カスタム アプリケーション シグネチャについて

アプリケーション識別は、ユーザー定義のカスタム アプリケーション シグネチャをサポートし、デバイスを通過するアプリケーションを検出します。カスタム アプリケーション シグネチャは、お客様の環境に固有のものであり、事前定義されたアプリケーション パッケージの一部ではありません。このカスタムアプリケーションシグネチャは、SD-WANポリシーとファイアウォールポリシーで使用して、脅威が検出されたときにトラフィックを誘導し、ブロックします。

カスタム アプリケーション シグネチャは、以下の目的で必要です。

• 環境に特有のトラフィックを制御します。

• 未知のアプリケーションや未分類のアプリケーションを可視化します。

• レイヤー 7 アプリケーションまたは一時的なアプリケーションを識別し、既知のアプリケーションをさらにきめ細かく実現します。

• 特定のアプリケーションに対して QoS を実行します。

CSOは、次のカスタムアプリケーションシグネチャをサポートしています。

• ICMP ベースのマッピング—ICMP(インターネット制御メッセージ プロトコル)マッピング技術は、標準の ICMP メッセージ タイプとオプション コードを固有のアプリケーション名にマッピングします。このマッピング技術では、さまざまなタイプの ICMP メッセージを区別できます。

• IP アドレスベースのマッピング— レイヤー 3 およびレイヤー 4 アドレス マッピングは、トラフィックの IP アドレスとオプションのポート範囲によってアプリケーションを定義します。

  適切なセキュリティを確保するには、プライベート ネットワークの設定が信頼できるサーバー間のアプリケーション トラフィックを予測する場合に、アドレス マッピングを使用します。アドレス マッピングは、既知のアプリケーションからのトラフィックを処理する際の効率性と精度を提供します。

  レイヤー 3 およびレイヤー 4 アドレスベースのカスタム アプリケーションでは、IP アドレスとポート範囲を宛先 IP アドレスとポート範囲に一致させることができます。IP アドレスとポート範囲を設定するときは、パケットの宛先タプル(IP アドレスとポート範囲)を一致させる必要があります。

  たとえば、既知のポート5060からセッションを開始するSession Initiation Protocol(SIP)サーバーを考えてみましょう。この IP アドレスとポートからのすべてのトラフィックは SIP アプリケーションによってのみ生成されるため、SIP アプリケーションは、アプリケーション識別のためにサーバーの IP アドレスおよびポート 5060 にマッピングできます。このようにして、このIPアドレスとポートを持つすべてのトラフィックがSIPアプリケーショントラフィックとして識別されます。

• IP プロトコルベースのマッピング—標準 IP プロトコル番号を使用して、アプリケーションを IP トラフィックにマッピングできます。アドレスマッピングと同様に、適切なセキュリティを確保するために、信頼できるサーバーのプライベートネットワークでのみIPプロトコルマッピングを使用します。

• レイヤー 7 ベースのシグネチャ — レイヤー 7 カスタム シグネチャは、TCP または UDP またはレイヤー 7 アプリケーション上で実行されるアプリケーションを定義します。同じレイヤー 7 プロトコル上で実行されている複数のアプリケーションを識別するためには、レイヤー 7 ベースのカスタム アプリケーション シグネチャが必要です。たとえば、FacebookやYahoo MessengerなどのアプリケーションはHTTP経由で実行できますが、同じレイヤー7プロトコル上で実行されている2つの異なるアプリケーションとして識別する必要があります。カスタム 署名は、レイヤー 7 シグネチャでのみキャッシュ可能です。複数の署名を作成でき、各署名には複数のメンバー(最大 15 メンバー)を含めることができます。

  レイヤー 7 ベースのカスタム アプリケーション シグネチャは、HTTP コンテキストのパターンに基づいてアプリケーションを検出します。ただし、一部の HTTP セッションは SSL で暗号化され、TLS(トランスポート レイヤー セキュリティ)とも呼ばれます。アプリケーション識別は、サーバー名情報またはサーバー認定資格を TLS または SSL セッションから抽出できます。また、レイヤー 7 アプリケーションの TCP または UDP ペイロードでパターンを検出することもできます。