How Does Application Visibility and Control Work? The application identification (App ID) classification engine and application signature pattern-matching engine operate at Layer 7 and inspect the actual content of the payload for identifying applications. App ID performs a deep packet inspection (DPI) of traffic on the network and on every packet in the flow that passes through the application identification engine until the application is identified. Application findings such as IP addresses, hostnames, and port ranges are saved in the application system cache (ASC) to expedite future identification. -- Juniper
AVC uses stateful deep packet inspection (DPI) to classify more than 1400 applications. It can also combine DPI with techniques such as statistical classification, socket caching, service discovery, auto learning, and DNS-AS. Custom applications can detect native apps. -- Cisco AVC
The inspection of thousands of traffic patterns over several years led Meraki to create a database of traffic signatures that can be used to recognize network traffic at the application level. -- Meraki (Cisco)
AppRF performs deep packet inspection (DPI) of local traffic and detects over 1500 applications on the network. AppRF allows you to configure both application and application category policies within a given user role. WebCC uses a cloud-based service to dynamically determine the types of websites being visited, and their safety -- Aruba (HP)
Diversi fornitori di NG Firewall eseguono il controllo delle applicazioni ma la tecnica utilizzata non è documentata. Tutti i fornitori fanno una rapida spiegazione di come funziona, ma non vengono forniti dettagli.
Chiedo se qualcuno sa cosa succede in background quando non viene utilizzata alcuna intercettazione SSL sul firewall e tutto il traffico viene trasferito tramite HTTPS (TLS 1.2) [Anche l'URL è nascosto].
In che modo NGFW identifica e vede all'interno di Google, Facebook, ecc. la separazione del traffico (video, giochi, chat, ecc.)? Un modo dovrebbe essere identificare gli IP se utilizzano intervalli diversi dedicati a servizi specifici ma questa tecnica non offre granularità. La parte più interessante sono i "modelli di traffico". Come vengono costruiti e qual è il rischio positivo per colpa di bloccare un'applicazione valida che ha un pattern "simile" a una famosa app?