Контроль приложений позволяет контролировать сетевой трафик на прикладном уровне, используя технологию Deep Packet Inspection (глубокий анализ пакетов, далее также DPI). Технология DPI анализирует пакеты и проверяет сигнатуры приложений по регулярно обновляемой базе приложений "Лаборатории Касперского". С помощью контроля приложений вы можете ограничивать или разрешать трафик определенных приложений.
Для фильтрации трафика по приложениям вам нужно добавить необходимые приложения в качестве квалификаторов в правилах фильтрации. Чтобы добавить приложение, используются следующие параметры: прикладной протокол, прикладной сервис и клиентское приложение. Kaspersky NGFW с помощью технологии DPI определяет приложения и применяет к трафику действие, указанное в правиле фильтрации.
Более подробно о настройке фильтрации по приложениям см. инструкции по созданию или изменению правила фильтрации.
Распознавание приложений работает всегда, независимо от того, включена ли фильтрация по приложениям.
Kaspersky NGFW определяет прикладные протоколы, включая VPN-протоколы, прикладные сервисы и отдельные приложения, в том числе если они осуществляют обмен данными на портах, отличных от зарегистрированных в IANA (см. подробнее Service Name and Transport Protocol Port Number Registry).
Технология DPI определяет приложения в зашифрованном трафике, при этом часть приложений определяется независимо от того, включена ли расшифровка зашифрованного трафика или нет. Приложения, которые могут быть определены только при включенной расшифровке трафика, отображаются со статусом Расшифровывать. Если расшифровка трафика выключена, прикладные сервисы в зашифрованном трафике определяются по доменному имени в поле SNI. Для определения прикладных протоколов и клиентских приложений в зашифрованном трафике необходимо включить расшифровку трафика.
Часть приложений Kaspersky NGFW может не распознавать. Полный список определяемых приложений отображается в раскрывающемся списке при выборе квалификатора Приложения. Для нераспознанных приложений вы можете указать значение Unknown для параметров Прикладные протоколы, Клиентские приложения или Прикладные сервисы. При этом решение будет выполнять действие, указанное в правиле фильтрации.
Для распознавания приложений технология DPI требует анализа нескольких начальных пакетов, что может привести к разрешению части трафика до завершения процесса детектирования. Весь разрешенный трафик обрабатывается механизмами безопасности с применением группы профилей безопасности, выбранной для неклассифицированных сессий.
В начало