ? 和 * 萬用字元。若要使用

「路徑」僅與控制 HTTP 有關

• 文字包含萬用字元 - 選取便可使用 ? 和 * 字元做為路徑中的萬用字元。若未選取，則 ? 與 * 會視為 URL 分隔符號。
• 使用規則運算式 - 選取此選項可針對所選路徑使用規則運算式。
• 包含子目錄 - 選取便可在規則處理內包含子目錄。
• 只有在選取「網路共用」連線類型時才適用。

說明

請輸入有意義的說明來描述網路連線。

直接將網路項目新增至規則

「網路項目」可新增至任何「允許的項目」或「拒絕的項目」節點。例如，「網路連線項目」設定了一組 IP 位址。在「群組規則」中，將「網路連線項目」指派至「拒絕的項目」。而該規則的群組成員將無法使用該 IP 位址存取任何網路資源。

1. 導覽至所需節點，例如，特定使用者群組的「拒絕的項目」或「允許的項目」。

2. 在「規則項目」功能區中，選取新增項目 > 拒絕 (或允許) > 網路連線項目。

   「新增網路連線」對話方塊隨即顯示。

3. 填入連線類型的詳細資訊。
4. 按一下新增。

直接在規則中編輯網路連線

1. 導覽至其中存在待修改「網路連線項目」之導覽樹狀目錄的「規則」節點。
2. 相關工作區域隨即顯示。
3. 按一下列在「網路連線」底下的待修改「網路連線項目」。
4. 在「規則項目」功能區上選取編輯網路連線。
5. 編輯網路連線對話方塊隨即顯示。
6. 進行必要的修改。
7. 按一下確定儲存變更並關閉對話方塊。

將網路連線項目指派給群組

1. 瀏覽至群組管理節點。
2. 在導覽樹狀目錄中選取要新增「網路連線項目」的群組。

3. 在工作區域以滑鼠右鍵按一下，然後選取新增 > 網路連線。

   「新增網路連線」對話方塊隨即顯示。

4. 指定網路連線詳細資訊，然後按一下新增。

編輯群組中的網路連線項目

1. 導覽至導覽樹狀目錄中的相關「群組」。

   「群組管理」工作區域隨即顯示。

2. 選取列在「網路連線」底下的待修改「網路連線項目」。

3. 在「群組」功能區上選取編輯項目。

   「編輯網路連線」對話方塊隨即顯示。

4. 進行必要的修改。
5. 按一下確定儲存變更並關閉對話方塊。

應用程式網路存取控制項和反向 DNS 查詢

在評估網路連線規則時，「應用程式網路存取控制項」功能使用反向 DNS 查詢。該功能依預設為關閉，因為從 DNS 伺服器擷取此資訊所使用的時間，可能會降低網路應用程式的效能。

啟用此功能可確保在使用者或應用程式請求網路資源時，以及在組態以主機名稱為基礎來使用 IP 位址時，網路規則能更為有效。

透過設定一組工程金鑰，即可啟用反向 DNS 查詢。

此功能需要管理員在 DNS 伺服器上啟用和設定反向 DNS 區域。

設定反向 DNS 查詢項目

若使用工程金鑰來設定反向 DNS 查詢項目，則僅將公司網路基礎結構內的 IP 位址新增至相關工程金鑰中。

分散式檔案系統

分散式檔案系統或網路檔案系統允許從透過電腦網路共用的多個主機存取檔案。這可讓多部電腦上的多個使用者共用檔案及儲存資源。系統管理員可使用 DFS 讓使用者能更輕鬆地存取及管理實際分散於網路上的檔案。

您可以使用兩種方式在伺服器上實作 DFS:

• 獨立 DFS 命名空間
• Domain-Based DFS Namespaces

如需網域和個別狀況的範例，請參閱 Microsoft 指南。

針對使用網路共用及檔案或資料夾 (參照 DFS 共用上的項目) 的應用程式網路存取控制項 (ANAC) 規則，您必須指定目標伺服器，而非 UNC 路徑中的命名空間伺服器。應用程式控制 代理程式會以目標伺服器路徑來取代命名空間伺服器路徑，因此命名空間伺服器路徑並不會通過規則引擎。

相關主題

規則選項