Симптомы

При использовании разрешающего правила для приложений трафик либо не работает некорректно, либо разрешается любой трафик по данному правилу.

Решение

При использовании разрешающих правил по приложениям L7 имеется следующая особенность:
Для определения сигнатурами принадлежности трафика к определённому приложению, UG сначала необходимо пропустить некоторую часть трафика, максимально это 1 Кбайт. При этом по журналам под данное разрешающее правило может попадать вообще любой трафик, но на самом деле это будут лишь первые пакеты в сессиях, благодаря которым трафик будет помечаться меткой приложения и далее разрешаться текущим правилом.

Например это может выглядеть следующим образом:
При выполнении команды telnet к серверу по порту 443, для которого нет разрешающих правил, трафик попадает под разрешающее правило по приложению и telnet проходит. По журналам при этом первые пакеты будут попадать по данное правило. Но если попытаться сгенерировать полезный веб-трафик по порту 443 через curl или браузер, то он не пройдёт.

В связи с этим желательно размещать разрешающие правила по приложениям внизу списка правил МСЭ, чтобы трафик доходил до них в последнюю очередь.

Если же данная особенность вас не устраивает, рекомендуем не разрешать приложения L7 в правилах, а только запрещать.

Данная информация представлена в следующих статьях документации:
https://docs.usergate.com/mezhsetevoj-ekran_711.html
https://docs.usergate.com/kak-zapretit6-trafik-dlya-opredelennyh-prilozhenij_28.html

"Определение приложения происходит после установления соединения между клиентом и сервером и передачи трафика в обоих направлениях. Максимальный объём такого трафика – 1 Кбайт. Поэтому правило, разрешающее приложение, будет применяться к любому трафику, подходящему под другие критерии правила, пока приложение не будет определено. Аналогично, срабатывание блокирующего правила (разрыв сессии), которое в качестве одного из условий использует приложение, произойдёт только после определения приложения."