NG Firewall UTM > Aplicaciones > Application Control
Application Control
Sobre el Control de Aplicaciones
Control de aplicaciones aprovecha la Biblioteca de Visibilidad de las aplicaciones de red (Navl) y de Redes Vineyard, para realizar profundidad de paquetes (DPI) y el flujo profundo (DFI) la inspección de tráfico de red. Esto permite al servidor para identificar con precisión miles de las aplicaciones más comunes de hoy en día, tales como redes sociales, P2P, mensajería instantánea, streaming de vídeo, uso compartido de archivos, aplicaciones empresariales, Web 2.0 y mucho más. Para la mayoría de aplicaciones comunes sólo tiene que ir en la lista en la ficha Aplicaciones, consulte Bloquear para cualquier cosa que desee detener, entonces Application Control se encargará del resto. Si usted necesita un mayor grado de control puede usar la pestaña de reglas para crear reglas personalizadas que se dirigen a los patrones de tráfico más complejas.
Configuración
En esta sección se describen las distintas configuraciones y opciones de configuración disponibles para el control de aplicaciones.
Estado
La ficha Estado muestra un resumen de tráfico y la información de configuración. La sección Estadística del Tráfico muestra el número total de sesiones que se han escaneado, junto con el número de las sesiones que se permitió, bandera, o bloqueado. Aplicación de Estadísticas muestra el número total de solicitudes que pueden ser detectados por la aplicación, junto con el número de esos protocolos que serán señalados y / o bloqueados. Reglas de Estadísticas le permite ver rápidamente el número de reglas personalizadas que haya configurado, así como el número de esas reglas están activas.
Aplicaciones
Aplicaciones: es el primer camino y el que quiere utilizar el control de aplicaciones para gestionar el tráfico de red. Basta con encontrar la aplicación que desea orientar su campaña, y el uso del bloque y así las casillas se puedan marcar como no apropiado. Puede ordenar la lista por cualquiera de las columnas que se muestran, debe ayudar en la búsqueda y la gestión de los protocolos que desea orientar su campañía. Sólo tiene que marcar Block para detener estas aplicaciones o bandera que les permita, en silencio su presentación como violaciónes de los informes. Utilice las siguientes definiciones para establecer la ficha Aplicaciones para su organización:
§ Aplicación: El identificador único para la aplicación.
§ Bloque: Active la casilla de verificación para bloquear el tráfico. La sesión será dado de baja si es UDP y restablezca si es TCP.
§ Flag: Activar la casilla para marcar el tráfico. Será marcado como una violación de los informes.
§ Tarpit: Active la casilla de verificación para tarpit el tráfico. Tarpit es un tipo especial de bloqueo que se mantiene abierta la conexión, pero los datos se dejó caer en silencio. Para TCP, esto hace que parezca que el cliente y el servidor que la otra parte está recibiendo los datos, pero no responde. Para UDP, que es idéntica en el comportamiento para bloquear excepto la conexión se mantiene abierta por lo que se redujo el siguiente paquete en lugar de reclasificar como una nueva sesión.
§ Nombre: El nombre por defecto de la aplicación.
§ Categoría: Una categoría bastante general y de alto nivel para la aplicación.
§ Productividad: La productividad es mejor como un valor del índice entre 1 y 5 que califica el potencial de cada aplicación para mejorar o incrementar la productividad general de los usuarios de la red, asumiendo por supuesto que escuchar música y jugar juegos en línea no está en su puesto de trabajo Descripción. Así, las aplicaciones con un índice de productividad baja (por ejemplo, MySpace, Hulu, Juegos Zynga) se puede esperar que tenga un impacto negativo en la productividad. Los productos con un alto valor (por ejemplo, Active Directory, Sistema de archivos de red) por lo general se pueden ver como críticas para mantener o mejorar la productividad.
