カスタム アプリケーション シグネチャについて

アプリケーション識別は、ユーザーが定義したカスタムアプリケーションシグネチャをサポートし、デバイスを通過するアプリケーションを検出します。カスタム アプリケーション シグネチャは、環境に固有のものであり、事前定義されたアプリケーション パッケージの一部ではありません。このカスタムアプリケーションシグネチャは、SD-WANポリシーとファイアウォールポリシーで使用し、脅威が検知された場合にトラフィックを誘導してブロックします。

カスタム アプリケーション シグネチャは、以下の目的で必要です。

• 環境に特有のトラフィックを制御します。

• 未知のアプリケーションや分類されていないアプリケーションを可視化します。

• レイヤー 7 アプリケーションまたは一時的なアプリケーションを識別し、既知のアプリケーションをさらにきめ細かく行います。

• 特定のアプリケーションに対して QoS を実行します。

CSOは、以下のカスタムアプリケーションシグネチャをサポートしています。

• ICMPベースのマッピング—インターネット制御メッセージプロトコル(ICMP)マッピング技術は、標準のICMPメッセージタイプとオプションコードを一意のアプリケーション名にマッピングします。このマッピング手法では、さまざまなタイプの ICMP メッセージを区別できます。

• IP アドレスベース マッピング — レイヤー 3 およびレイヤー 4 アドレス マッピングは、トラフィックの IP アドレスとオプションのポート範囲によってアプリケーションを定義します。

  適切なセキュリティを確保するには、信頼できるサーバー間のアプリケーション トラフィックをプライベート ネットワークの設定で予測する場合、アドレス マッピングを使用します。アドレスマッピングは、既知のアプリケーションからのトラフィックを処理する際の効率性と精度を提供します。

  レイヤー 3 およびレイヤー 4 のアドレスベースのカスタム アプリケーションでは、IP アドレスとポート範囲を宛先 IP アドレスとポート範囲に一致させることができます。IP アドレスとポート範囲が設定されている場合、パケットの宛先タプル(IP アドレスとポート範囲)に一致する必要があります。

  例えば、既知のポート 5060 からセッションを開始するセッション開始プロトコル(SIP)サーバーを考えてみましょう。この IP アドレスとポートからのすべてのトラフィックは SIP アプリケーションによってのみ生成されるため、SIP アプリケーションは、アプリケーション識別用にサーバーの IP アドレスとポート 5060 にマッピングできます。このようにして、この IP アドレスとポートを持つすべてのトラフィックが SIP アプリケーション トラフィックとして識別されます。

• IPプロトコルベースマッピング-標準IPプロトコル番号は、アプリケーションをIPトラフィックにマッピングできます。アドレスマッピングと同様に、適切なセキュリティを確保するために、信頼できるサーバーのプライベートネットワークでのみIPプロトコルマッピングを使用します。

• レイヤー 7 ベースのシグネチャ — レイヤー 7 カスタム シグネチャは、TCP または UDP またはレイヤー 7 アプリケーション上で実行されるアプリケーションを定義します。同じレイヤー7プロトコルで実行されている複数のアプリケーションを識別するためには、レイヤー7ベースのカスタムアプリケーションシグネチャが必要です。たとえば、FacebookやYahoo MessengerなどのアプリケーションはHTTP経由で実行できますが、同じレイヤー7プロトコル上で実行されている2つの異なるアプリケーションとして識別する必要があります。カスタム シグネチャは、レイヤー 7 シグネチャに対してのみキャッシュ可能です。複数の署名を作成でき、各署名には複数のメンバーを含めることができます(最大 15 メンバー)。

  レイヤー 7 ベースのカスタム アプリケーション シグネチャは、HTTP コンテキストのパターンに基づいてアプリケーションを検出します。ただし、HTTP セッションの中には、TLS(トランスポート層セキュリティ)とも呼ばれる SSL で暗号化されるものもあります。アプリケーション識別は、TLS または SSL セッションからサーバー名情報またはサーバー認定資格を抽出できます。また、レイヤー 7 アプリケーションの TCP または UDP ペイロードのパターンを検出することもできます。