レイヤー 7 アプリケーション ID は、コンテキスト プロファイルの一部として設定されます。

コンテキスト プロファイルでは、1 つ以上の 属性(アプリケーション ID) を指定できます。また、分散ファイアウォール (DFW) ルールやゲートウェイ ファイアウォール ルールで使用するサブ属性を指定することもできます。TLS バージョン 1.2 などのサブ属性が定義されている場合、複数のアプリケーション ID 属性はサポートされません。属性だけでなく、DFW は完全修飾ドメイン名 (FQDN) や URL をサポートしています。これらは、FQDN の許可リストまたは拒否リストのコンテキスト プロファイルに指定できます。詳細については、特定のドメインのフィルタリング (FQDN/URL)を参照してください。FQDN は、コンテキスト プロファイルの属性とともに設定することも、別のコンテキスト プロファイルで個別に設定することもできます。コンテキスト プロファイルを定義すると、1 つまたは複数の分散ファイアウォール ルールに適用できます。

注:
  • ゲートウェイ ファイアウォール ルールでは、コンテキスト プロファイルに FQDN 属性または他のサブ属性は使用できません。
  • コンテキスト プロファイルは、Tier-0 ゲートウェイ ファイアウォール ポリシーでサポートされていません。

コンテキスト プロファイルをルール内で使用すると、仮想マシンとの送受信トラフィックが、5-tuple に基づいてルール テーブルと照合されます。ルールがフローと一致し、レイヤー 7 コンテキスト プロファイルも含まれる場合、このパケットは、vDPI エンジンというユーザー空間コンポーネントにリダイレクトされます。それ以降の各フローでこの vDPI エンジンにパントされるパケットの数は少なくなり、アプリケーション ID と判断されると、この情報はカーネル内のコンテキスト テーブルに保存されます。フローの次のパケットを受信すると、コンテキスト テーブル内の情報はルール テーブルと再度比較され、5-tuple およびレイヤー 7 アプリケーション ID に基づいて照合されます。完全に一致したルールで定義されている適切なアクションが実行されます。許可ルールの場合、フローの後続のすべてのパケットはカーネルで処理され、接続テーブルと照合されます。完全に一致するドロップ ルールの場合、拒否パケットが生成されます。このフローが DPI にパントされた場合、ファイアウォールで生成されたログにはレイヤー 7 アプリケーション ID と該当する URL が含まれます。

受信パケットの処理ルール:
  1. DFW またはゲートウェイ フィルタを入力すると、フロー テーブルで 5-tuple に基づいてパケットが検索されます。
  2. フロー/状態が見つからない場合、5-tuple に基づいてルール テーブルにフローが照合され、フロー テーブルにエントリが作成されます。
  3. フローがレイヤー 7 サービス オブジェクトのルールと一致すると、フロー テーブルの状態が「DPI 処理中」とマークされます。
  4. トラフィックが DPI エンジンにパントされます。DPI エンジンにより、アプリケーション ID が決まります。
  5. アプリケーション ID が決まると、DPI エンジンが属性を送信し、このフローのコンテキスト テーブルに挿入されます。「DPI 処理中」フラグが削除され、トラフィックが DPI エンジンにパントされなくなります。
  6. アプリケーション ID 付きのフローがアプリケーション ID に一致するすべてのルールで再評価され、5-tuple ベースで一致した元のルールから開始され、最初に L4/L7 ルールに完全一致したフローが選択されます。適切なアクション(許可/拒否/却下)が実行され、フロー テーブルのエントリが更新されます。