了解自定义应用程序签名

应用程序识别支持用户定义的自定义应用程序签名，以检测应用程序通过设备时的应用程序。自定义应用程序签名对您的环境是独一无二的，并不属于预定义的应用程序包。您可在 SD-WAN 策略和防火墙策略中使用此自定义应用程序签名来引导和阻止检测到威胁时的流量。

自定义应用程序签名必须：

• 控制特定于环境的流量。

• 为未知或未分类的应用程序提供可见性。

• 识别第 7 层应用程序或临时应用程序，并进一步细粒度已知应用程序。

• 为您的特定应用程序执行 QoS。

CSO 支持以下自定义应用程序签名：

• 基于 ICMP 的映射 — 互联网控制消息协议 （ICMP） 映射技术将标准 ICMP 消息类型和可选代码映射到唯一应用程序名称。借助这种映射技术，您可以区分各种类型的 ICMP 消息。

• 基于 IP 地址的映射 — 第 3 层和第 4 层地址映射按流量的 IP 地址和可选端口范围定义应用程序。

  为确保充分的安全性，在私有网络配置预测来自受信任服务器的应用程序流量时，请使用地址映射。地址映射可提高处理来自已知应用程序的流量的效率和准确性。

  借助第 3 层和第 4 层基于地址的自定义应用程序，您可以将 IP 地址和端口范围与目标 IP 地址和端口范围进行匹配。配置 IP 地址和端口范围时，它们必须与数据包的目标元组（IP 地址和端口范围）匹配。

  例如，考虑从其已知端口 5060 启动会话的会话初始化协议 （SIP） 服务器。由于此 IP 地址和端口的所有流量仅由 SIP 应用程序生成，因此 SIP 应用程序可映射到服务器和端口 5060 的 IP 地址，以便进行应用程序识别。通过这种方式，具有此 IP 地址和端口的所有流量均标识为 SIP 应用程序流量。

• 基于 IP 协议的映射 — 标准 IP 协议编号可以将应用程序映射到 IP 流量。与地址映射一样，为了确保足够的安全性，仅在您的专用网络中对可信服务器使用 IP 协议映射。

• 基于 7 层签名 — 第 7 层自定义签名定义在 TCP 或 UDP 或第 7 层应用程序上运行的应用程序。需要基于 7 层的自定义应用程序签名才能识别在同一第 7 层协议上运行的多个应用程序。例如，Facebook 和 Yahoo Messenger 等应用程序可以通过 HTTP 运行，但需要将其识别为在同一第 7 层协议上运行的两个不同的应用程序。自定义签名仅适用于第 7 层签名。您可以创建多个签名，并且每个签名可以包含多个成员（最多 15 个成员）。

  基于 7 层的自定义应用程序签名会根据 HTTP 上下文中的模式来检测应用程序。但是，某些 HTTP 会话在 SSL 中加密，也称为传输层安全 （TLS）。应用程序识别可以从 TLS 或 SSL 会话中提取服务器名称信息或服务器认证。它还可以检测第 7 层应用中的 TCP 或 UDP 有效负载模式。