§ Riesgo: El riesgo es otro valor del índice entre 1 y 5 que califica el potencial de cada protocolo o aplicación para permitir que cosas muy desagradables en su red. Cuanto mayor sea el índice de riesgo, mayor es la posibilidad de dejar en algo que podría ser peligroso o destructivo. Elementos tanto de bajo riesgo (por ejemplo, Active Directory, Oracle, LDAP) son por lo general no es motivo de preocupación, mientras que las aplicaciones calificados con un alto riesgo (por ejemplo, BitTorrent, Pando, Usenet) aumenta la posibilidad de que usted se encontrará pasar largas noches eliminar software pirateado y limpieza de virus y otras vulnerabilidades que encuentran su camino en su infraestructura.
§ Descripción: Proporciona una descripción más detallada de cada aplicación en la lista. En algunos casos, la descripción es mucho más grande que quepa en la columna de la cuadrícula, por lo que se puede hacer click en cualquier descripción para ver una ventana emergente el texto completo.
Reglas
Si el tráfico que usted necesita para manejar no se puede manejar a través de la ficha de aplicaciones se pueden crear reglas personalizadas que le permitan analizar y controlar el tráfico en función de los patrones y condiciones mucho más complejas. Para cada sesión, las reglas se evalúan sólo una vez después de que el motor de clasificación se ha completado en el análisis del tráfico . Las reglas se evalúan en orden hasta que se encuentre el primer partido, momento en el que se realizará la acción configurada. Si no existen coincidencias, la sesión será marcado como permitido, el tráfico fluirá sin obstáculo y sin mayor análisis.
Importante: Estas reglas se evalúan una vez que el motor de clasificación ha completado el análisis general, esto ocurre después de haber pasado unos cuantos paquetes. Esto significa que las reglas son bastante útiles porque se ha aprendido sobre la sesión que no se conoce en el momento de creación de la sesión para las reglas de gran alcance, tales como la información o el protocolo HTTP/información de la aplicación. Sin embargo, si la sesión no llega a un estado completamente clasificada o se restablece la sesión / bloqueados antes de llegar a un estado totalmente clasificado, las reglas no son evaluadas (y por lo tanto no tienen ningún efecto.)
La anatomía de una regla
Una regla de control de aplicaciones es una regla estándar. Vamos a utilizar una de las entradas de reglas predeterminadas para UltraSurf para ayudar a explicar cómo funcionan las reglas. Este es exactamente el tipo de tráfico que el motor de reglas fue creado para buscar y destruir. Por esta regla en particular, el objetivo es bloquear todo el tráfico que: a) utiliza el puerto 443, b) se ve como el tráfico HTTPS válida, y c) no utiliza un certificado SSL válido. Para lograr esto, hemos creado cuatro comparadores:
1. La primer matcher asegura la regla que sólo se basa en el tráfico TCP.
2. La segunda causa que la regla para que busque sólo en el tráfico con puerto de destino 443.
3. La tercera matcher es donde comienza la verdadera magia. En este caso, hemos creado matcher Glob que busca la etiqueta / SSL en cualquier parte del Control de aplicaciones / ProtoChain.
4. El cuarto matcher es la cereza en el pastel. Le decimos a la regla de ver el parámetro de control / Detalle de la aplicación. Aquí es donde se encuentra el nombre del servidor en el certificado SSL cuando se detecta una sesión encriptada SSL. En este caso dejamos el campo de valor vacío, ya que estamos en busca de casos en que no exista certificado válido.
Detalle de la aplicación
El campo detalle contendrá los diferentes tipos ¿Hay una lista de propiedades de la sesión? | Información] en función de los protocolos detectadas durante la clasificación de sesiones. Para condiciones matcher distintos de los enumerados a continuación, el campo detalle estará vacía.
Control de aplicaciones aprovecha la Biblioteca de Visibilidad de las aplicaciones de red (Navl) y de Redes Vineyard, para realizar profundidad de paquetes (DPI) y el flujo profundo (DFI) la inspección de tráfico de red. Esto permite al servidor para identificar con precisión miles de las aplicaciones más comunes de hoy en día, tales como redes sociales, P2P, mensajería instantánea, streaming de vídeo, uso compartido de archivos, aplicaciones empresariales, Web 2.0 y mucho más. Para la mayoría de aplicaciones comunes sólo tiene que ir en la lista en la ficha Aplicaciones, consulte Bloquear para cualquier cosa que desee detener, entonces Application Control se encargará del resto. Si usted necesita un mayor grado de control puede usar la pestaña de reglas para crear reglas personalizadas que se dirigen a los patrones de tráfico más complejas.
Configuración
En esta sección se describen las distintas configuraciones y opciones de configuración disponibles para el control de aplicaciones.
Estado
La ficha Estado muestra un resumen de tráfico y la información de configuración. La sección Estadística del Tráfico muestra el número total de sesiones que se han escaneado, junto con el número de las sesiones que se permitió, bandera, o bloqueado. Aplicación de Estadísticas muestra el número total de solicitudes que pueden ser detectados por la aplicación, junto con el número de esos protocolos que serán señalados y / o bloqueados. Reglas de Estadísticas le permite ver rápidamente el número de reglas personalizadas que haya configurado, así como el número de esas reglas están activas.
Aplicaciones
Aplicaciones: es el primer camino y el que quiere utilizar el control de aplicaciones para gestionar el tráfico de red. Basta con encontrar la aplicación que desea orientar su campaña, y el uso del bloque y así las casillas se puedan marcar como no apropiado. Puede ordenar la lista por cualquiera de las columnas que se muestran, debe ayudar en la búsqueda y la gestión de los protocolos que desea orientar su campañía. Sólo tiene que marcar Block para detener estas aplicaciones o bandera que les permita, en silencio su presentación como violaciónes de los informes. Utilice las siguientes definiciones para establecer la ficha Aplicaciones para su organización:
§ Aplicación: El identificador único para la aplicación.
§ Bloque: Active la casilla de verificación para bloquear el tráfico. La sesión será dado de baja si es UDP y restablezca si es TCP.
§ Flag: Activar la casilla para marcar el tráfico. Será marcado como una violación de los informes.
§ Tarpit: Active la casilla de verificación para tarpit el tráfico. Tarpit es un tipo especial de bloqueo que se mantiene abierta la conexión, pero los datos se dejó caer en silencio. Para TCP, esto hace que parezca que el cliente y el servidor que la otra parte está recibiendo los datos, pero no responde. Para UDP, que es idéntica en el comportamiento para bloquear excepto la conexión se mantiene abierta por lo que se redujo el siguiente paquete en lugar de reclasificar como una nueva sesión.
§ Nombre: El nombre por defecto de la aplicación.
§ Categoría: Una categoría bastante general y de alto nivel para la aplicación.
§ Productividad: La productividad es mejor como un valor del índice entre 1 y 5 que califica el potencial de cada aplicación para mejorar o incrementar la productividad general de los usuarios de la red, asumiendo por supuesto que escuchar música y jugar juegos en línea no está en su puesto de trabajo Descripción. Así, las aplicaciones con un índice de productividad baja (por ejemplo, MySpace, Hulu, Juegos Zynga) se puede esperar que tenga un impacto negativo en la productividad. Los productos con un alto valor (por ejemplo, Active Directory, Sistema de archivos de red) por lo general se pueden ver como críticas para mantener o mejorar la productividad.
§ Riesgo: El riesgo es otro valor del índice entre 1 y 5 que califica el potencial de cada protocolo o aplicación para permitir que cosas muy desagradables en su red. Cuanto mayor sea el índice de riesgo, mayor es la posibilidad de dejar en algo que podría ser peligroso o destructivo. Elementos tanto de bajo riesgo (por ejemplo, Active Directory, Oracle, LDAP) son por lo general no es motivo de preocupación, mientras que las aplicaciones calificados con un alto riesgo (por ejemplo, BitTorrent, Pando, Usenet) aumenta la posibilidad de que usted se encontrará pasar largas noches eliminar software pirateado y limpieza de virus y otras vulnerabilidades que encuentran su camino en su infraestructura.
