在這節課中，你將學習如何監視和控制可能使用標準或非標準協議和埠的網路應用程式——除了簡單地阻斷或允許協議、埠號或IP地址之外。

在這節課中，你將探討以下主題：

• 應用程式控制基礎知識
• 應用程式控制配置
• 記錄和監視應用程式控制事件
• 最佳實踐和故障排查

在完成本節之後，你應該能夠：

• 理解應用程式控制
• 檢測應用程式控制型別
• 瞭解FortiGuard應用程式控制服務資料庫
• 使用應用程式控制簽名

　　通過展示應用程式控制基礎的能力，你將能夠理解應用程式控制在FortiGate上的工作方式。

應用程式控制檢測應用程式——通常是消耗大量頻寬的應用程式——並允許你採取與應用程式流量相關的適當操作，比如監控、阻止或應用流量整形。

　　應用程式控制通過將已知的模式與應用程式的傳輸模式相匹配來識別應用程式，比如Google Talk。因此，只有在其傳輸模式是唯一的情況下，才可以準確地識別應用程式。然而，並不是每個應用程式都以一種獨特的方式執行。許多應用程式重用已經存在的、標準的協議和通訊方法。例如，許多視訊遊戲，如魔獸世界，使用BitTorrent協議分發遊戲補丁。

　　應用程式控制可以在基於代理和基於流的虛擬域中進行配置。然而，由於應用程式控制使用的是IPS引擎，它使用基於流的檢查，所以檢查總是基於流的。相比之下，當通過HTTP代理應用web過濾和抗病毒時，代理首先解析HTTP並刪除協議，然後只掃描內部的有效負載。

　　為什麼FortiGate使用基於流的掃描來進行應用程式控制？

　　不像其他形式的安全配置檔案，如web過濾或反病毒，應用程式控制不是由代理應用的。它使用一個IPS引擎來分析網路流量和檢測應用程式流量，即使應用程式使用的是標準的或非標準的協議和埠。它不使用內建的協議狀態來操作。它匹配資料包的整個位元組流中的模式，然後尋找模式。

當HTTP和其他協議被設計時，它們被設計為易於跟蹤。正因為如此，管理員可以輕鬆地訪問NAT裝置背後的單個伺服器，比如路由器，以及後來的防火牆。

　　但是，當P2P應用程式被設計時，他們必須能夠在沒有幫助的情況下工作，或者從網路管理員那裡進行合作。為了實現這一點，設計師們讓P2P應用程式能夠繞過防火牆，而且難以察覺。埠隨機化、針孔和更改加密模式是P2P協議使用的一些技術。

　　這些技術使得P2P應用程式很難使用防火牆策略來阻止，並且使它們很難通過基於代理的檢查來檢測。

　　使用IPS引擎的基於流的檢查可以分析資料包的模式匹配，然後尋找用於檢測P2P應用程式的模式。

這張幻燈片展示了傳統的客戶端——伺服器架構。可能有很多流行站點的客戶端，但是通常，比如使用office檔案伺服器，它只是一個客戶端和一個伺服器。

　　傳統的下載使用一個定義的協議，而不是標準的埠號。無論是來自web還是FTP站點，下載都是從一個IP地址到一個IP地址。因此，阻止這種通訊量很容易：你只需要一個防火牆策略。

　　但對於點對點的下載來說，這是比較困難的。為什麼?

P2P下載將每個檔案劃分為多個（理論上是無限的）對等體。每一個對等體都提供了檔案的一部分。雖然在客戶端——伺服器架構中有許多客戶端是一個缺點，但它是P2P體系結構的一個優勢，因為隨著對等節點的數量增加到n，檔案的傳輸速度要快n倍。

　　因為受歡迎程度提高了交付的速度——不像傳統的客戶端-伺服器架構，受歡迎程度可以有效地導致對伺服器的服務攻擊——一些軟體，比如Linux的bt分發版，以及釋出新補丁的遊戲，利用了這種優勢。即使每個客戶端都沒有頻寬，他們也可以為下載提供比許多功能強大的伺服器更多的頻寬。

　　相反，為了下載檔案，請求對等體每秒可以消耗更多的頻寬，而不是隻使用單個伺服器。即使你的網路中只有一個對等體，它也可以消耗異常大量的頻寬。由於協議通常是迴避的，而且會有許多會話給許多對等體，所以很難完全阻止它們。

