Gli ID app di livello 7 vengono configurati come parte di un profilo di contesto.

Un profilo di contesto può specificare uno o più ID app e può anche includere attributi secondari da utilizzare nelle regole del firewall distribuito (DFW) e nelle regole del firewall del gateway. Quando viene definito un attributo secondario, come TLS versione 1.2, non sono supportati più attributi di identità dell'applicazione. Oltre agli attributi, DFW supporta anche un nome di dominio completo o un URL che può essere specificato in un profilo di contesto per l'elenco dei nomi di dominio completi consentiti e vietati. Per ulteriori informazioni, consultare Filtro FQDN. I nomi di dominio completi possono essere configurati con un attributo in un profilo di contesto oppure impostati ciascuno in profili di contesto diversi. Dopo aver definito il profilo di contesto, è possibile applicarlo a una o più regole del firewall distribuito.

Nota:
  • Le regole del firewall del gateway non supportano l'utilizzo degli attributi del nome di dominio completo o di altri attributi secondari nei profili del contesto.
  • I profili di contesto non sono supportati nel criterio del firewall del gateway di livello 0.

Quando un profilo di contesto viene utilizzato in una regola, tutto il traffico proveniente da una macchina virtuale viene confrontato con la tabella delle regole basata su una tupla da 5. Se la regola che corrisponde al flusso include anche un profilo di contesto di livello 7, il pacchetto viene reindirizzato a un componente dello spazio utente denominato motore vDPI. I pacchetti successivi vengono inviati al motore vDPI per ogni flusso. Dopo aver determinato l'ID app, le informazioni vengono memorizzate nella tabella del contesto nel kernel. Quando arriva il pacchetto successivo per il flusso, le informazioni nella tabella di contesto vengono nuovamente confrontate con la tabella delle regole e associate con una tupla da 5 e l'ID app di livello 7. Viene eseguita l'azione appropriata, definita nella regola con corrispondenza completa, e se è presente una regola di AUTORIZZAZIONE, tutti i pacchetti successivi per il flusso vengono elaborati nel kernel e confrontati con la tabella di connessione. Per le regole di ELIMINAZIONE con corrispondenza completa, viene generato un pacchetto di rifiuto. I registri generati dal firewall includeranno l'ID app di livello 7 e l'URL applicabile, se il flusso è stato inviato a vDPI.

Elaborazione delle regole per un pacchetto in entrata:
  1. Quando si immette un filtro DFW o gateway, i pacchetti vengono cercati nella tabella dei flussi basata su una tupla da 5.
  2. Se non è possibile trovare lo stato del flusso, il flusso viene confrontato con la tabella delle regole basata su una tupla da 5 e viene creata una voce nella tabella del flusso.
  3. Se il flusso corrisponde a una regola con un oggetto servizio di livello 7, lo stato della tabella del flusso viene contrassegnato come "DPI in corso".
  4. Il traffico viene quindi inviato al motore DPI. Il motore DPI determina l'ID app.
  5. Dopo aver determinato l'ID app, il motore DPI invia l'attributo che viene inserito nella tabella del contesto per questo flusso. Il flag "DPI in corso" viene rimosso e il traffico non viene più inviato al motore DPI.
  6. Il flusso (ora con l'ID app) viene rivalutato rispetto a tutte le regole che corrispondono all'ID app, a partire dalla regola originale in cui la corrispondenza era basata sulla tupla 5 e viene selezionata la prima regola L4/L7 con corrispondenza completa. Viene eseguita l'azione appropriata (consenti/nega/rifiuta) e la voce della tabella dei flussi viene aggiornata di conseguenza.