アプリケーションに基づく PBF
42655
Created On 09/26/18 13:48 PM - Last Modified 06/13/23 14:07 PM
Symptom
PBF で定義済みのアプリケーションやカスタムアプリケーションを使用できますか。
Resolution
PBF ポリシーを機能させるには、ソースゾーンまたはインターフェイスのみが必要です。
変換先では、アプリケーションを構成できますが、定義済みのアプリケーションのみを追加できます。
カスタムアプリケーション、アプリケーションフィルタ、およびアプリケーショングループを使用して PBF ポリシーを作成することはできません。
さらに、管理者ガイドに記載されているように、アプリケーション固有のルールは PBF での使用を推奨しません。
PBF ルールは、最初のパケット (SYN) または最初のパケット (SYN/ACK) に最初の応答のいずれかに適用されます。これは、ファイアウォール アプリケーションの決定に十分な情報は、前に、PBF 規則を適用する場合があることを意味します。したがって、アプリケーションに固有のルールは PBF で使用する推奨されません。可能な限り、プロトコルまたはアプリケーションで使用されるレイヤー 4 のポート (TCP または UDP) であるサービス オブジェクトを使用します。
ただし、PBF ルールでアプリケーションを指定した場合、ファイアウォールはアプリ ID キャッシュを実行します。アプリケーションでは、最初の時間のため、ファイアウォールを通過して、ファイアウォールはアプリケーションを識別する十分な情報がないと、したがって PBF ルールを適用できません。ファイアウォールは、アプリケーションを決定しますアプリ ID キャッシュ エントリが作成され、セッションのこのアプリ ID を保持より多くのパケットが到着すると。ファイアウォールが同じものとしてアプリケーションを識別することが同じ宛先 IP アドレス、送信先ポート、プロトコル ID と新しいセッションを作成するとき (アプリ ID キャッシュに基づいて) 最初のセッションから、PBF ルールを適用。したがって、PBF ルールに基づいて正確な一致ではない、しない同じアプリケーション セッションを転送できます。
さらに、依存関係を持つアプリケーションとファイアウォールより多くのパケットを受信すると、アプリケーションの id を変更できます。PBF を行うため、セッションの開始時にルーティングの決定、ファイアウォールは、アプリケーション id の変更を適用できません。YouTube など、web ブラウジングを開始が、別リンクとページに含まれているビデオに基づいて、フラッシュ、RTSP または YouTube に変更。ただし、PBF では、ファイアウォールがセッションの開始時に web ブラウジングとしてアプリケーションを識別するため、アプリケーションの変更はその後認識されません。
観察:
-いくつかのアプリケーションの識別は、より多くのパケットをキャプチャする必要 があるため、利用可能なアプリケーションのリストには、アプリケーションの全リストが含まれていません。
[ポリシー] > [ポリシーベースの転送] > [宛先/アプリケーション/サービス] で利用可能なアプリケーションの一覧を確認できます。