계층 7 애플리케이션 ID는 컨텍스트 프로파일의 일부로 구성됩니다.

컨텍스트 프로파일은 하나 이상의 애플리케이션 ID를 지정할 수 있으며, DFW(분산 방화벽) 규칙 및 게이트웨이 방화벽 규칙에 사용하기 위한 하위 특성을 포함할 수도 있습니다. TLS 버전 1.2와 같은 하위 특성이 정의되면 여러 애플리케이션 ID 특성이 지원되지 않습니다. DFW는 특성 외에도 FQDN 허용 목록 또는 거부 목록 추가를 위한 컨텍스트 프로파일에 지정할 수 있는 FQDN(정규화된 도메인 이름) 또는 URL을 지원합니다. 자세한 내용은 FQDN 필터링 항목을 참조하십시오. FQDN을 컨텍스트 프로파일의 특성으로 구성하거나, 각각 서로 다른 컨텍스트 프로파일에 설정할 수 있습니다. 컨텍스트 프로파일이 정의되면 하나 이상의 분산 방화벽 규칙에 적용할 수 있습니다.

참고:
  • 게이트웨이 방화벽 규칙은 컨텍스트 프로파일에서 FQDN 특성 또는 기타 하위 특성의 사용을 지원하지 않습니다.
  • 컨텍스트 프로파일은 Tier-0 게이트웨이 방화벽 정책에서 지원되지 않습니다.

컨텍스트 프로파일이 규칙에 사용되면 가상 시스템에서 들어오는 트래픽이 5-튜플 기준 규칙 테이블과 일치하는지 확인됩니다. 규칙이 일치하면 흐름에 계층 7 컨텍스트 프로파일도 포함되며, 해당 패킷은 vDPI 엔진이라는 사용자 공간 구성 요소로 리디렉션됩니다. 후속 패킷은 각 흐름에 대해 vDPI 엔진으로 전송됩니다. 애플리케이션 ID가 확인되면 정보가 커널 내 컨텍스트 테이블에 저장됩니다. 흐름에 대한 다음 패킷이 들어오면 컨텍스트 테이블의 정보가 규칙 테이블과 다시 비교되고 5-튜플 및 계층 7 애플리케이션 ID에 대해 일치하는지 확인됩니다. 완전 일치 규칙에 정의된 대로 적절한 작업이 수행되고, 허용 규칙의 경우, 흐름에 대한 모든 후속 패킷이 커널에서 처리되고 연결 테이블과 일치하는지 확인됩니다. 완전 일치 DROP 규칙의 경우 거부 패킷이 생성됩니다. 방화벽에 의해 생성된 로그에는 해당 흐름이 vDPI 엔진에 전송된 경우 계층 7 애플리케이션 ID 및 해당 URL이 포함됩니다.

수신 패킷에 대한 규칙 처리:
  1. DFW 또는 게이트웨이 필터를 입력하면 5-튜플 기준의 흐름 테이블에서 패킷이 조회됩니다.
  2. 흐름/상태가 없는 경우 5-튜플 기준의 규칙 테이블에서 일치하는 흐름이 있는지 검색되고, 흐름 테이블에 항목이 생성됩니다.
  3. 흐름이 계층 7 서비스 개체가 있는 규칙과 일치하는 경우 흐름 테이블 상태는 "DPI 진행 중"으로 표시됩니다.
  4. 그런 후 트래픽이 DPI 엔진에 펀트됩니다. DPI 엔진은 애플리케이션 ID를 확인합니다.
  5. 애플리케이션 ID가 확인되면 DPI 엔진은 이 흐름에 대한 컨텍스트 테이블에 삽입되는 특성을 전송합니다. "DPI 진행 중" 플래그가 제거되고 트래픽은 더 이상 DPI 엔진에 펀트되지 않습니다.
  6. 흐름(이제 애플리케이션 ID 포함)은 5-튜플에 따라 일치하는 원래 규칙부터 시작해서 애플리케이션 ID와 일치하는 규칙이 있는지 모두 다시 평가되고 최초 완전 일치 L4/L7 규칙이 선택됩니다. 적절한 작업(허용/거부/거절)이 수행되고, 그에 따라 흐름 테이블 항목이 업데이트됩니다.