第 7 层应用程序 ID 已配置为上下文配置文件的一部分。
上下文配置文件可以指定一个或多个 属性(应用程序 ID),除此之外,该配置文件还可以包含子属性,以供在分布式防火墙 (DFW) 规则和网关防火墙规则中使用。定义子属性时,例如 TLS 版本 1.2,不支持多个应用程序标识属性。除了属性以外,DFW 还支持使用可以在上下文配置文件中为完全限定域名 (FQDN) 允许列表或拒绝列表指定的 FQDN 或 URL。有关详细信息,请参见筛选特定域 (FQDN/URL)。可以在一个上下文配置文件中将 FQDN 与属性一起配置,也可以在不同的上下文配置文件中分别配置 FQDN 和属性。定义上下文配置文件后,即可将其应用于一个或多个分布式防火墙规则。
注:
- 网关防火墙规则不支持在上下文配置文件中使用 FQDN 属性或其他子属性。
- Tier-0 网关防火墙策略不支持上下文配置文件。
如果已在规则中使用某个上下文配置文件,则将根据基于 5 元组的规则表匹配来自虚拟机的任何流量。如果匹配流量的规则还包括第 7 层上下文配置文件,数据包将被重定向到名为 vDPI 引擎的用户空间组件。之后,每个流量的后续数据包都将发送到 vDPI 引擎。确定应用程序 ID 后,该信息将存储在内核内上下文表中。在流量的下一个数据包进入时,会再次将上下文表中的信息与规则表进行比较,然后按 5 元组和第 7 层应用程序 ID 进行匹配。将采取在完全匹配规则中定义的相应措施,如果存在“允许”规则,将在内核中处理该流量的所有后续数据包,并根据连接表进行匹配。对于完全匹配的“丢弃”规则,会生成拒绝数据包。如果将该流量发送到 vDPI 引擎,防火墙生成的日志将包含第 7 层应用程序 ID 和适用 URL。
入站数据包的规则处理:
- 在数据包进入 DFW 或网关筛选器后,将基于 5 元组在流量表中查找数据包。
- 如果找不到任何流量/状态,则会基于 5 元组将流量与规则表相匹配,并且会在流量表中创建一个条目。
- 如果流量与具有第 7 层服务对象的规则匹配,则流量表状态会被标记为“DPI 正在进行中”。
- 之后,流量会被推送到 DPI 引擎。DPI 引擎将确定应用程序 ID。
- 在确定应用程序 ID 后,DPI 引擎会向下发送已插入到此流量上下文表中的属性。“DPI 正在进行中”标记将被移除,并且流量不再被推送到 DPI 引擎。
- 流量(现在具有应用程序 ID)将针对匹配应用程序 ID 的所有规则重新进行评估,该过程从基于 5 元组匹配的原始规则开始,并会选择第一个完全匹配的 L4/L7 规则。将会执行适当的操作(允许/拒绝),并相应地更新流量表条目。