§ Descripción: Proporciona una descripción más detallada de cada aplicación en la lista. En algunos casos, la descripción es mucho más grande que quepa en la columna de la cuadrícula, por lo que se puede hacer click en cualquier descripción para ver una ventana emergente el texto completo.
Reglas
Si el tráfico que usted necesita para manejar no se puede manejar a través de la ficha de aplicaciones se pueden crear reglas personalizadas que le permitan analizar y controlar el tráfico en función de los patrones y condiciones mucho más complejas. Para cada sesión, las reglas se evalúan sólo una vez después de que el motor de clasificación se ha completado en el análisis del tráfico . Las reglas se evalúan en orden hasta que se encuentre el primer partido, momento en el que se realizará la acción configurada. Si no existen coincidencias, la sesión será marcado como permitido, el tráfico fluirá sin obstáculo y sin mayor análisis.
Importante: Estas reglas se evalúan una vez que el motor de clasificación ha completado el análisis general, esto ocurre después de haber pasado unos cuantos paquetes. Esto significa que las reglas son bastante útiles porque se ha aprendido sobre la sesión que no se conoce en el momento de creación de la sesión para las reglas de gran alcance, tales como la información o el protocolo HTTP/información de la aplicación. Sin embargo, si la sesión no llega a un estado completamente clasificada o se restablece la sesión / bloqueados antes de llegar a un estado totalmente clasificado, las reglas no son evaluadas (y por lo tanto no tienen ningún efecto.)
La anatomía de una regla
Una regla de control de aplicaciones es una regla estándar. Vamos a utilizar una de las entradas de reglas predeterminadas para UltraSurf para ayudar a explicar cómo funcionan las reglas. Este es exactamente el tipo de tráfico que el motor de reglas fue creado para buscar y destruir. Por esta regla en particular, el objetivo es bloquear todo el tráfico que: a) utiliza el puerto 443, b) se ve como el tráfico HTTPS válida, y c) no utiliza un certificado SSL válido. Para lograr esto, hemos creado cuatro comparadores:
1. La primer matcher asegura la regla que sólo se basa en el tráfico TCP.
2. La segunda causa que la regla para que busque sólo en el tráfico con puerto de destino 443.
3. La tercera matcher es donde comienza la verdadera magia. En este caso, hemos creado matcher Glob que busca la etiqueta / SSL en cualquier parte del Control de aplicaciones / ProtoChain.
4. El cuarto matcher es la cereza en el pastel. Le decimos a la regla de ver el parámetro de control / Detalle de la aplicación. Aquí es donde se encuentra el nombre del servidor en el certificado SSL cuando se detecta una sesión encriptada SSL. En este caso dejamos el campo de valor vacío, ya que estamos en busca de casos en que no exista certificado válido.
Detalle de la aplicación
El campo detalle contendrá los diferentes tipos ¿Hay una lista de propiedades de la sesión? | Información] en función de los protocolos detectadas durante la clasificación de sesiones. Para condiciones matcher distintos de los enumerados a continuación, el campo detalle estará vacía.
Acciones §
Permitir: Permitir el tráfico
§ Bloquear: Bloquear el tráfico que utiliza el mecanismo estándar de restablecimiento de ambos lados de la conexión.
§ Tarpit: Bloquee el tráfico a través del mecanismo tarpit. Cuando se selecciona esta opción, en lugar de restablecer la conexión, el tráfico en ambas direcciones simplemente se dejó caer en el cubo de bits, pero la sesión permanece activa. Esto puede ser particularmente eficaz para el bloqueo del tráfico en los casos en que la desconexión de un bloque estándar hace que la aplicación ofenda al intentar rápidamente para volver a conectar, tal como esto.
Event Log
Utilice los siguientes términos y definiciones para entender los registros de eventos:
Event Log
Permitir: Permitir el tráfico
§ Bloquear: Bloquear el tráfico que utiliza el mecanismo estándar de restablecimiento de ambos lados de la conexión.
§ Tarpit: Bloquee el tráfico a través del mecanismo tarpit. Cuando se selecciona esta opción, en lugar de restablecer la conexión, el tráfico en ambas direcciones simplemente se dejó caer en el cubo de bits, pero la sesión permanece activa. Esto puede ser particularmente eficaz para el bloqueo del tráfico en los casos en que la desconexión de un bloque estándar hace que la aplicación ofenda al intentar rápidamente para volver a conectar, tal como esto.
Event Log
Utilice los siguientes términos y definiciones para entender los registros de eventos:
Event Log
Regla de registro de eventos
Temas relacionados
Aplicación Control Lite
Aplicación Control FAQs
¿Cómo funciona el control de aplicaciones? Control de aplicaciones alimenta cada fragmento de datos a un motor de clasificación a medida que pasa a través de NG Firewall. El motor de clasificación sigue analizando el flujo de tráfico y mantiene las propiedades de la sesión, como la solicitud de propiedad. Cada vez que la clasificación de la propiedad de la Aplicación se actualiza, la configuración de aplicaciones se comprueban para ver si se permite. Si se establece la aplicación, se bloquea o la sesión se restablece, bloqueado o tarpit dependiendo de la configuración. Si no, el proceso continúa hasta que la sesión llega a un estado completamente clasificado donde el motor de clasificación considera no más de clasificación de la sesión es posible. En este punto las reglas se evalúan y la sesión es en última instancia, bloqueadas o pasan sobre la base de las normas que han configurado.
¿Cuál es la diferencia entre la aplicación de control Lite y control de aplicaciones? Aplicación Control Lite ejecuta expresiones regulares de simples firmas en contra de la corriente de datos. Si una firma/regex coincide con la medida es tomada para esa firma en particular (log o bloque). Por favor, no vaya a través de la lista de firmas y bloquear lo que "no es necesario", estas firmas no son coincidencias exactas y pueden tener falsos positivos.
Control de aplicaciones que clasifica los atributos y los metadatos de los paquetes para determinar su tipo y opera en ellos una vez clasificadas.Los falsos positivos son muy raros.
Yo ya estoy usando el Firewall - no es redundante Control de aplicaciones. La aplicación Firewall trabaja para bloquear el tráfico de direcciones IP y / o puertos. Para aplicaciones de buen comportamiento (tales como Web legítimo y servidores de correo electrónico) el puerto puede ser usado para identificar el protocolo. Menos de aplicaciones legítimas que pueden utilizar distintos puertos, o usuarios maliciosos que pueden usar deliberadamente servicios no deseados en los puertos oscuros. Control de aplicaciones analiza todo el tráfico, en busca de un partido, incluso si el tráfico no se transporta a través del puerto esperado para ese protocolo.
¿Debo usar Bloquear o Tarpit? La acción de bloqueo se restablece la conexión inmediatamente - es rápido, sencillo y la aplicación sabrá inmediatamente que se ha desconectado. Desafortunadamente muchas aplicaciones se escriben para ser muy tolerante con desconexiones e incluso tratan de métodos de conexión alternativos si se detecta que se bloquean. En estos casos tarpit puede ser una mejor opción, ya que va a dejar la conexión abierta pero en silencio descartar los datos, por lo que es mucho más difícil para la aplicación para saber que se ha desconectado. La desventaja de este método es que se puede hacer ningún falso positivo más difícil de solucionar.
¿Pueden las sesiones nunca alcanzar el estado totalmente clasificado con confianza inferior al 100%? Sesiones de corta duración suelen morir antes de que sean plenamente clasificadas, por lo que no es raro ver la sesión en el registro de sucesos de confianza inferior al 100%. Rara vez, el motor de clasificación podría no tener ninguna idea de lo que es una sesión y la consideró totalmente clasificado cuando nada más se supo. En este caso se tendrá en cuenta la sesión totalmente clasificado pero la confianza será menor que 100%.
¿Hay una lista de propiedades de la sesión? Sí, por favor, de un vistazo a la siguiente tabla:
Aplicación Control Lite
Aplicación Control FAQs
¿Cómo funciona el control de aplicaciones? Control de aplicaciones alimenta cada fragmento de datos a un motor de clasificación a medida que pasa a través de NG Firewall. El motor de clasificación sigue analizando el flujo de tráfico y mantiene las propiedades de la sesión, como la solicitud de propiedad. Cada vez que la clasificación de la propiedad de la Aplicación se actualiza, la configuración de aplicaciones se comprueban para ver si se permite. Si se establece la aplicación, se bloquea o la sesión se restablece, bloqueado o tarpit dependiendo de la configuración. Si no, el proceso continúa hasta que la sesión llega a un estado completamente clasificado donde el motor de clasificación considera no más de clasificación de la sesión es posible. En este punto las reglas se evalúan y la sesión es en última instancia, bloqueadas o pasan sobre la base de las normas que han configurado.
¿Cuál es la diferencia entre la aplicación de control Lite y control de aplicaciones? Aplicación Control Lite ejecuta expresiones regulares de simples firmas en contra de la corriente de datos. Si una firma/regex coincide con la medida es tomada para esa firma en particular (log o bloque). Por favor, no vaya a través de la lista de firmas y bloquear lo que "no es necesario", estas firmas no son coincidencias exactas y pueden tener falsos positivos.
Control de aplicaciones que clasifica los atributos y los metadatos de los paquetes para determinar su tipo y opera en ellos una vez clasificadas.Los falsos positivos son muy raros.
Yo ya estoy usando el Firewall - no es redundante Control de aplicaciones. La aplicación Firewall trabaja para bloquear el tráfico de direcciones IP y / o puertos. Para aplicaciones de buen comportamiento (tales como Web legítimo y servidores de correo electrónico) el puerto puede ser usado para identificar el protocolo. Menos de aplicaciones legítimas que pueden utilizar distintos puertos, o usuarios maliciosos que pueden usar deliberadamente servicios no deseados en los puertos oscuros. Control de aplicaciones analiza todo el tráfico, en busca de un partido, incluso si el tráfico no se transporta a través del puerto esperado para ese protocolo.
¿Debo usar Bloquear o Tarpit? La acción de bloqueo se restablece la conexión inmediatamente - es rápido, sencillo y la aplicación sabrá inmediatamente que se ha desconectado. Desafortunadamente muchas aplicaciones se escriben para ser muy tolerante con desconexiones e incluso tratan de métodos de conexión alternativos si se detecta que se bloquean. En estos casos tarpit puede ser una mejor opción, ya que va a dejar la conexión abierta pero en silencio descartar los datos, por lo que es mucho más difícil para la aplicación para saber que se ha desconectado. La desventaja de este método es que se puede hacer ningún falso positivo más difícil de solucionar.
¿Pueden las sesiones nunca alcanzar el estado totalmente clasificado con confianza inferior al 100%? Sesiones de corta duración suelen morir antes de que sean plenamente clasificadas, por lo que no es raro ver la sesión en el registro de sucesos de confianza inferior al 100%. Rara vez, el motor de clasificación podría no tener ninguna idea de lo que es una sesión y la consideró totalmente clasificado cuando nada más se supo. En este caso se tendrá en cuenta la sesión totalmente clasificado pero la confianza será menor que 100%.
¿Hay una lista de propiedades de la sesión? Sí, por favor, de un vistazo a la siguiente tabla: