UTM / アプリケーションコントロール（DPI）

アプリケーションコントロール（DPI = ディープパケットインスペクション）は、本製品を通過するパケットのデータ部分を検査し、通信内容（レイヤー7）にもとづいてどのアプリケーションのトラフィックであるかを判別する機能です。

Note - アプリケーションコントロール（DPI）機能を使用するにはサブスクリプションライセンスが必要です。

最近は多くのアプリケーションが通信チャンネルとしてHTTPを使うようになっているため、L3/L4ヘッダーだけではこれらのアプリケーションがすべて「HTTP」としか判定できず、個々のアプリケーションを見分けることができませんが、アプリケーションコントロール（DPI）機能を使えば、随時更新されるアプリケーションシグネチャデータベースによって、各種アプリケーションに特有の通信パターンを検出し、個々のアプリケーションを判別することができるようになります。

Note - HTTPSのように暗号化されたパケットは検査・判別できません。

アプリケーションコントロール（DPI）機能自体はアプリケーションの判別を行うだけですが、その情報は動的な「アプリケーション定義」として、ファイアウォールルール、NATルール、および、トラフィックシェーピングルールの設定時に利用できます。

アプリケーション定義については「UTM」/「アプリケーション定義」をご覧ください。

ファイアウォールについては「UTM」/「ファイアウォール」を、NATについては「UTM」/「NAT」を、トラフィックシェーピングについては「トラフィック制御」/「トラフィックシェーピング」をご覧ください。

また、データベースの更新をつかさどるアップデートマネージャーについては「UTM」/「アップデートマネージャー」をご覧ください。

アプリケーションコントロール（DPI）機能の具体的な使用例については、「設定例集」をご覧ください。

基本設定

アプリケーションコントロール（DPI)の設定は、DPIモード（dpiコマンド）で行います。
provider proceraコマンドでシグネチャデータベースの提供元を指定した後、enableコマンドで有効化します。

以下、アプリケーションコントロール（DPI）機能の基本的な設定手順を示します。

アプリケーションコントロール（DPI）機能の設定を行うため、DPIモードに移行します。これにはdpiコマンドを使います。
awplus(config)# dpi ↓
アプリケーションシグネチャデータベースの提供元を指定します。これにはprovider proceraコマンドを使います。
awplus(config-dpi)# provider procera ↓
3．アプリケーションコントロール（DPI）機能を有効化します。これにはenableコマンドを使います。
awplus(config-dpi)# enable ↓

設定は以上です。

■ アプリケーションコントロール（DPI）機能によって判別できるアプリケーションは、show applicationコマンドのdetail dpiオプションで確認できます。

awplus# show application detail dpi ↓

■ アプリケーションシグネチャデータベースの更新チェック間隔は、update-intervalコマンドで変更可能です。初期値は1時間です。

awplus(config)# dpi ↓ awplus(config-dpi)# update-interval days 1 ↓

■ アプリケーションシグネチャデータベースは通常自動更新されますが、update nowコマンドで手動更新することも可能です。

awplus# update dpi_procera_app_db now ↓

■ アプリケーションシグネチャデータベースの更新ステータスはshow resourceコマンドで確認できます。

awplus# show resource dpi_procera_app_db ↓ -------------------------------------------------------------------------------- Resource Name Status Version Interval Last Download Next Download Check -------------------------------------------------------------------------------- dpi_procera_app_db unknown - 10 None minutes N/A

■ アプリケーションコントロール（DPI）機能の有効・無効とアプリケーションシグネチャデータベースの提供元、バージョン、更新チェック間隔は、show dpiコマンドで確認できます。

awplus# show dpi ↓ Status: unlicensed Provider: procera Resource version: not set Resource update interval: 1 hour

■ アプリケーションコントロール（DPI）機能によって判別されたアプリケーションの統計情報は、show dpi statisticsコマンドで確認できます。

awplus# show dpi statistics ↓ Application Packets Bytes ------------------------------------------------- http 30 2020 icmp 348 29232 telnet 45 2553

判別されたアプリケーション定義の使用

アプリケーションコントロール（DPI）機能によって判別されたアプリケーションの情報は、動的な「アプリケーション定義」として、ファイアウォールルール、NATルール、および、トラフィックシェーピングルールの設定時に利用できます。

アプリケーション定義の詳細については、「UTM」/「アプリケーション定義」をご覧ください。

■ ファイアウォールルールは、ファイアウォールモードのruleコマンドで作成します。
下の例では、アプリケーションコントロール（DPI）によってファイル共有ソフト「Share」と「Winny」であると判別された内部ゾーン「private」から外部ゾーン「public」への通信を禁止しています。

awplus(config)# firewall ↓ awplus(config-firewall)# rule deny sharep2p from private to public ↓ awplus(config-firewall)# rule deny winny from private to public ↓ awplus(config-firewall)# rule permit any from private to public ↓ awplus(config-firewall)# rule permit any from private to private ↓ awplus(config-firewall)# rule permit dns from public.internet.myself to public ↓ awplus(config-firewall)# rule permit https from public.internet.myself to public ↓ awplus(config-firewall)# protect ↓

Note - 5～6番目のルールは、アプリケーションシグネチャデータベースを更新するため、本製品からインターネットへのDNS通信とHTTPS通信を許可するものです。

ファイアウォールの詳細については、「UTM」/「ファイアウォール」をご覧ください。

■ NATルールは、NATモードのruleコマンドで作成します。
NATの詳細については、「UTM」/「NAT」をご覧ください。

■ トラフィックシェーピングルールは、トラフィックシェーピングモードのruleコマンドで作成します。
トラフィックシェーピングの詳細については、「トラフィック制御」/「トラフィックシェーピング」をご覧ください。

PN: 613-002107 Rev.A