Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

添加应用程序签名

您可以为不属于瞻博网络预定义应用程序数据库的应用程序添加自定义应用程序签名。添加自定义应用程序签名时,请通过提供唯一且相关的名称来确保应用程序签名是唯一的。

您可以通过指定名称、协议、运行应用程序的端口号和匹配标准来添加自定义应用程序签名。

创建自定义应用程序签名:

  1. 选择 “配置”>“共享对象”>“应用程序签名”。
  2. 单击 创建>签名
  3. 根据 表 1 中提供的指南完成配置。
  4. 单击 “确定 ”保存更改。如果要放弃更改,请单击 “取消 ”。

将创建包含配置的新应用程序签名。您可以在创建 SD-WAN 策略和防火墙策略意图时使用此应用程序签名。

表 1 提供了有关使用“ 创建应用程序签名 ”页上的字段的指南。

表 1:创建应用程序签名页上的字段

领域

描述

名字

输入由字母数字字符、冒号、句点、短划线和下划线组成的字符串的唯一名称。不允许使用空格,最大长度为 63 个字符。

描述

输入应用程序签名的说明。

签名顺序和优先级  

输入自定义应用程序签名的顺序。订单值越低优先级越高。当同一类型的多个自定义应用程序签名与相同流量匹配时,将使用此选项。但是,不能使用此选项在不同类型的应用程序之间确定优先级,例如基于 TCP 流的应用程序与基于 TCP 端口的应用程序或基于 IP 地址的应用程序针对基于端口的应用程序。

范围为 1-50000。

优先

指定应用程序签名优先于其他应用程序签名(高或低)。

签名分类  

类别

输入应用程序签名的类别。例如,消息传递、Web、基础结构、远程访问、多媒体等。

子类别

输入应用程序签名的子类别。例如,Wiki、文件共享、多媒体、社交网络、新闻等。

风险

选择与应用程序签名关联的风险级别。例如,低、中、高、严重、不安全等。

特征

输入应用程序签名的一个或多个特征。例如,支持文件传输、生产力损失等。

申请标准

启用一个或多个应用程序匹配条件:

  • ICMP 映射

  • IP 协议映射

  • 地址映射

  • L7 签名

ICMP 映射

单击切换按钮以指定应用程序的互联网控制消息协议 (ICMP) 值,同时配置用于应用程序标识的自定义应用程序签名。

ICMP 映射技术将标准 ICMP 消息类型和可选代码映射到唯一的应用程序名称。ICMP 代码和类型为应用程序定义中的数据包匹配提供了附加规范。

ICMP 类型

输入应用程序的 ICMP 值。ICMP 映射技术将标准 ICMP 消息类型和可选代码映射到唯一的应用程序名称。

范围为 0-254。

ICMP 代码

输入应用程序的 ICMP 代码。该字段提供有关 ICMP 类型字段的更多信息(例如 RFC)。

范围为 0-254。

IP 协议映射

单击切换按钮以指定应用程序的 IP 协议值。此参数用于根据应用程序的 IP 协议值标识应用程序,并且仅用于 IP 流量。为确保足够的安全性,请仅在专用网络中对受信任的服务器使用 IP 协议映射。

IP 协议

输入应用程序的 IP 协议编号。标准 IP 协议编号将应用程序映射到 IP 流量。为确保足够的安全性,请仅在专用网络中对受信任的服务器使用 IP 协议映射。

范围为 0-254。

您可以在 IANA 网站上找到行业标准协议编号的完整列表。

注意:

不能将 IP 协议号 1 (ICMP)、6 (TCP ) 和 17 (UDP) 用于创建自定义应用程序签名。相反,我们建议您对这些协议使用 L7 签名策略。

地址映射

单击切换按钮以指定地址映射信息。第 3 层和第 4 层地址映射通过匹配流量的目标 IP 地址或端口范围(可选)来定义应用程序。当专用网络的配置预测进出受信任服务器的应用程序流量时,使用地址映射选项配置自定义应用程序签名。

