Created On 09/26/18 13:48 PM - Last Modified 06/13/23 14:07 PM
Symptom
Puis-je utiliser une application pré-définie ou des applications personnalisées avec PBF?
Resolution
Pour qu'une stratégie PBF fonctionne, seule la zone source ou l'interface est requise:
Dans la destination, les applications peuvent être configurées, mais seules les applications pré-définies peuvent être ajoutées.
Les applications personnalisées, les filtres d'application et les groupes d'applications ne peuvent pas être utilisés pour créer une stratégie PBF:
De plus, comme mentionné dans le Guide d'administration, les règles spécifiques à l'application ne sont pas recommandées pour une utilisation avec PBF:
PBF règles sont appliquées sur le premier paquet (SYN) ou la première réponse au premier paquet (SYN/ACK). Cela signifie qu’une règle PBF peut être appliquée avant que le pare-feu a suffisamment d’informations pour statuer sur la demande. Par conséquent, les règles spécifiques à l’application ne sont pas recommandés pour une utilisation avec PBF. Si possible, utilisez un objet de service, qui est le port de couche 4 (TCP ou UDP) utilisé par le protocole ou l’application.
Toutefois, si vous spécifiez une application dans une règle PBF, le pare-feu exécute la mise en cache de l'application-ID. Lorsqu’une application passe à travers le pare-feu pour la première fois, le pare-feu n’a pas suffisamment d’informations pour identifier l’application et par conséquent ne peut pas appliquer la règle PBF. Alors que plus de paquets arrivent, le pare-feu détermine l’application et crée une entrée dans le cache d’ID App et conserve cette App-ID de la session. Lorsqu’une nouvelle session est créée avec la même adresse IP de destination, port destination et ID de protocole, le pare-feu peut identifier l’application comme identiques de la première séance (selon le cache App-ID) et appliquer la règle PBF. Par conséquent, une session qui n’est pas une correspondance exacte et n’est pas la même demande, peut être transmis fondé sur la primauté de la PBF.
En outre, les applications possèdent des dépendances et l’identité de l’application peut changer comme le pare-feu reçoit des paquets de plus. Parce que le PBF prend une décision de routage au début d’une session, le pare-feu ne peut pas appliquer un changement d’identité de l’application. YouTube, par exemple, démarre en navigation sur le web, mais les modifications au Flash, RTSP ou YouTube basées sur les différents liens et vidéos inclus sur la page. Toutefois, avec PBF, parce que le pare-feu identifie l'application en tant que navigation sur le Web au début de la session, la modification de l'application n'est pas reconnue par la suite.
Observation :
-La liste des applications disponibles n'inclut pas la liste complète des applications, car l'identification de certaines applications nécessite plus de paquets à capturer.
Vous pouvez consulter la liste des applications disponibles sous stratégies > retransmission basée sur la stratégie > destination/application/services: