Created On 09/26/18 13:48 PM - Last Modified 06/13/23 14:07 PM
Symptom
Kann ich mit PBF eine vordefinierte Anwendung oder kundenspezifische Anwendungen verwenden?
Resolution
Damit eine PBF-Richtlinie funktioniert, ist nur die Quell Zone oder Schnittstelle erforderlich:
Im Reiseziel können Anwendungen konfiguriert werden, aber es können nur vordefinierte Anwendungen hinzugefügt werden.
KundenSpezifische Anwendungen, Anwendungs Filter und Anwendungs Gruppen können nicht für die Erstellung einer PBF-Richtlinie verwendet werden:
Darüber hinaus werden, wie im Admin-Leitfaden erwähnt, anwendungsspezifische Regeln für die Verwendung bei PBF nicht empfohlen:
PBF-Regeln werden entweder auf das erste Paket (SYN) oder die erste Reaktion auf das erste Paket (SYN/ACK) angewendet. Dies bedeutet, dass in der Regel PBF angewendet werden kann, bevor die Firewall genügend Informationen hat, um die Anwendung zu bestimmen. Anwendungsspezifische Regeln sind daher nicht für die Verwendung mit PBF empfohlen. Wann immer möglich, verwenden Sie eine Serviceobjekt, das der Layer-4-Port (TCP oder UDP) verwendet durch das Protokoll oder die Anwendung ist.
Wenn Sie jedoch eine Anwendung in einer PBF-Regel angeben, führt die Firewall ein APP-ID-Caching durch. Wenn eine Anwendung zum ersten Mal die Firewall durchläuft, wird die Firewall verfügt nicht über genügend Informationen zum Identifizieren der Anwendung und kann daher die PBF-Regel nicht durchsetzen. Mehr Pakete ankommen, die Firewall bestimmt die Anwendung erstellt einen Eintrag im Cache App-ID und behält diese App-ID für die Sitzung. Wenn eine neue Sitzung mit der gleichen IP-Zieladresse, Ziel-Port und Protokoll-ID erstellt wird, könnte die Firewall identifizieren der Anwendung als gleich von der ersten Sitzung (basierend auf der App-ID-Cache) und die PBF-Regel angewendet. Daher, eine Sitzung, die ist keine genaue Übereinstimmung und nicht die gleiche Anwendung kann weitergeleitet werden anhand der PBF-Regel.
Darüber hinaus Anwendungen verfügen über Abhängigkeiten und die Identität der Anwendung kann ändern, wie die Firewall mehr Pakete empfängt. Da PBF eine routing-Entscheidung zu Beginn einer Sitzung herstellt, kann die Firewall keine Änderung der Anwendungsidentität durchsetzen. YouTube, zum Beispiel beginnt wie Surfen, aber Änderungen an Flash, RTSP oder YouTube basierend auf den verschiedenen Links und Videos auf der Seite enthalten. Bei PBF jedoch, da die Firewall die Anwendung zu Beginn der Sitzung als Web-Browsing identifiziert, wird die Änderung der Anwendung danach nicht mehr erkannt.
Beobachtung:
-Die Liste der verfügbaren Anwendungen enthält nicht die vollständige Liste der Anwendungen, da die Identifizierung einiger Anwendungen mehr Pakete erfordert, die erfasst werden müssen.
Sie können die Liste der verfügbaren Anwendungen im Rahmen von RichtLinien überprüfen > Politik-basierte WeiterLeitung > Destination/Anwendung/DienstLeistungen: