第 7 层应用程序 ID 已配置为上下文配置文件的一部分。

上下文配置文件可以指定一个或多个 属性,除此之外,该配置文件还可以包含子属性,以供在分布式防火墙 (DFW) 规则和网关防火墙规则中使用。定义子属性时,例如 TLS 版本 1.2,不支持多个应用程序标识属性。除了属性外,DFW 还支持使用可在上下文配置文件中指定的完全限定域名 (FQDN) 或 URL 来将 FQDN 加入白名单或黑名单。目前,支持预定义域列表。可以在一个上下文配置文件中将 FQDN 与属性一起配置,或者也可以在不同的上下文配置文件中分别对二者进行配置。定义上下文配置文件后,即可将其应用于一个或多个分布式防火墙规则。

目前,支持预定义域列表。在添加属性类型域名 (FQDN)的新上下文配置文件时,您可以看到 FQDN 列表。 此外,您还可以通过运行 API 调用 /policy/api/v1/infra/context-profiles/attributes?attribute_key=DOMAIN_NAME 来查看 FQDN 列表。

网关防火墙规则不支持使用 FQDN 属性或其他子属性。

如果已在规则中使用某个上下文配置文件,则将根据基于 5 元组的规则表匹配来自虚拟机的任何流量。如果匹配流量的规则还包括第 7 层上下文配置文件,该数据包将被重定向到名为 vDPI 引擎的用户空间组件。会针对每个流量将后续的少量数据包推送到该 vDPI 引擎,确定应用程序 ID 后,此信息将存储在内核内的上下文表中。在该流量的下一个数据包进入时,会再次将上下文表中的信息与规则表进行比较,然后按 5 元组和第 7 层应用程序 ID 进行匹配。将采取在完全匹配规则中定义的相应措施,如果存在允许规则,将在内核中处理该流量的所有后续数据包,并根据连接表进行匹配。对于完全匹配的丢弃规则,会生成拒绝数据包。如果将该流量推送到 DPI,防火墙生成的日志将包含第 7 层应用程序 ID 和适用 URL。

入站数据包的规则处理:
  1. 在数据包进入 DFW 或网关筛选器后,将基于 5 元组在流量表中查找数据包。
  2. 如果找不到任何流量/状态,则会基于 5 元组将流量与规则表相匹配,并且会在流量表中创建一个条目。
  3. 如果流量与具有第 7 层服务对象的规则匹配,则流量表状态会被标记为“DPI 正在进行中”。
  4. 之后,流量会被推送到 DPI 引擎。DPI 引擎将确定应用程序 ID。
  5. 在确定应用程序 ID 后,DPI 引擎会向下发送已插入到此流量上下文表中的属性。“DPI 正在进行中”标记将被移除,并且流量不再被推送到 DPI 引擎。
  6. 流量(现在具有应用程序 ID)将针对匹配应用程序 ID 的所有规则重新进行评估,该过程从基于 5 元组匹配的原始规则开始,并会选择第一个完全匹配的 L4/L7 规则。将会执行适当的操作(允许/拒绝),并相应地更新流量表条目。