provider
- モード
- DPIモード
- カテゴリー
- UTM / アプリケーションコントロール(DPI)
構文
(config-dpi)# provider {procera|built-in}
コマンド説明
アプリケーションコントロール(DPI = ディープパケットインスペクション)機能が使うアプリケーションシグネチャデータベースの提供元を指定する。アプリケーションシグネチャデータベースには、さまざまなアプリケーションに特有な通信パターンが登録されており、本機能はこれを利用してトラフィックの判別を行う。アプリケーションコントロール(DPI)機能の有効時には、show application detailコマンドのdpiオプションでアプリケーションコントロール(DPI)機能が判別できるアプリケーションの情報を確認できる。
なお、アプリケーションコントロール(DPI)機能は純粋にトラフィックの判別だけを行う。判別されたトラフィックの制御はファイアウォールルール、QoSルール、PBRルールで行うこと。
パラメーター
procera- サンドバイン社が提供するアプリケーションシグネチャデータベースを使う。データベースのバージョン情報はshow dpiコマンドで確認可能
built-in- 製品に内蔵されているアプリケーションシグネチャデータベースを使う
使用例
アプリケーションコントロール(DPI)機能において、製品内蔵のアプリケーションシグネチャデータベースを使用する。awplus(config)# dpi awplus(config-dpi)# provider built-in
アプリケーションコントロール(DPI)機能において、サンドバイン社が提供するアプリケーションシグネチャデータベースを使用する。
awplus(config)# dpi awplus(config-dpi)# provider procera
注意・補足事項
enableコマンドでアプリケーションコントロール(DPI)機能を有効化するには、あらかじめ本コマンドでアプリケーションシグネチャデータベースの提供元を指定しておく必要がある。アプリケーションシグネチャデータベースは procera か built-in のどちらか一方のみ使用可能。
アプリケーションコントロール(DPI)機能とファイアウォール機能の併用環境で、サンドバイン社が提供するアプリケーションシグネチャデータベースを使用する場合は、データベースを更新するため、本製品からインターネットへのDNS/HTTPS/SSL/TCP通信を許可する必要がある。
アプリケーションシグネチャデータベースを使用する場合は、以下の点に注意すること。
- レイヤー4レベルの情報で検知可能なアプリケーションであっても、一部のアプリケーションに関しては、上位レイヤー(レイヤー5以上)の情報を検知することにより、意図しないアプリケーションとして検知する場合がある。また、アプリケーションが持つ情報の形式によっては、正常に検知できない場合がある。
これらのアプリケーションを意図したアプリケーションとして検知させるには、カスタムアプリケーション定義を使用すること。
- 製品内蔵データベースとファイアウォール機能と併用する構成では、本製品が送信するパケットをすべて許可(permit any)するよう設定すること。
- 製品内蔵データベースは、ファームウェアのバージョンアップ時をのぞきアップデートされない。
- 製品内蔵データベースを使用する場合、TCPストリームの再構築や並べ替えはサポートされない。そのため、本来ならシグネチャとマッチするはずのデータが複数パケットにまたがった場合は、該当アプリケーションを正しく検知できない。
同じ名前のアプリケーション定義が存在する場合の優先度は、カスタムアプリケーション > DPIアプリケーション > 事前定義済みアプリケーションの順になる。すなわち、DPIアプリケーションや事前定義済みアプリケーションと同じ名前のカスタムアプリケーション定義を作成した場合、DPIおよび事前定義済みアプリケーションは使われなくなる。また、アプリケーションコントロール(DPI)機能を有効化すると、「dns」など一部の事前定義アプリケーションが同名のDPIアプリケーションによって上書きされ使われなくなる。