防火墙特征库调用

在上面有个应用 

一、核心结论

• 你当前策略里，Web应用防护/数据过滤/文件过滤 都是 --NONE--，说明没有启用任何应用层防护，也就不会调用应用特征库。
• 你需要先配置并绑定对应的应用防护配置文件，才能让策略调用特征库做识别和过滤。

二、对应关系说明（每个选项分别做什么）

三、如何开启完整的应用识别（按步骤来）

步骤 1：创建 / 编辑对应的防护配置文件

1. 进入防火墙的「对象 / 策略对象」菜单
2. 分别配置以下对象（以 H3C / 深信服为例）：
   • Web 应用防护 / WAF 策略：新建或编辑策略，勾选需要防护的 Web 应用类型（如 HTTP/HTTPS），并关联最新的 WAF 特征库
   • 入侵防御 / IPS 策略：确保启用了需要的攻击特征（如漏洞利用、木马后门），并更新了 IPS 特征库
   • 防病毒 / AV 策略：启用文件扫描，关联最新的病毒特征库
   • URL 过滤策略：配置允许 / 禁止的 URL 分类，关联 URL 分类库

步骤 2：把配置文件绑定到你的安全策略

• Web应用防护配置文件：选择你创建好的 WAF 策略（不再是--NONE--）
• 入侵防御配置文件：保持default或选择你自定义的 IPS 策略
• 防病毒配置文件：保持default或选择你自定义的 AV 策略
• URL过滤配置文件：保持default或选择你自定义的 URL 策略

步骤 3：保存策略并提交配置

四、关键补充说明

1. 特征库必须先升级到最新：
   只有先在防火墙的「系统维护 / 特征库升级」页面，把 IPS、AV、URL 分类、WAF 等特征库升级到最新，策略里的配置文件才能调用最新的识别规则。
2. 应用识别的基础是 “应用层流量”：
   对于 HTTP/HTTPS 流量，需要先开启SSL 解密（证书导入），防火墙才能解析加密流量并调用 WAF/IPS 特征库。如果没有解密，HTTPS 流量的应用识别效果会大打折扣。
3. 日志验证是否生效：
   开启策略后，在「日志中心 / 安全日志」里，查看是否有 IPS、AV、WAF 等日志生成，以此验证特征库是否正常调用。

五、你当前策略的优化建议

• 如果你的业务是 Web 业务（HTTP/HTTPS），建议给Web应用防护配置文件绑定一个策略，这样才能完整识别 Web 应用层的攻击。
• 确保所有特征库都升级到了最新版本，否则默认策略可能识别不到最新的威胁。

应用识别功能通常在防火墙的 安全策略 或 应用控制策略 中开启和调用。它允许防火墙不只看传统的IP地址和端口，还能直接识别出流量具体属于哪个应用（例如微信、抖音等），从而进行更精细的控制。

各主流防火墙的配置位置略有不同，你可以根据设备型号参考下表：

 配置步骤与关键点

各厂商的设置逻辑基本相同，核心步骤可以分为三步：

1. 前置准备：确保特征库（APR、SA或应用识别库）已升级到最新，以保证应用识别的准确性。

2. 策略配置：新增或编辑访问控制/安全策略，在匹配条件中添加“应用”对象并选择希望管控的应用，最后设置允许或拒绝的动作。

3. 检查生效：策略配置后，防火墙会根据流量的应用特征进行匹配。需要注意的是，由于深度包检测需要分析多个数据包，规则生效可能会有微小延迟。