App-IDs der Schicht 7 werden als Teil eines Kontextprofils konfiguriert.

Ein Kontextprofil kann eine oder mehrere Attribute angeben und kann auch Unterattribute für die Verwendung in den Regeln der verteilten Firewall (DFW) und der Gateway-Firewall enthalten. Wenn ein Unterattribut, z. B. TLS Version 1.2, definiert ist, werden mehrere Anwendungsidentitätsattribute nicht unterstützt. Zusätzlich zu Attributen unterstützt DFW auch einen vollqualifizierten Domänennamen (FQDN) oder eine URL, die in einem Kontextprofil für die FQDN-Positivliste oder -Negativliste angegeben werden kann. Weitere Informationen hierzu finden Sie unter Filtern bestimmter Domänen (FQDN/URLs). FQDNs können mit einem Attribut in einem Kontextprofil konfiguriert werden oder sie können jeweils in verschiedenen Kontextprofilen festgelegt werden. Nachdem ein Kontextprofil definiert wurde, kann es auf eine oder mehrere verteilte Firewallregeln angewendet werden.

Hinweis:
  • Gateway-Firewallregeln unterstützen nicht die Verwendung von FQDN-Attributen oder anderen Unterattributen in Kontextprofilen.
  • Kontextprofile werden in der Tier-0-Gateway-Firewallrichtlinie nicht unterstützt.

Wenn ein Kontextprofil in einer Regel verwendet wird, wird jeder Datenverkehr, der von einer virtuellen Maschine eingeht, auf der Basis von 5-Tupel mit der Regeltabelle abgeglichen. Wenn die Regel, die mit dem Flow übereinstimmt, außerdem ein Kontextprofil der Schicht 7 enthält, wird das Paket an eine Benutzerbereichskomponente umgeleitet, die als vDPI-Engine bezeichnet wird. Nachfolgende Pakete werden für jeden Flow an die vDPI-Engine gesendet. Nachdem die App-ID ermittelt wurde, werden die Informationen in der kernelinternen Kontexttabelle gespeichert. Wenn das nächste Paket für den Flow eingeht, werden die Informationen in der Kontexttabelle erneut mit der Regeltabelle verglichen und mit einem 5-Tupel sowie der App-ID auf Schicht 7 abgeglichen. Die entsprechende Aktion, wie in der Regel definiert, wird ausgeführt. Im Falle einer ALLOW-Regel werden alle nachfolgenden Pakete für den Flow im Kernel verarbeitet und mit der Verbindungstabelle abgeglichen. Für vollständig abgestimmte DROP-Regeln wird ein Ablehnungspaket generiert. Von der verteilten Firewall generierte Protokolle enthalten die App-ID der Schicht 7 und die jeweilige URL, wenn dieser Flow an die vDPI-Engine gesendet wurde.

Regelverarbeitung für ein eingehendes Paket:
  1. Nach dem Eingeben eines DFW- oder Gateway-Filters werden die Pakete basierend auf einem 5-Tupel mit der Flow-Tabelle abgeglichen.
  2. Wenn kein Flow-Status gefunden werden kann, wird der Flow anhand der Regeltabelle basierend auf einem 5-Tupel abgeglichen. Daraufhin wird ein Eintrag in der Flow-Tabelle erstellt.
  3. Wenn der Flow mit einer Regel mit einem Schicht-7-Dienstobjekt übereinstimmt, wird der Status der Flow-Tabelle mit „DPI in Bearbeitung“ gekennzeichnet.
  4. Der Datenverkehr wird daraufhin an die DPI-Engine weitergegeben. Die DPI-Engine bestimmt die App-ID.
  5. Wenn die App-ID bestimmt wurde, versendet die DPI-Engine das Attribut, das in die Kontexttabelle für diesen Flow eingefügt wird. Die Kennzeichnung „DPI In Progress“ wird entfernt und der Datenverkehr wird nicht mehr an die DPI-Engine weitergegeben.
  6. Der Flow (jetzt mit App-ID) wird erneut anhand aller Regeln überprüft, die der App-ID entsprechen, angefangen bei der ursprünglichen Regel, bei der die Übereinstimmung auf dem 5-Tupel basierte. Die erste vollständig übereinstimmende L4/L7-Regel wird verwendet. Die entsprechende Aktion wird ausgeführt (zulassen/verweigern/ablehnen) und der Eintrag in der Flowtabelle wird entsprechend aktualisiert.