只允许QQ，其他协议均禁止，设置无效

kbit

需要对某个IP段的电脑作如下控制 ：只能上QQ，别的都不允许。
我设置了如下策略：
策略1、该IP段的电脑允许如下协议：ARP、ICMP、DHCP、DNS、腾讯QQ，匹配后停止。
策略2、禁止该IP段电脑使用任何协议，匹配后停止。

设完后，能Ping，能DNS解析，就是不能上QQ，查看连接信息发现，所有的Tcp连接均处于握手状态，无法完成连接。

请问PA对应用的识别是否是在完成连接后才进行，若是这样，那就只能应用在：控制、阻止、限制某类应用，其他应用均放行的场合，而不能用在只允许某类应用，其他均阻止的场合。

个人分析如下，不知正确否？
只允许QQ，其他均阻止：
QQ发起Tcp连接(只是连接请求，未进入到传输数据的步骤)，此时PA未识别到是"腾讯QQ"，策略1未匹配，然后匹配策略2阻止了该连接。

若是阻止QQ，其他均放行的话：
QQ发起Tcp连接->与QQ服务器建立Tcp->传输数据->PA根据数据包特征识别出是"腾讯QQ"->阻断该通信。

baggio

你的问题在于，没允许SYN_ACK，把它加到允许列表中。

kbit

原帖由 baggio 于 2011-7-15 14:03 发表
你的问题在于，没允许SYN_ACK，把它加到允许列表中。

谢谢,明白了，我马上去试下