 在你嘗試控制應用程式之前，瞭解應用程式控制使用的簽名是很重要的。

　　應用程式控制如何檢測最新的應用程式和對應用程式協議進行更改？

　　應用程式控制現在是一個免費的FortiGuard服務，應用程式控制簽名的資料庫與IPS資料庫是分開的。你可以配置你的FortiGate，以自動更新其在FortiGuard頁面上的應用程式控制簽名資料庫。應用程式控制簽名資料庫資訊也會顯示在FortiGuard上。你還可以啟用推送更新，以便在FortiGuard伺服器可用時，FortiGate會收到更新。

 你可以在FortiGuard網站http://www.fortiguard.com上檢視應用程式控制資料庫的最新版本，也可以在應用程式控制配置檔案中單擊單個應用程式簽名。

　　應用程式控制資料庫提供了基於類別、流行度和風險的應用程式控制簽名的詳細資訊。

　　在構建應用程式控制簽名時，FortiGuard安全研究團隊評估應用程式並分配一個風險級別。所分配的風險等級是基於安全風險的型別。評分是特定於Fortinet的，與普通的漏洞評分系統（CVSS）或其他外部系統無關。如果你沒有意識到具體的應用程式，那麼這些資訊可以幫助你決定是否明智地遮蔽應用程式。

　　在FortiGuard網站上，你可以閱讀有關每個簽名相關應用的詳細資訊。讓我們來看一個例子。

　　在這張幻燈片上，您可以看到一個用於超聲9.6+的示例文章。超聲9.6+是一個web代理，因此它屬於代理類別。 建立測試策略是一種很好的實踐，你可以使用它來觀察策略行為。

　　如果你需要控制新的應用程式，並且最新的更新不包括對它們的定義，你可以到FortiGuard網站，並提交一個請求來新增新的應用程式。如果你認為應用程式應該屬於一個不同的類別，那麼你還可以提交一個請求來重新評估一個應用程式類別。

許多web應用程式提供的功能可以嵌入到第三方網站或應用程式中。例如，你可以在文章的結尾嵌入一個 “Facebook喜歡”的按鈕，或者在一個教育網站上引用YouTube視訊。FortiOS為管理員提供了檢查子應用程式流量所需的所有工具。FortiGuard應用控制簽名資料庫是按層次結構組織的。這使你夠更細粒度地檢查流量。你可以遮蔽Facebook的應用程式，同時允許使用者使用Facebook聊天進行協作。

小測驗。

 你現在瞭解了基本的應用程式控制功能。接下來，你將瞭解應用程式控制配置。

在完成本節之後，你應該能夠：

• 在配置檔案模式下配置應用程式控制
• 下一代防火牆（NGFW）策略模式中配置應用程式控制
• 使用應用程式控制流量整形策略

　　通過展示在FortiOS上的應用程式控制操作模式的能力，你將能夠在配置檔案模式和NGFW策略模式中有效地使用應用程式控制。

當FortiGate或VDOM以基於流的（NGFW模式設定為基於配置檔案）檢查模式或基於代理的檢查模式時，為了配置應用程式控制，管理員必須建立一個應用程式控制配置檔案，並將該配置檔案應用到防火牆策略中。

　　值得注意的是，應用程式控制配置檔案使用基於流的掃描技術，而不管在VDOM或FortiGate上使用哪種檢查模式。

　　應用程式控制配置檔案由三種不同型別的過濾器組成：

• Categories：基於相似性的組應用程式。例如，所有能夠提供遠端訪問的應用程式都被分組到Remote  Access類別中。你可以檢視一個類別中所有應用程式的簽名，或者將一個動作應用到一個類別中。
• Application overrides：提供控制特定簽名和應用程式的靈活性。
• Filter overrides：當一個預定義的類別不滿足您的需求時，您想要根據類別中不可用的標準來阻止所有的應用程式。你可以根據行為、流行程度、協議、風險、供應商或應用程式使用的技術來配置應用程式的分類， 並基於此採取行動。

應用程式控制配置檔案是在Application Control頁面上配置的。你可以根據類別、應用程式覆蓋和過濾覆蓋來配置動作。你還可以通過單擊View Application Signatures來檢視應用程式控制簽名列表。

　　在Application Control配置頁面的頂部，你將看到一個關於有多少雲應用程式需要深入檢查的摘要。使用SSL加密的雲應用程式不能在沒有深度檢查的情況下進行掃描。為了執行檢查和控制應用程式的流量，FortiGate需要對流量進行解密。

　　Unknown Applications匹配無法與任何應用程式控制簽名匹配的流量，並將流量標識為日誌中未知的應用程式。導致流量被確定為未知應用的因素包括：

• 您的使用者使用了多少種罕見的應用程式
• 您正在使用哪種IPS資料庫版本

　　識別未知的流量會導致頻繁的日誌記錄。頻繁的日誌記錄會降低效能。

在雲符號的右邊列出的數字表示一個指定類別內的雲應用程式的數量。

　　如果你需要啟用Allow and Log DNS Traffic，你應該只在短時間內啟用它，例如在調查期間。根據應用程式和它查詢DNS伺服器的頻率，啟用這個設定會使用重要的系統資源。

　　QUIC是來自谷歌的協議。它不使用標準的TCP連線來進行web訪問，而是使用UDP，而不是通過web過濾掃描。 允許QUIC指導FortiGate檢查Google Chrome的資料包，以獲得一個QUIC的標題，並生成日誌作為一個QUIC 訊息。阻止QUIC迫使Google Chrome使用HTTP2/TLS1.2和FortiGate來記錄QUIC被阻止。QUIC的預設動作是 Block。

　　基於Replacement Messages for HTTP-based Applications 設定允許你用說明（為使用者的利益）替換被阻止的內容。但是，對於非HTTP/HTTPs應用程式，你只能刪除資料包或重置TCP連線。

　　在配置了應用程式控制配置檔案之後，請選擇防火牆策略中的配置檔案。與其他安全配置檔案一樣，您在應用 程式控制配置檔案中配置的設定也不會在全域性範圍內應用。FortiGate將應用程式控制配置檔案設定應用於您選 擇應用程式控制配置檔案的防火牆策略所控制的流量。這允許細粒度控制。

 IPS引擎檢查了一個簽名匹配的流量。

　　然後，FortiGate按順序掃描資料包中的匹配項，以查詢應用程式控制配置檔案：

1. Application Overrides:如果您已經配置了Application Overrides，那麼應用程式控制配置檔案首先考慮這些。它尋找一個匹配的覆蓋，從列表的頂部開始，就像防火牆策略一樣。
2. Filter Overrides:如果沒有匹配的應用程式覆蓋，那麼應用程式控制配置檔案將基於配置的Filter  Overrides應用該操作。
3. Categories:最後，應用程式控制配置檔案應用您在選定的Categories中為應用程式配置的操作。

　　同樣值得注意的是，不能建立相同簽名的多重覆蓋

在這張幻燈片上的示例配置檔案中，應用程式控制配置檔案阻止了Game和 Video/Audio類別。對於這些類別中的應用程式，FortiGate響應應用程式控制的HTTP阻止訊息。（它與web過濾的HTTP阻止訊息略有不同）。 除了Unknown Applications，所有其他類別都將被設定為Monitor，並且允許通過流量。

　　在 Application Overrides 部分，你可以看到指定了一些例外情況。而不是被設定成阻止， Battle.Net (Game) 和Dailymotion (Video/Audio) 被設定為 Monitor.因為應用程式覆蓋首先在掃描中應用，所以這兩個應用程式將被允許，並且將生成日誌。

　　接下來，掃描將檢查Filter Overrides。因為過濾器覆蓋被配置為阻止使用過多頻寬的應用程式，它將阻止所有使用過多頻寬的應用程式，而不考慮允許這些應用程式的類別。

　　這裡有一個例子，說明了幾個安全配置檔案特性可以在相同的流量中協同工作、重疊或作為替代品。

　　在應用程式控制配置檔案掃描完成之後，FortiGate開始其他的掃描，例如web過濾。網路過濾掃描可以阻止Battle.Net 和Dailymotion,但它會使用自己的阻止訊息。另外，web過濾不會檢查應用程式控制覆蓋列表。因此，即使應用程式控制覆蓋允許應用程式，web過濾仍然可以阻止它。

　　類似地，靜態URL過濾有它自己的豁免操作，它繞過了所有後續的安全檢查。然而，應用程式控制發生在web 過濾之前，因此web過濾豁免不能繞過應用程式控制。

於應用程式控制配置檔案中的每個過濾器，你必須指出一個動作——當流量匹配時，FortiGate會做什麼。行動包括以下內容：

• Allow：允許流量通過但不記錄日誌
• Monitor：允許流量，但也生成一條日誌訊息。
• Block：刪除已檢測到的流量並生成一條日誌訊息。
• Quarantine：阻止攻擊者IP的流量，直到到達過期時間為止。它還生成一條日誌訊息。

　　View Signature設定允許你只檢視特定類別的簽名，而不是一個可配置的動作。 View Cloud Signatures設定允許你從一個特定的類別檢視應用程式簽名。

　　哪一個是正確的選擇？

　　如果你不確定要選擇哪一個動作，那麼在你研究你的網路時，Monitor最初可能是有用的。稍後，在你研究了你的網路流量之後，你可以通過選擇最合適的操作來調整篩選器的選擇。你所選擇的操作也依賴於應用程式。如果應用程式需要反饋來防止不穩定或其他不需要的行為，那麼你可以選擇quarantine而不是block。否則， 最有效地使用FortiGate資源就是要阻止。

在配置了應用程式控制配置檔案之後，必須將其應用於防火牆策略。這將指示FortiGate開始掃描受防火牆策略影響的應用程式流量。

對於基於HTTP的應用程式，應用程式控制可以向用戶提供關於為什麼他們的應用程式被阻止的反饋。這被稱為阻止頁面，它類似於您可以配置的URL，你可以使用FortiGuard web過濾來阻止它。

　　還值得一提的是，如果防火牆策略中啟用了深度檢查，所有基於HTTP的應用程式都將提供這個阻止頁面。

　　阻止頁面包含以下資訊：

• 檢測到應用程式的簽名（在本例中是BitTorrent）
• 簽名的類別(P2P)
• 被特別遮蔽的URL（在本例中是bittorrent.com的索引頁），因為一個web頁面可以從多個URL組裝
• 客戶端的源IP（10.0.1.10）
• 伺服器的目的IP
• 使用者名稱（如果啟用了身份驗證）
• 管理流量的策略的UUID
• FortiGate的主機名

　　這個列表中的最後兩個條目可以幫助你識別哪個FortiGate阻止了頁面，即使你有一個大型的網路，有許多FortiGate的裝置保護不同的部分。

當FortiGate在NGFW策略模式下執行時，管理員可以直接將應用程式控制應用到防火牆策略中，而不是先建立一個應用程式控制配置檔案，然後將其應用到防火牆策略中。消除了使用應用程式控制配置檔案的需要，使得管理員可以更容易地選擇他們希望在防火牆策略中允許或拒絕的應用程式或應用程式類別。

　　需要注意的是，NGFW策略模式下VDOM或FortiGate中的所有防火牆策略都必須使用相同的SSL/SSH檢查配置檔案。NGFW基於策略的模式還需要使用中央SNAT，而不是在防火牆策略中應用NAT設定。

 你可以在Application部分的防火牆策略中選擇一個或多個應用程式、應用程式組和應用程式類別。在你點選應用程式的+圖示之後，FortiOS將開啟一個彈出視窗，你可以使用它來搜尋和選擇一個或多個應用程式簽名、應用程式組或應用程式類別。基於應用程式、組和應用程式類別應用於策略，FortiOS將應用防火牆動作到應用程式流量中。

　　你可以在相同的防火牆策略中配置URL Category，但是，新增一個URL過濾器將導致應用程式控制只在基於瀏覽器的技術類別中掃描應用程式。例如，Facebook 網站上的Facebook Messenger。

　　你還可以配置具有多個應用程式和應用程式類別的Group ，這將允許管理員混合多個應用程式和類別。

　　除了應用一個URL類別過濾器之外，你還可以將AntiVirus、DNS Filter和IPS安全配置檔案應用到允許通過的應用程式流量中。

FortiOS使用一個三步過程來執行NGFW基於策略的應用程式過濾。以下是對每一步所發生的事情的簡要概述：

　　在步驟1中，FortiOS將允許所有的流量，同時將資料包轉發到IPS引擎，以檢查和識別流量。與此同時，FortiOS將在會話表中建立一個入口，以供流量通過，併為它新增一個may_dirty的標記。

　　在步驟2中，一旦IPS引擎識別出應用程式，它就會用下面的資訊來更新會話條目，包括dirty標誌、valid_app標 志和應用程式id。

　　在步驟3中，FortiOS核心再次執行防火牆策略查詢，以檢視已確定的應用程式id是否在任何發現有防火牆策略 中列出。這一次，核心同時使用了第4層和第7層資訊來進行策略匹配。在與防火牆策略規則相匹配之後， FortiOS核心將在防火牆策略上配置的動作應用到應用程式流量中。

