Los identificadores de la aplicación de Capa 7 están configurados como parte de un perfil de contexto.

Un perfil de contexto puede especificar uno o más Identificadores de aplicaciones, y también puede incluir subatributos para usarlos en las reglas de firewall distribuido (DFW) y las reglas de firewall de puerta de enlace. Cuando se define un subatributo, como TLS versión 1.2, no se admiten varios atributos de identidad de aplicación. Además de los atributos, DFW también admite un nombre de dominio completo (FQDN) o una URL que se pueden especificar en un perfil de contexto para la lista de FQDN permitidos o no permitidos. Consulte Filtrado de FQDN para obtener más información. Los FQDN se pueden configurar con un atributo en un perfil de contexto, o bien cada uno se puede configurar en distintos perfiles de contexto. Cuando se haya definido un perfil de contexto, este se podrá aplicar a una o varias reglas de firewall distribuido.

Nota:
  • No se pueden utilizar atributos FQDN u otros subatributos con las reglas de firewall de puerta de enlace en perfiles de contexto.
  • Los perfiles de contexto no se admiten en la directiva de firewall de puerta de enlace de nivel 0.

Cuando se haya usado un perfil de contexto en una regla, todo el tráfico que provenga de una máquina virtual se comparará con la tabla de reglas basada en cinco tuplas. Si la regla coincide con el flujo, también incluye un perfil de contexto de Capa 7, ese paquete se redireccionará a un componente de espacio de usuario denominado el motor vDPI. Se envía una pequeña cantidad de paquetes posteriores a ese motor vDPI para cada flujo y, una vez que se determina el identificador de aplicación, esta información se almacena en la tabla de contexto del kernel. Cuando entra el siguiente paquete del flujo, la información de la tabla de contexto se compara con la tabla de reglas de nuevo y se hace coincidir con las cinco tuplas y el identificador de aplicación de Capa 7. Se lleva a cabo la acción adecuada que se define en la regla que coincide completamente y, en el caso de una regla de permiso, todos los paquetes posteriores para el flujo se procesan en el kernel y se comparan con la tabla de conexión. Para la regla de colocación de coincidencia completa, se genera un paquete de rechazo. Los registros que genera el firewall incluirán el identificador de aplicación de Capa 7 si ese flujo se envió a DPI.

Procesamiento de reglas para un paquete entrante:
  1. Al especificar un filtro de puerta de enlace o DFW, se buscan los paquetes en la tabla de flujos basados en cinco tuplas.
  2. Si no se encuentran flujos ni estados, el flujo coincide con la tabla de reglas basadas en cinco tuplas y se crea una entrada en la tabla de flujos.
  3. Si el flujo coincide con una regla con un objeto de servicio de Capa 7, el estado de la tabla de flujos se marca como "DPI en curso".
  4. El tráfico se envía al motor de DPI. El motor de DPI determina el identificador de aplicación.
  5. Una vez que se determina el identificador de aplicación, el motor de DPI envía el atributo que se inserta en la tabla de contexto para este flujo. Se elimina la marca "DPI en curso" y el tráfico ya no se envía al motor de DPI.
  6. El flujo (ahora con identificador de aplicación) se vuelve a evaluar con todas las reglas que coincidan con este identificador, a partir de la regla original con la que coincidió basada en cinco tuplas, y se elige la primera regla de Capa 4 o 7 que coincida completamente. Se lleva a cabo la acción apropiada (permitir/denegar/rechazar) y la entrada de la tabla de flujos se actualiza según corresponda.