地址映射可在处理来自已知应用程序的流量时提供效率和准确性。更多信息,请参见 表2

注意:
  • 必须为地址映射指定 IP 地址或 TCP/UDP 端口范围。

  • 如果同时配置了 IP 地址和 TCP/UDP 端口,则两者都应与数据包的目标元组(IP 地址和端口范围)匹配。

L7 签名

单击切换按钮以指定识别在同一 L7 协议上运行的多个应用程序所需的基于第 7 层的自定义应用程序签名。基于 L7 应用程序配置自定义签名。您可以创建基于第 7 层的自定义应用程序签名,用于识别在同一 L7 协议上运行的多个应用程序。例如,Facebook和Yahoo Messenger等应用程序都可以在HTTP上运行,但需要将它们识别为在同一第7层协议上运行的两个不同应用程序。更多信息,请参见 表3

缓存

单击切换按钮以在设备上缓存应用程序标识结果。

仅当在自定义签名中单独配置 L7 签名时,才将此选项启用为 True 。基于地址、基于 IP 协议和基于 ICMP 的自定义应用程序签名不支持此选项。

表 2:添加 IP 地址映射页面上的字段

领域

描述

名字

输入由字母数字字符、冒号、句点、短划线和下划线组成的唯一字符串。不允许有空格;最大长度为 63 个字符。

IP 地址

输入应用程序的目标 IPv4 或 IPv6 地址。

网段

输入分配给应用程序的 IP 地址的 CIDR 值。

IPv4 地址的范围为 1-32。

IPv6 地址的范围为 1-128。

TCP 端口范围

(可选)输入以空格分隔的端口或端口范围列表,以匹配第 3 层和第 4 层基于地址的自定义应用程序的 TCP 目标端口。

范围为 0-65535。

示例:80-82 443。

UDP 端口范围

(可选)输入以空格分隔的端口列表或端口范围范围,以匹配第 3 层和第 4 层基于地址的自定义应用程序的 UDP 目标端口。范围为 0-65535。

示例:160-162 260。

表 3:添加签名页上的字段

领域

描述

通过协议

显示与应用程序协议匹配的签名。

示例:HTTP。

签名名称

输入由字母数字字符、冒号、句点、短划线和下划线组成的字符串的唯一名称。不允许使用空格,最大长度为 63 个字符。

端口范围

输入应用程序的端口范围。

范围为 0-65535

示例:80-82,443

添加成员

单击加号图标 (+) 以添加成员详细信息。

会员编号

输入自定义应用程序签名的成员名称。自定义签名可以包含定义应用程序属性的多个成员。(支持的成员名称范围为 m01—m15。

上下文

选择特定于服务的上下文。

  • 对于基于 HTTP 的 L7 签名,请选择以下任一上下文:

    • http-get-url-parsed-param-parsed

    • http-header-content-type

    • http-header-cookie

    • http-header-host

    • http-header-user-agent

    • http-post-url-parsed-param-parsed

    • http-post-variable-parsed

    • http-url-parsed

    • http-url-parsed-param-parsed

  • 对于基于 SSL 的 L7 签名,请选择特定于服务的上下文作为 ssl-server-name

  • 对于基于 TCP 的 L7 签名,请选择特定于服务的上下文作为

  • 对于基于 UDP 的 L7 签名,请选择特定于服务的上下文作为

有关 L7 应用程序创建的上下文和方向的可能组合,请参阅上下文(应用程序标识)。

方向

选择签名必须匹配的数据包流的方向。

  • any — 数据包流的方向可以从客户端到服务器端,也可以是从服务器端到客户端。

  • 客户端到服务器 — 数据包流的方向是从客户端到服务器端。

  • 服务器到客户端 — 数据包流的方向是从服务器端到客户端。

模式

输入在上下文中匹配的确定性有限自动机 (DFA) 模式。DFA 模式指定要与签名匹配的模式。最大长度为 128。