基于应用的 PBF
42661
Created On 09/26/18 13:48 PM - Last Modified 06/13/23 14:07 PM
Symptom
是否可以使用 PBF 的任何预定义应用程序或自定义应用程序?
Resolution
要使 PBF 策略工作, 只需要源区域或接口:
在目标中, 可以配置应用程序, 但只能添加预定义的应用程序。
不能使用自定义应用程序、应用程序筛选器和应用程序组创建 PBF 策略:
此外, 如《管理指南》所述, 建议不要与 PBF 一起使用特定于应用程序的规则:
PBF 规则的第一个数据包 (SYN) 或对第一个数据包 (SYN/ACK) 的第一反应。这意味着 PBF 规则可用于防火墙有足够的信息来确定应用程序之前。因此,特定于应用程序的规则不是推荐用于 PBF。只要有可能,使用一个服务对象,是使用的协议或应用程序的层 4 端口 (TCP 或 UDP)。
但是, 如果在 PBF 规则中指定了应用程序, 则防火墙将执行应用程序 ID 缓存。当应用程序第一次穿过防火墙时,防火墙并没有足够的信息来标识应用程序,并因此无法强制执行 PBF 规则。当更多的数据包到达时,防火墙确定的应用程序和应用程序 ID 缓存中创建一个条目并为会话保留此应用程序 ID。当与相同的目的地 IP 地址、目标端口和协议 ID 创建一个新会话时,防火墙能识别相同的应用程序从初始会话 (基于应用程序 ID 缓存) 和应用 PBF 规则。因此,我觉得可以转发会话是不精确的匹配,并且不是同一个应用程序,基于 PBF 规则。
此外,应用程序具有依赖项和应用程序的标识可以更改防火墙接收更多的数据包。因为 PBF 路由在作出决定开始一个会话的防火墙无法强制实施应用程序标识的改变。YouTube,例如,开始像 web 浏览,但对 Flash,RTSP 或 YouTube 的更改基于不同的链接和页面上包含的视频。但是, 由于防火墙在会话开始时将应用程序标识为 web 浏览, 因此在应用程序中的更改不会在此后被识别. PBF。
观察︰
-可用应用程序列表不包含应用程序的完整列表, 因为某些应用程序的标识需要捕获更多的数据包.
您可以查看 "策略" 下的可用应用程序列表 >> 基于策略的转发 > 目标/应用程序/服务: