自定义应用程序和应用程序覆盖

yyu — Fri, 13 Jan 2023 06:56:40 GMT

解决办法：

我的防火墙还能做什么？自定义应用程序和应用程序覆盖!

根据你的环境，你可能有自定义创建的专有应用程序或你只想用自定义名称识别的流量。你可能正在运行一个通常被Palo Alto Networks防火墙识别为网络浏览的网络服务，使你更难创建报告，或者你可能想将QoS应用于使用共同App-ID的一组特定连接。

为了解决这些问题，你可以创建与流量中的某个签名相匹配的自定义App-ID，或者使用应用程序覆盖来简单地强迫某些会话被识别为你配置的应用程序。

基于签名的自定义应用程序依赖于App-ID引擎来积极地识别通过防火墙的数据包中的签名。如果你试图识别一个使用可预测或容易识别的签名的专有应用程序，你可以使用regex创建一个自定义应用程序来帮助识别签名。

基于签名的自定义应用程序ID

当我们仔细观察从前往服务器的流量中捕获的数据包时，一个可识别的签名可以是主机名。

要创建一个自定义应用程序，请前往应用程序并创建一个新的应用程序。设置应用程序属性，如果适用，设置父应用程序：当流量目前已经被识别为一个应用程序时，父应用程序被使用。这将有助于App-ID正确报告定制的应用程序。如果是目前没有被App-ID识别的专有应用程序，父应用程序可以保留为'无'。

在 "高级 "选项卡中，你可以设置该应用程序将使用的端口或协议，还可以设置该应用程序是否可以被扫描以获取威胁。然而，有一些注意事项是需要考虑的。

如果自定义应用程序的扫描选项未被选中，威胁引擎将在自定义应用程序被识别后立即停止检查流量。
如果自定义应用程序没有可以通过常规App-ID识别的父应用程序，或用于应用程序覆盖（见下文），则不能对其进行威胁扫描。

在签名标签中，你可以添加识别应用程序所需的所有签名。可以指示App-ID引擎在单个交易（从客户端到服务器或从服务器到客户端的单个数据包）或整个会话（一个或多个签名可能分布在任一方向的几个数据包中）中寻找潜在的签名。在哪里寻找签名以及在哪种情况下寻找签名，有很多选项可用。多个签名集也可以在 "AND "或 "OR "条件下添加。

如果这一切看起来有点令人困惑，不要担心--我在最后添加了几篇有用的文章，将更深入地解释自定义签名可以实现什么。现在，我们将保持简单，在http请求主机头中寻找签名。

我的签名将仅仅是主机名称的regex友好格式。这意味着在点的前面需要有一个反斜杠，以表示点是一个字符而不是通配符。我还将把限定符设置为http-method GET，以表明签名可以在GET请求中找到。

一旦这个自定义应用程序被提交，防火墙将开始识别所有连接到我的网络服务器的新应用程序。

我们现在可以根据定制的应用程序创建报告，并具体监测什么样的流量正在冲击我们的网站。

如果应用程序可以很容易地被识别，上述步骤将完美地工作，但有时可能没有必要甚至不可能查看数据流并识别某个签名。

应用覆盖

应用程序覆盖强行绕过AppID过程，并设置会话以匹配手动配置的应用程序名称。任何像这样处理的会话都不会被并行处理所扫描，而会被卸载到fastpath。

对于大多数使用情况，我们建议创建一个简单的自定义应用程序，属性尽可能少，因为应用程序覆盖将绕过扫描或签名检测。它将简单地将一个会话识别为自定义应用程序，并不采取进一步的行动。这可能是一个非常简单但强大的工具，有助于识别内部应用程序，并提高吞吐量，因为会话被立即卸载到硬件，但请考虑安全影响。

article 自定义应用程序和应用程序覆盖 in 配置和实施

自定义应用程序和应用程序覆盖