在NGFW策略模式中配置應用程式控制非常簡單。你可以建立一個新的防火牆策略或者編輯一個現有的防火牆策略。在Application部分中，選擇你想要允許或拒絕的應用程式、類別或組，並相應地更改防火牆策略 Action 。在你選擇允許的應用程式中，你可以通過啟用AV掃描、DNS過濾和IPS控制進一步增強網路安全性。 你還可以啟用Security Events或All Sessions的日誌記錄，以確保記錄所有應用程式控制事件。

 在NGFW的策略模式下，你必須有一個匹配的中央SNAT策略，以便能夠通過流量。NAT是基於中央SNAT策略 中定義的標準應用於流量。

　　安排防火牆策略是非常重要的，這樣更具體的策略就位於頂部，以確保正確使用應用程式控制。

　　注意：SSH/SSL Inspection部分是灰色的，因為當NGFW策略模式啟用時，它是在VDOM級別選擇的。

NGFW策略匹配使用上到下的方法。你必須有一個具體的策略，高於一個更廣泛的策略。舉個例子，如果你想遮蔽Facebook，但允許Social.Media類別，你必須把阻止Facebook流量的策略置於允許Social.Media類別的 策略之上。

如果一個應用程式是必需的，但是你需要防止它影響頻寬，那麼您可以將一個速率限制應用到應用程式中，而不是完全阻止它。例如，你可以對用於儲存或備份的限制應用程式進行評級，為更敏感的流媒體應用程式留出足夠的頻寬，比如視訊會議。

　　當你試圖限制使用相同TCP或UDP埠號作為關鍵任務應用程式的流量時，將流量整形應用於應用程式是非常有用的。一些高流量的網站，比如YouTube，可以通過這種方式被限流。

　　檢查節流如何工作的細節。並不是所有對www.youtube.com的URL請求都是用於視訊的。你的瀏覽器會發出幾個HTTPS請求：

• 網頁本身
• 影象
• 指令碼和樣式表
• 視訊

　　所有這些條目都有單獨的URL。如果你分析一個像YouTube這樣的網站，網頁本身就不會佔用太多的頻寬；它是使用最多頻寬的視訊內容。但是，由於所有的內容都是使用相同的協議（HTTPS）傳輸的，並且URL包含動態生成的字母數字字串，所以傳統的防火牆策略不能通過埠號或協議來阻止或限制流量，因為它們是相同的。使用應用程式控制，你可以只對視訊進行限制。這樣做可以防止使用者在仍然允許他們訪問網路頻寬的情況下使網路頻寬飽和。

 你可以通過配置流量整形策略來限制應用程式類別或特定應用程式的頻寬。你也可以將流量整形應用到 FortiGuard web過濾類別中。

　　你必須確保匹配的標準與你想要應用整形的防火牆策略相一致。它不需要完全匹配。例如，如果防火牆策略中的源地址被設定為all（0.0.0.0/0.0.0.0），那麼流量整形策略中的源地址可以被設定為包含在all中的任何源，例如LOCAL_SUBNET（10.0.1.0/24）。

　　如果在GUI中不可見流量整形策略，你可以在 Feature Visibility 頁面啟動它。

　　注意，傳出的介面通常是出口介面（WAN）。Shared Shaper設定適用於入口-出口的流量，這對於限制上傳的頻寬是很有用的。反向的Reverse Shaper也是一種共享的工具，但它適用於反向方向的流量（從出口到入口的流量）。這對於限制下載或流媒體的頻寬是很有用的，因為它限制了從外部介面到內部介面的頻寬。

　　有兩種型別的shapers可以從Traffic Shaping Policy 頁面進行設定，你可以將它們應用到流量成型策略中：

• Shared Shaper:使用該工具對所有流量應用總頻寬。範圍可以是每個策略，也可以是所有引用該shaper的策略。
• Per-IP Shaper:允許您將流量應用於安全策略中的所有源IP地址，並且頻寬在組中平均分配。

 小測驗。

 你現在瞭解了應用程式控制操作模式。接下來，你將瞭解日誌記錄和監控應用程式控制事件。

你現在有了一些基本的管理知識。接下來，你將瞭解內建伺服器。

在完成本節之後，你應該能夠：

• 啟用應用程式控制日誌記錄事件
• 監控應用程式控制事件
• 使用FortiView來檢視應用程式控制日誌的詳細檢視

　　通過展示應用程式控制配置的能力，包括審查應用程式控制日誌，你將能夠有效地使用和監控應用程式控制事件。

無論哪種操作模式應用程式控制被配置，必須在防火牆策略上啟用日誌記錄。當你在防火牆策略上啟用安全事件或所有會話日誌記錄時，應用程式控制事件也將被記錄。你必須將應用程式控制應用到防火牆策略中，以支援應用程式控制事件日誌記錄。

