第 7 層應用程式識別碼會設定於內容設定檔中。
內容設定檔可以指定一或多個應用程式識別碼,也可包含子屬性,用於分散式防火牆 (DFW) 規則和閘道防火牆規則中。當定義了諸如 TLS 1.2 版之類的子屬性時,不支援多個應用程式身分識別屬性。除了屬性以外,DFW 也支援可在內容設定檔中指定的完整網域名稱 (FQDN) 或 URL,以用於 FQDN 允許清單或拒絕清單。如需詳細資訊,請參閱FQDN 篩選。FQDN 可與屬性一起設定於內容設定檔中,也可分別設定在不同的內容設定檔中。內容設定檔一經定義,即可套用至一或多個分散式防火牆規則。
備註:
- 閘道防火牆規則不支援在內容設定檔中使用 FQDN 屬性或其他子屬性。
- 第 0 層閘道防火牆原則不支援內容設定檔。
當規則中使用了內容設定檔時,凡是從虛擬機器傳入的流量,均會與規則資料表進行 5 元組比對。如果比對流量的規則也包含第 7 層內容設定檔,則該封包會重新導向至名為 vDPI 引擎的使用者空間元件。之後,每個流量的後續封包都將會傳送到 vDPI 引擎。決定應用程式識別碼後,該資訊會儲存在核心內的內容資料表中。當流量的下個封包傳入時,內容資料表中的資訊即會再次與規則資料表進行比較,並與 5 元組和第 7 層應用程式識別碼進行比對。系統會採取完全相符的規則中所定義的適當動作,而如果有「允許」規則,則流量的所有後續封包都會在核心內進行處理,並與連線資料表進行比對。對於完全相符的「捨棄」規則,系統會產生拒絕封包。如果該流量已傳送至 vDPI 引擎,防火牆所產生的記錄就會包含第 7 層應用程式識別碼和適用的 URL。
傳入封包的規則處理:
- 進入 DFW 或閘道篩選器後,會在流量資料表中根據 5 元組查詢封包。
- 如果找不到流量/狀態,就會根據規則資料表對流量進行 5 元組比對,然後在流量資料表中建立一個項目。
- 如果流量符合含有第 7 層服務物件的規則,流量資料表狀態會標記為「DPI 進行中」。
- 然後,流量便會被踢給 DPI 引擎。DPI 引擎會確認應用程式識別碼。
- 確認應用程式識別碼後,DPI 引擎便會將插入此流量之內容資料表的屬性向下傳送。「DPI 進行中」旗標將會移除,且流量不再被踢給 DPI 引擎。
- 流量 (現在含應用程式識別碼) 會根據符合應用程式識別碼的所有規則進行重新評估,從根據 5 元組進行比對的原始規則開始,並提取第一個完全相符的 L4/L7 規則。系統會採取適當的動作 (允許/拒絕/回絕),然後據以更新流量資料表項目。