사용자 지정 응용 프로그램 서명 이해

응용 프로그램 식별은 사용자 정의 사용자 지정 응용 프로그램 서명을 지원하여 응용 프로그램이 장치를 통과할 때 이를 감지합니다. 사용자 지정 응용 프로그램 서명은 사용자 환경에 고유하며 미리 정의된 응용 프로그램 패키지의 일부가 아닙니다. SD-WAN 정책 및 방화벽 정책에서 이 커스텀 애플리케이션 시그니처를 사용하여 위협을 탐지하면 트래픽을 조정하고 차단할 수 있습니다.

사용자 지정 응용 프로그램 서명은 다음과 같은 경우에 필요합니다.

• 특정 환경에 대한 트래픽을 제어합니다.

• 알려지지 않았거나 분류되지 않은 애플리케이션에 대한 가시성을 제공합니다.

• 레이어 7 애플리케이션 또는 임시 애플리케이션을 식별하고, 알려진 애플리케이션을 더욱 세분화할 수 있습니다.

• 특정 애플리케이션에 대한 QoS를 수행합니다.

CSO는 다음과 같은 사용자 지정 애플리케이션 서명을 지원합니다.

• ICMP 기반 매핑 - ICMP(Internet Control Message Protocol) 매핑 기술은 표준 ICMP 메시지 유형 및 선택적 코드를 고유한 애플리케이션 이름에 매핑합니다. 이 매핑 기술을 사용하면 다양한 유형의 ICMP 메시지를 구별할 수 있습니다.

• IP 주소 기반 매핑 - 레이어 3 및 레이어 4 주소 매핑은 트래픽의 IP 주소 및 선택적 포트 범위로 애플리케이션을 정의합니다.

  적절한 보안을 유지하려면 개인 네트워크의 구성에서 신뢰할 수 있는 서버와 주고받는 응용 프로그램 트래픽을 예측할 때 주소 매핑을 사용합니다. 주소 매핑은 알려진 애플리케이션의 트래픽을 처리하는 데 있어 효율성과 정확성을 제공합니다.

  레이어 3 및 레이어 4 주소 기반 사용자 지정 애플리케이션을 사용하면 IP 주소 및 포트 범위를 대상 IP 주소 및 포트 범위와 일치시킬 수 있습니다. IP 주소 및 포트 범위가 구성되면 패킷의 대상 튜플(IP 주소 및 포트 범위)과 일치해야 합니다.

  예를 들어 알려진 포트 5060에서 세션을 시작하는 SIP(Session Initiation Protocol) 서버가 있다고 가정해 보겠습니다. 이 IP 주소 및 포트의 모든 트래픽은 SIP 응용 프로그램에 의해서만 생성되므로 응용 프로그램 식별을 위해 SIP 응용 프로그램을 서버의 IP 주소 및 포트 5060에 매핑할 수 있습니다. 이러한 방식으로 이 IP 주소와 포트를 가진 모든 트래픽이 SIP 애플리케이션 트래픽으로 식별됩니다.

• IP 프로토콜 기반 매핑 - 표준 IP 프로토콜 번호는 애플리케이션을 IP 트래픽에 매핑할 수 있습니다. 주소 매핑과 마찬가지로 적절한 보안을 유지하려면 신뢰할 수 있는 서버에 대해 개인 네트워크에서만 IP 프로토콜 매핑을 사용합니다.

• 레이어 7 기반 시그니처 - 레이어 7 사용자 지정 시그니처는 TCP 또는 UDP를 통해 실행되는 애플리케이션이나 레이어 7 애플리케이션을 정의합니다. 레이어 7 기반 사용자 지정 애플리케이션 서명은 동일한 레이어 7 프로토콜에서 실행되는 여러 애플리케이션을 식별하는 데 필요합니다. 예를 들어 Facebook 및 Yahoo Messenger와 같은 애플리케이션은 HTTP를 통해 실행될 수 있지만 동일한 레이어 7 프로토콜에서 실행되는 두 개의 서로 다른 애플리케이션으로 식별해야 합니다. 사용자 지정 서명은 레이어 7 서명에만 캐시할 수 있습니다. 여러 서명을 만들 수 있으며 각 서명에는 여러 구성원(최대 15명)이 포함될 수 있습니다.

  레이어 7 기반 사용자 지정 애플리케이션 시그니처는 HTTP 컨텍스트의 패턴을 기반으로 애플리케이션을 감지합니다. 그러나 일부 HTTP 세션은 TLS(전송 계층 보안)라고도 하는 SSL로 암호화됩니다. 애플리케이션 식별은 TLS 또는 SSL 세션에서 서버 이름 정보 또는 서버 인증을 추출할 수 있습니다. 또한 레이어 7 애플리케이션에서 TCP 또는 UDP 페이로드의 패턴을 감지할 수 있습니다.