　　當在防火牆策略中選擇Deny操作時，必須啟用Log Violations選項來為被阻止的流量生成應用程式控制事件。

所有應用程式控制事件被記錄在Log & Report 頁面上Application Control 中。你可以通過點選日誌條目檢視 關於單個日誌的詳細資訊。

　　在這張幻燈片上的例子中，使用預設的應用程式控制配置檔案阻止了對Dailymotion的訪問。這些資訊可以在 Log Details部分中找到，以及關於日誌源、目的地、應用程式和動作的資訊。

　　請注意，這個日誌訊息是由應用程式控制使用基於配置檔案的配置生成的。在NGFW基於策略的配置中，你不會發現諸如應用程式感測器名稱之類的資訊，因為它不適用。日誌訊息的其餘資訊和結構對於每一個日誌都是相同的，不管FortiGate在執行哪個檢查模式。

　　你還可以檢視Forward Traffic的詳細資訊。這個窗格是防火牆策略記錄活動的地方。你還將找到一個關於加強應用程式控制的流量的摘要。同樣，這是因為應用程式控制是由防火牆策略應用的。為了找出應用程式控制的策略，你可以檢視日誌訊息的Policy ID或Policy UUID欄位。

在FortiView 選單上，Applications 頁面提供關於每個應用程式的詳細資訊，比如應用程式名稱、類別和頻寬。你可以通過雙擊單個日誌條目進一步深入瞭解更細粒度的細節。詳細的檢視提供關於所選應用程式的源、目的地、策略或會話的資訊。

 小測驗。

 你現在瞭解了應用程式控制日誌和監視。接下來，你將瞭解應用程式控制最佳實踐和故障排查。

在完成本節之後，你應該能夠：

• 識別應用程式控制配置的最佳實踐
• 瞭解如何排除應用程式控制更新問題

　　通過展示應用程式控制最佳實踐和故障排查的能力，你將能夠配置和維護一個有效的應用程式控制解決方案。

  這張幻燈片列出了在加強對FortiGate的應用控制時要記住的一些最佳實踐。

　　並不是所有的流量都需要應用程式控制掃描。不要將應用程式控制應用於內部的流量。

　　為了儘量減少在FortiGate上的資源使用，在建立防火牆策略時要儘可能的具體。這不僅會減少資源的使用，還將幫助你構建更安全的防火牆配置。

　　為所有冗餘Internet連線建立相同的防火牆策略，以確保在故障轉移流量上執行相同的檢查。選擇Deep-Inspection，而不是對SSL/SSH檢查模式進行Certificate-based，以確保在加密協議上執行內容檢查。

　　使用諸如網路處理器和內容處理器等專門晶片的FortiGate模型可以解除安裝和加速應用程式簽名匹配以提高效能。

　　你可以使用一個FortiCloud帳戶來儲存和檢視在沒有日誌磁碟的FortiGate裝置上的FortiView中的應用程式控制日誌。

​​  如果你正在經歷一個FortiGuard應用程式控制更新的問題，那麼就開始用最基本的步驟來解決這個問題：

• 確保FortiGate與網際網路或FortiManager有穩定的連線（如果FortiGate被配置為接收來自FortiManager的更新）。
• 如果網路連線是穩定的，請在FortiGate上檢查DNS解析。
• 如果在網路防火牆後面安裝了FortiGate，請確保埠443被正確地轉發到FortiGate。

　　你可以檢查FortiGuard網站的最新版本的應用程式控制資料庫。如果你的本地安裝的資料庫過時了，請嘗試強制使用強化程式來檢查最新的更新，執行execute update-now命令。

​​  小測驗。

​​  你已經完成了這一課。現在，你將回顧你在這節課中提到的目標。

​​  這一課涵蓋了以下目標：

• 理解應用程式控制
• 檢測應用程式型別
• 瞭解FortiGuard應用控制服務
• 使用應用程式控制簽名
• 在配置檔案模式下配置應用程式控制
• 在NGFW策略模式中配置應用程式控制
• 使用應用程式控制流量整形策略
• 啟用應用程式控制日誌記錄事件
• 監控應用程式控制事件
• 使用FortiView來檢視應用程式控制日誌的詳細檢視
• 識別應用程式控制配置的最佳實踐
• 瞭解如何解決應用程式控制更新問題

 

​

---