Los identificadores de la aplicación de Capa 7 están configurados como parte de un perfil de contexto.

Un perfil de contexto puede especificar uno o más Atributos, y también puede incluir subatributos para usarlos en las reglas de firewall distribuido (DFW) y las reglas de firewall de puerta de enlace. Cuando se define un subatributo, como TLS versión 1.2, no se admiten varios atributos de identidad de aplicación. Además de los atributos, DFW también admite un nombre de dominio completo (FQDN) o una URL que se pueden especificar en un perfil de contexto para la lista de FQDN permitidos o no permitidos. Consulte Filtrar dominios específicos (FQDN/URL) para obtener más información. Los FQDN se pueden configurar con un atributo en un perfil de contexto, o bien cada uno se puede configurar en distintos perfiles de contexto. Cuando se haya definido un perfil de contexto, este se podrá aplicar a una o varias reglas de firewall distribuido.

Nota:
  • No se pueden utilizar atributos FQDN u otros subatributos con las reglas de firewall de puerta de enlace en perfiles de contexto.
  • Los perfiles de contexto no se admiten en la directiva de firewall de puerta de enlace de nivel 0.

Cuando se usa un perfil de contexto en una regla, todo el tráfico que provenga de una máquina virtual se comparará con la tabla de reglas basada en cinco tuplas. Si la regla que coincide con el flujo también incluye un perfil de contexto de Capa 7, el paquete se redireccionará a un componente de espacio de usuario denominado el motor vDPI. Los paquetes subsiguientes se envían al motor de vDPI para cada flujo. Una vez determinado el identificador de aplicación, la información se almacena en la tabla de contexto del kernel. Cuando entra el siguiente paquete del flujo, la información de la tabla de contexto se compara con la tabla de reglas de nuevo y se hace coincidir con las cinco tuplas y el identificador de aplicación de Capa 7. Se lleva a cabo la acción adecuada que se define en la regla que coincide completamente y, en el caso de una regla de permiso, todos los paquetes posteriores para el flujo se procesan en el kernel y se comparan con la tabla de conexión. Para las reglas de colocación de coincidencia completa, se genera un paquete de rechazo. Los registros que genera el firewall incluirán el identificador de aplicación de Capa 7 si ese flujo se envió al motor de vDPI.

Procesamiento de reglas para un paquete entrante:
  1. Al especificar un filtro de puerta de enlace o DFW, se buscan los paquetes en la tabla de flujos basados en cinco tuplas.
  2. Si no se encuentran flujos ni estados, el flujo coincide con la tabla de reglas basadas en cinco tuplas y se crea una entrada en la tabla de flujos.
  3. Si el flujo coincide con una regla con un objeto de servicio de Capa 7, el estado de la tabla de flujos se marca como "DPI en curso".
  4. El tráfico se envía al motor de DPI. El motor de DPI determina el identificador de aplicación.
  5. Una vez que se determina el identificador de aplicación, el motor de DPI envía el atributo que se inserta en la tabla de contexto para este flujo. Se elimina la marca "DPI en curso" y el tráfico ya no se envía al motor de DPI.
  6. El flujo (ahora con identificador de aplicación) se vuelve a evaluar con todas las reglas que coincidan con este identificador, a partir de la regla original con la que coincidió basada en cinco tuplas, y se elige la primera regla de Capa 4 o 7 que coincida completamente. Se lleva a cabo la acción apropiada (permitir/denegar/rechazar) y la entrada de la tabla de flujos se actualiza según corresponda.