Created On 09/26/18 13:48 PM - Last Modified 06/13/23 14:07 PM
Symptom
¿Puedo utilizar cualquier aplicación pre-definida o aplicaciones personalizadas con PBF?
Resolution
Para que una directiva PBF funcione, sólo se requiere la zona de origen o la interfaz:
En el destino, las aplicaciones pueden configurarse pero sólo se pueden agregar aplicaciones predefinidas.
Las aplicaciones personalizadas, los filtros de aplicaciones y los grupos de aplicaciones no se pueden utilizar para crear una directiva PBF:
Además, como se menciona en la Guía de administración, las reglas específicas de la aplicación no se recomiendan para su uso con PBF:
Se aplican reglas PBF en el primer paquete (SYN) o la primera respuesta para el primer paquete (SYN/ACK). Esto significa que se puede aplicar una regla PBF antes de que el firewall tenga suficiente información para determinar la aplicación. Por lo tanto, reglas específicas de aplicación no se recomiendan para el uso con PBF. Siempre que sea posible, utilice un objeto de servicio, que es el puerto de la capa 4 (TCP o UDP) utilizado por el protocolo o aplicación.
Sin embargo, si especifica una aplicación en una regla PBF, el cortafuegos realiza el almacenamiento en caché de app-id. Cuando una aplicación pasa por el firewall por primera vez, el firewall no tiene suficiente información para identificar la aplicación y por lo tanto no puede aplicar la regla PBF. Llegan más paquetes, el servidor de seguridad determina la aplicación y crea una entrada en la caché de App-ID y conserva esta App-ID de la sesión. Cuando se crea una nueva sesión con la misma dirección IP de destino, Puerto de destino y protocolo ID, el firewall puede identificar la aplicación igual de la sesión inicial (basada en la caché de App-ID) y aplicar la regla PBF. Por lo tanto, puede enviarse una sesión que no es una coincidencia exacta y no es la misma aplicación, basada en la regla PBF.
Además, las aplicaciones tienen dependencias y la identidad de la aplicación puede cambiar mientras que el firewall recibe paquetes más. PBF hace una decisión de enrutamiento al inicio de una sesión, por el firewall no puede imponer un cambio en la identidad de la aplicación. YouTube, por ejemplo, empieza como navegación por la web pero cambios en Flash, RTSP o en YouTube basan en los diferentes enlaces y vídeos incluidos en la página. Sin embargo, con PBF, ya que el cortafuegos identifica la aplicación como navegación web al inicio de la sesión, el cambio en la aplicación no se reconoce más tarde.
Observación:
-La lista de aplicaciones disponibles no incluye la lista completa de aplicaciones, ya que la identificación de algunas aplicaciones requiere más paquetes para ser capturados.
Puede comprobar la lista de aplicaciones disponibles en directivas > reenvío basado en políticas > destino/aplicación/servicios: