App-ID:识别任何端口上的任何应用程序

任何防火墙中的核心功能都是通信分类,因为这种分类构成了安全策略的基础。传统防火墙按端口和协议分类通信。这种方法曾经是一种令人满意的机制,可以保护边界。但现在已经无法抵御当前威胁。

如果您仍使用基于端口的防火墙,应用程序很容易通过以下方式绕过防火墙:

  • 跳转端口
  • 使用 SSL 和 SSH
  • 避开端口 80
  • 使用非标准端口

简而言之,基于端口防火墙的通信分类限制使其无法保护当今的网络,因此我们开发了 App-ID™,一种只在 Palo Alto Networks 防火墙中可用而且已申请专利的通信分类系统。设备发现通信后,App-ID™ 立即向您的网络通信流应用多个分类机制以准确识别应用程序。

 

file

基于应用程序而不是端口来对通信分类

App-ID 以如下方式识别经过网络的应用程序:

  • 首先基于 IP 地址和端口对通信分类。
  • 然后向允许的通信应用特征码,基于独特应用程序属性和相关事务处理特征识别应用程序。
  • 如果 App-ID 确定应用程序正使用加密(SSl 或 SSH),而且系统已实施解密策略,则将应用程序解密,并在解密流上再次使用应用程序特征码。
  • 然后使用已知协议的解码器来应用更多基于上下文的特征码,以检测可能在协议内以通道方式传输的其他应用程序(例如 HTTP 上使用的 Yahoo! Instant Messenger)。
  • 对于特别隐蔽且无法通过高级特征码和协议分析识别的应用程序,可以使用启发式分析或行为分析来确定应用程序身份。

在 App-ID 的连续机制识别出应用程序之后,策略检查确定如何处理应用程序和关联的功能:阻止它们、允许它们还是扫描威胁,检测未授权的文件传输和数据模式,或者使用 QoS 整形。

始终启用通信分类——始终是在所有端口上采取的首个操作

利用 App-ID 对通信分类是防火墙对通信采取的首个操作,因此默认情况下始终启用所有 App-ID 。这意味着您无需启用一系列特征码来查找您认为可能存在于网络上的应用程序,因为 App-ID 每时每刻都在对每个端口的所有通信而不只是对其中的一子集(例如 HTTP)进行分类。

所有 App-ID 始终检查所有通信,如:

  • 业务应用程序
  • 消费类应用程序
  • 网络协议
  • 其他所有内容

App-ID 持续监控应用程序状态以确定其是否中途发生变化,向 ACC 中的管理员提供更新信息,而且应用适当策略并记录信息。和所有防火墙一样,Palo Alto Networks 新一代防火墙使用完全控制,默认拒绝所有通信,然后仅允许策略中规定的应用程序经过。所有其他应用程序均被阻止。

所有分类机制,所有应用程序版本,所有操作系统

App-ID 在服务层工作,监视应用程序如何在客户端与服务器之间交互。这意味着 App-ID 不会特别处理应用程序的新特征能,而且对客户端或服务器操作系统是独立的。其他竞争产品中必须启用多个 BitTorrent 操作系统和客户端特征码以尝试和控制此应用程序,而我们只需要用于 BitTorrent 的单个 App-ID 即可完成这些任务。

未知通信的系统化管理

每个网络都有少量未知通信。这些通信可能来自内部开发的应用程序或者没有应用 ID 的商业应用程序,也可能是威胁。App-ID 对所有未知通信进行分类,让您能够进行分析并基于充分信息做出明智的策略决定。如果通信来自某内部应用程序,可以创建自定义 App-ID 来予以识别。如果通信来自没有 App-ID 的商业应用程序,可以获取并提交一个 PCAP 以用于 App-ID 开发。最后,App-ID 的行为僵尸网络报告和日志记录工具可以指出通信是否属于威胁,并在威胁的情况下采取合适的操作。

资源

详细了解 App-ID

了解 App-ID 如何对与工作相关和与工作无关的应用程序提供可视性和控制,后者会仿冒合法流量、跳转端口或者是使用加密避开防火墙来规避检测。

详细了解应用程序可视性
知识就是力量。利用我们的可视性、分析和报告工具带来的丰富上下文,您可以快速了解网络活动,作出适当的策略决定。从当前或对比角度出发来分析事件。

聊天
有问题吗?
与我们沟通寻求答案。
立即聊天