provider
- モード
- DPIモード
- カテゴリー
- UTM / アプリケーションコントロール(DPI)
構文
(config-dpi)# provider built-in
コマンド説明
アプリケーションコントロール(DPI = ディープパケットインスペクション)機能が使うアプリケーションシグネチャデータベースの提供元を指定する。アプリケーションシグネチャデータベースには、さまざまなアプリケーションに特有な通信パターンが登録されており、本機能はこれを利用してトラフィックの判別を行う。アプリケーションコントロール(DPI)機能の有効時には、show application detailコマンドのdpiオプションでアプリケーションコントロール(DPI)機能が判別できるアプリケーションの情報を確認できる。
なお、アプリケーションコントロール(DPI)機能は純粋にトラフィックの判別だけを行う。判別されたトラフィックの制御はファイアウォールルール、QoSルール、PBRルールで行うこと。
パラメーター
built-in- 製品に内蔵されているアプリケーションシグネチャデータベースを使う
使用例
アプリケーションコントロール(DPI)機能において、製品内蔵のアプリケーションシグネチャデータベースを使用する。awplus(config)# dpi awplus(config-dpi)# provider built-in
注意・補足事項
enableコマンドでアプリケーションコントロール(DPI)機能を有効化するには、あらかじめ本コマンドでアプリケーションシグネチャデータベースの提供元を指定しておく必要がある。アプリケーションシグネチャデータベースを使用する場合は、以下の点に注意すること。
- レイヤー4レベルの情報で検知可能なアプリケーションであっても、一部のアプリケーションに関しては、上位レイヤー(レイヤー5以上)の情報を検知することにより、意図しないアプリケーションとして検知する場合がある。また、アプリケーションが持つ情報の形式によっては、正常に検知できない場合がある。
これらのアプリケーションを意図したアプリケーションとして検知させるには、カスタムアプリケーション定義を使用すること。
- 製品内蔵データベースとファイアウォール機能と併用する構成では、本製品が送信するパケットをすべて許可(permit any)するよう設定すること。
- 製品内蔵データベースは、ファームウェアのバージョンアップ時をのぞきアップデートされない。
- 製品内蔵データベースを使用する場合、TCPストリームの再構築や並べ替えはサポートされない。そのため、本来ならシグネチャとマッチするはずのデータが複数パケットにまたがった場合は、該当アプリケーションを正しく検知できない。
同じ名前のアプリケーション定義が存在する場合の優先度は、カスタムアプリケーション > DPIアプリケーション > 事前定義済みアプリケーションの順になる。すなわち、DPIアプリケーションや事前定義済みアプリケーションと同じ名前のカスタムアプリケーション定義を作成した場合、DPIおよび事前定義済みアプリケーションは使われなくなる。また、アプリケーションコントロール(DPI)機能を有効化すると、「dns」など一部の事前定義アプリケーションが同名のDPIアプリケーションによって上書きされ使われなくなる。