入门教程︰ 自定义应用程序和应用程序重写
Resolution
还有什么可以我的防火墙?自定义应用程序和应用程序重写 !
根据您的环境,你可能有自定义创建的专有应用程序或你只是想要通过自定义的名称来识别的交通。你可能运行 web 服务通常是由帕洛阿尔托网络防火墙作为 web 浏览,难度可以创建报告,或者你可能想要应用 QoS 对一组特定的连接使用一个共同的应用程序 id。
为了解决这些问题,您可以创建自定义的应用程序 Id 匹配特定的签名在交通或使用应用程序重写,只是迫使某些会话被认定为您配置的应用程序。
基于签名的自定义应用程序依赖于应用程序 ID 引擎来标识通过防火墙的包中的签名。如果你想要确定一个专有的应用程序,使用可预见或很容易辨认的签名,你可以创建自定义的应用程序,使用正则表达式来帮助识别签名。
示例: 我在 URL www.example.com 内部运行了一个 web 服务. 因为这是正规的网站,防火墙将确定它与 '浏览' 应用程序 id。
基于签名的自定义应用程序 ID
当我们仔细看看从交通标题到服务器的数据包捕获时,可识别的签名可以是主机名。
创建一个自定义的应用程序,头上的应用程序,并创建一个新的应用程序。设置应用程序属性,如果适用,设置父应用程序: 父应用程序使用时的交通目前已被确定为应用程序。这将有助于正确报告自定义应用程序的应用程序 ID。如果一个专有的应用程序,目前不确定的应用程序 ID,父应用程序可保留为 none。
在高级选项卡,您可以在这里设置的端口或协议将使用此应用程序,也如果此应用程序可以针对威胁进行扫描。不过,有几点是必须考虑:
- 如果自定义应用程序扫描选项未选中,威胁引擎将停止检查通信量,尽快确定自定义的应用程序。
- 如果自定义的应用程序不具有一个父应用程序,可以通过定期的应用程序 ID 标识或使用应用程序重写 (见下文) 中,它不能扫描的威胁。
在签名选项卡,您可以添加标识应用程序所需的所有签名。应用程序 ID 引擎可以奉命寻找潜在的签名在单个事务 (单个数据包从客户端到服务器或服务器到客户端) 或在整个会话 (签名可以分布在多个数据包在两个方向)。有很多的选项可用在哪里可以看签名并在哪些方面。此外可以将多个特征码集添加在 '和' 或 '或' 条件。
如果所有这似乎有些混乱,别担心 — — 我已经添加几个有用的文章末尾将讲述更深入与自定义特征码可以取得的成绩。现在,我们会保持它的简单和查找 http 请求主机标头中的签名:
我的签名只是将主机名 regex 友好的格式。这意味着需要有反斜杠前的圆点来表示点是一个字符并不是通配符。我也会向 http 方法得到来指示签名可以找到在 GET 请求中设置的限定符。
此自定义的应用程序提交之后,防火墙将开始识别到我作为新的应用程序的 web 服务器的所有连接:
我们现在可以创建基于自定义应用程序的报告和监测具体什么样的交通击中我们的网站。
如果可以很容易确定的应用程序,但有时它不可能是必要或甚至有可能要看进数据流并确定特定的签名,上面的步骤能正常工作。
应用程序重写
应用程序重写强行绕过 AppID 过程和设置一个会话来与手动配置的应用程序名称相匹配。处理像这样的任何会话不会扫描通过并行处理和将卸载到 fastpath。
对于大多数用例,我们建议创建一个简单的自定义应用程序与作为尽可能,该应用程序的几个属性重写将绕过扫描或签名的检测。它只需将标识作为自定义应用程序的会话,并采取进一步行动。这可以是一个很简单但功能强大的工具来帮助确定内部应用程序和提高吞吐量,因为会议卸载到硬件上立即,但请考虑对安全的影响。
如果你想知道你能做什么,与自定义应用程序或基于特征码的检测,请看看下面的文章,向您展示更多的方法来利用签名来标识应用程序或阻止类型的交通。
我希望你喜欢这篇文章;随时在下面留言。
如果你想看到更多的这些, 请查看登陆页面的入门系列!
直到下一次,
汤姆