Блок приложений FTD

dcanady55

Здравствуйте, Недавно я столкнулся с очень высоким трафиком по приложению A, и заблокировал это приложение в ACP. Первое правило этого ACP — блокировка приложений. Прошло несколько дней, и на панели инструментов снова отображается очень высокий трафик, и когда я открываю контекстный браузер, там есть приложение A, которое я заблокировал. Когда я углубляюсь в анализ и смотрю на одно из соединений в протоколе приложения, оно показывает QUIC, а в разделе клиента отображается приложение A, которое я заблокировал ранее. Я рассматриваю возможность блокировки QUIC, но не понимаю: если QUIC использует шифрование, чтобы FTD не видел приложение A, которое я пытаюсь заблокировать, как FTD узнает, что это «клиент», и почему он не принимает меры для блокировки этого трафика? Спасибо,

Gustavo Medina

Чтобы определить, где FTD обнаруживает приложение, необходимо просмотреть полные журналы. Как правило, поставщики FW блокируют QUIC, чтобы браузеры переходили на TLS, что позволяет им расшифровывать данные. В новых версиях FTD был добавлен Encrypted Visibility Engine, который может обнаруживать приложения и процессы без расшифровки трафика (
https://secure.cisco.com/secure-firewall/docs/encrypted-visibility-engine))
. EVE будет продолжать увеличивать количество приложений, которые он может обнаруживать. Вы можете посмотреть это видео, чтобы понять, как работает EVE, а также посмотреть, как часто настраивается правило для блокировки QUIC.
https://www.youtube.com/watch?v=0w-uozqq_gs

MHM Cisco World

Я мало знаю о FTD, но поделюсь с вами всем, что знаю: в потоке трафика
![AppID.png]
FTD есть AppID, который проверяется до и после SSL-шифрования.