スタート ガイド: カスタム アプリケーションとアプリケーションのオーバーライド

スタート ガイド: カスタム アプリケーションとアプリケーションのオーバーライド

188813
Created On 09/25/18 18:55 PM - Last Modified 06/07/23 10:11 AM


Resolution


何ができる私のファイアウォールは?カスタム アプリケーションおよびアプリケーション優先!

 

お使いの環境に応じてカスタム作成、独自のアプリケーションやトラフィックを単にカスタムの名前を指定するがあります。実行することが、web ブラウジング、パロ ・ アルトのネットワーク ファイアウォールによって識別される通常 web サービス レポートを作成することが困難になり、共通のアプリケーション ID を使用する接続の特定のセットに QoS を適用したい場合があります。

 

これらの問題を回避するには、トラフィックの特定の署名と一致または単に特定のセッションを構成するアプリケーションとして識別することを強制的にアプリケーションのオーバーライドを使用して、カスタムのアプリ Id を作成できます。

 

署名ベースのカスタム アプリケーションは、ファイアウォールを通過するパケットの署名を識別するためにアプリ ID エンジンに依存します。予測または簡単に識別できる署名を使用して独自のアプリケーションを識別しようとする場合は、署名を識別するために正規表現を使用してカスタム アプリケーションを作成できます。 

 

: URL www.example.com で内部的に実行されている web サービスがあります。 これは、正規のウェブサイトは、' web ブラウジング ' アプリ ID を持つファイアウォール識別します。

 

署名ベースのカスタム アプリケーション ID

 

2016-01-26_17-15-24.png

 

我々 は近いトラフィックの見出しからサーバーへのパケット キャプチャが見て、個人署名はホスト名をすることができます。

 

packetcapture

 

カスタム アプリケーションは、アプリケーションに頭を作成し、新しいアプリケーションを作成します。アプリケーションのプロパティを設定し、該当する場合、設定親アプリ: 親アプリ、トラフィックは現在すでにアプリケーションとして識別される場合に使用します。これは正しくカスタム アプリの報告アプリ ID を助けます。ないアプリケーション ID によって識別される現在プロプライエタリなアプリケーションの場合、'none' と親アプリを残すことができます。

 

カスタム ・ アプリケーション

 

[詳細] タブでポートまたはこのアプリケーションが使用するプロトコルを設定できます、また脅威のこのアプリケーションをスキャンすることができる場合。しかし、考慮すべき重要ないくつかの注意点があります。

 

  • カスタム アプリケーションは、スキャン オプションをオフは、脅威のエンジンはカスタム アプリケーションを識別するとすぐにトラフィックを検査を停止します。
  • カスタム アプリケーションに正規アプリ ID によって識別することができますアプリ オーバーライド (下記参照) で使用されている親アプリが設定されていない場合は、脅威をスキャンできません。

 カスタム ・ アプリケーション

 

[署名] タブでは、アプリケーションを識別するために必要なすべての署名を追加できます。アプリ ID エンジンは、単一のトランザクション (クライアントからサーバーまたはクライアントにサーバーへの単一パケット) でまたは (署名または署名広がることができるいずれかの方向にいくつかのパケットに) セッション全体の潜在的な署名を指示できます。たくさんのオプションで利用できるある署名とコンテキストが目のやり場に。'AND' の複数の署名のセットを追加することも、または 'OR' 状態。

 

これは少し紛らわしいようだすべて心配する場合最後にカスタムの署名を達成できるかより詳細な説明するいくつかの有用な記事を追加しました。今のところ、我々 はそれを簡単保つだろうし、http 要求のホスト ヘッダーで署名のため見ています。

 

カスタム ・ アプリケーション

私の署名では、正規表現のフレンドリーな形式でホスト名すること単になります。これは点を示すためにドットの前にバック スラッシュは文字とワイルドカードではありませんする必要がありますを意味します。修飾子に GET 要求の署名を見つけることができますを示す http メソッドを取得また設定します。

 

カスタム ・ アプリケーション

 

このカスタム アプリケーションがコミットされると、ファイアウォールは、新しいアプリケーションと web サーバーにすべての接続を特定する開始されます。

カスタム アプリケーション ログ

 

今カスタム アプリケーションに基づくレポートを作成できトラフィックの種類は、私たちのサイトに当たって特に監視します。

 

 

上記の手順は、アプリケーションを簡単に識別できますが、それが必要なまたはデータ ストリームを見て、特定の署名を識別することも可能はないが時々、完璧に動作します。

 

アプリケーションのオーバーライド

 

アプリケーションのオーバーライドは強制的に AppID プロセスをバイパスし、手動で設定されたアプリケーション名を一致するようにセッションを設定します。すべてのセッションは、このような処理は、並列処理によってスキャンされず、fastpath にオフロードされます。

アプリケーションのオーバーライド

 

ほとんどの場合、スキャンまたは署名の検出をバイパスがアプリとして、可能ないくつかの属性を上書きするように簡単なカスタム アプリケーションを作成することをお勧めします。それは単にカスタム アプリケーションとしてセッションを特定する、それ以上の処理を行いません。これは、内部アプリケーションを特定し、セッションは、すぐにハードウェアにオフロードされたスループットを改善する非常にシンプルかつ強力なツールとなるが、セキュリティへの影響を検討してください。

 

アプリケーションのオーバーライド

 

カスタム アプリケーションまたは署名ベースの検出でほかに何かできることを迷っている場合、アプリケーションを特定の種類のトラフィックをブロックする署名を活用する方法を示す次の記事を見てをしてください。

 

カスタムのアプリ ID を構成する方法

ヒント ・ トリック - カスタムの脆弱性

 

 

私はこの記事が好きです。以下のコメントを残してお気軽に。

あなたはこれらの詳細を参照したい場合は、入門シリーズのランディングページ をチェックアウトしてください!

 

次の時間、ティルします。

トム
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRoCAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language