Сигнатуры приложений представляют собой совокупность семантических выражений, с помощью которых описываются характерные признаки определенных сетевых приложений. Сигнатуры используются для анализа трафика на 7 уровне модели OSI.

Типы сигнатур приложений

В UserGate NGFW могут использоваться два типа сигнатур приложений:

проприетарные;
пользовательские.

Проприетарные сигнатуры приложений создаются разработчиками UserGate и автоматически добавляются в библиотеку системы при наличии соответствующей лицензии. В библиотеке приложений они помечаются выражением «@UserGate» в колонке Владелец.

Пользовательские сигнатуры приложений создаются самими пользователями. Для создания пользовательской сигнатуры в веб-консоли администратора необходимо перейти в раздел Библиотеки ➜ Приложения и нажать Добавить. Далее необходимо задать параметры приложения и описать его признаки с помощью синтаксиса UASL.

Параметры пользовательской сигнатуры приложения.

Наименование	Описание
Тип	Тип сигнатуры; Приложение, Протокол, Поддержка — вспомогательная сигнатура.
Id	Идентификатор сигнатуры. Если поле оставить пустым, то будет выдан свободный id из пользовательского пула.
Название	Название сигнатуры.
Описание	Описание сигнатуры.
Уровень угрозы	Уровень угрозы, определяемый сигнатурой. Определены следующие значения: 1 — очень низкий; 2 — низкий; 3 — средний; 4 — высокий; 5 — очень высокий.
Технология	Технология приложения: browser-based — браузерное веб-приложение; client-server — клиент-серверное приложение; network-protocol — сетевой протокол; peer-to-peer — приложение точка-точка.
Категория	Категория сигнатуры приложений — группа сигнатур, объединенных общими параметрами. Список категорий приложений может быть пополнен. Media streaming; Email; Coin Miners; Tunneling; Games; Remote access; Conferencing; Trojan Horses; Business; Mobile; Proxies and anonymizers; Standard networks; VOIP; Web posting; Software update; File storage and backup; Web browsing; File sharing P2P; Instant messaging Social networking
UASL	Описание признаков сигнатуры с помощью синтаксиса UASL.

О создании сигнатур приложений в интерфейсе командной строки — в разделе «Настройка библиотек».

Сигнатуры приложений, зависимые от типа протокола

Для корректной работы некоторых сигнатур приложений в профилях необходимо наличие сигнатур определенного протокола.

В следующей таблице представлены такие зависимости.

Сигнатура протокола	ID зависимых сигнатур
SSL/TLS (id=19)	185, 187, 188, 189, 190, 191, 192, 193, 194, 195, 196, 198, 199, 200, 201, 204, 205, 206, 207, 208, 209, 210, 211, 212, 213, 214, 215, 217, 218, 219, 220, 221, 222, 223, 224, 225, 226, 227, 228, 229, 230, 231, 232, 233, 234, 235, 236, 237, 238, 239, 240, 241, 242, 243, 244, 245, 246, 247, 248, 249, 250, 251, 252, 253, 254, 255, 256, 257, 258, 259, 260, 261, 262, 263, 264, 265, 267, 268, 269, 270, 271, 272, 273, 275, 276, 277, 278, 281, 282, 283, 284, 285, 286, 287, 288, 289, 290, 291, 292, 293, 294, 295, 296, 297, 298, 299, 300, 301, 302, 303, 304, 305, 306, 307, 308, 309, 310, 311, 312, 313, 314, 315, 316, 317, 318, 319, 320, 321, 322, 323, 324, 325, 326, 327, 328, 329, 330, 331, 437, 439, 440, 441, 443, 444, 445, 446, 449, 450, 451, 458, 459, 465, 466, 470, 471, 472, 474, 475, 477, 481, 482, 485, 486, 487, 490, 492, 494, 495, 496, 501, 502, 504, 505, 511, 512, 513, 515, 516, 517, 518, 521, 524, 525, 526, 527, 528, 531, 532, 535, 536, 537, 538, 539, 544, 549, 550, 552, 554, 556, 557, 560, 563, 564, 566, 567, 568, 576, 577, 579, 581, 585, 589, 590, 592, 595, 596, 597, 600, 601, 603, 604, 606, 607, 610, 612, 613, 617, 621, 622, 623, 625, 627, 632, 635, 636, 638, 710, 730, 731, 734, 738, 739, 744, 746, 748, 752, 753, 754, 755, 756, 759, 760, 761, 762, 763, 766, 769, 770, 771, 772, 773, 774, 775, 776, 781, 783, 785, 788, 790, 795, 797, 800, 801, 807, 808, 810, 811, 813, 815, 817, 818, 820, 822, 825, 826, 831, 832, 833, 835, 836, 837, 841, 842, 846, 847, 848, 850, 851, 852, 853, 854, 858, 859, 860, 863, 864, 867, 869, 872, 874, 875, 877, 878, 879, 880, 883, 885, 887, 888, 891, 893, 894, 895, 897, 898, 899, 902, 903, 904, 905, 908, 909, 1967, 2027, 4062, 4082, 4437, 4459, 5294, 5301, 5317, 5321, 5323, 5324, 5385, 5395, 5407, 5431, 5506, 5637, 5641, 5644, 5645, 5649, 5650, 5652, 5654, 5656, 5658, 5668, 5671, 5673, 5674, 5675, 5676, 5678, 5679, 5680, 5681, 5688, 5692, 5693, 5695, 5699, 5710, 5711, 5715, 5719, 5730, 5736, 5739, 5740, 5742, 5744, 5750, 5762, 5765, 5769, 5770, 5773, 5776, 5777, 5778, 5786, 5791, 5792, 5794, 5795, 5800, 5804, 5809, 5810, 5812, 5813, 5815, 5816, 5820, 5822, 5823, 5825, 5826, 5827, 5828, 7688, 7689, 7690, 7691, 7692, 7694, 7695, 7698, 7699, 7704, 7705, 7707, 7708, 7740, 7843, 7864, 7865, 7867, 7868, 8000, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8009, 8010, 8011, 8012, 8014, 8015, 8016, 8017, 8018, 8019, 8022, 8024, 8026, 8027, 8028, 8031, 8032, 8033, 8034, 8035, 8036, 8037, 8038, 8039, 8040, 8041, 8043, 8044, 8045, 8048, 8049, 8053, 8054, 8055, 8056, 8057, 8058, 8059, 8060, 8063, 8064, 8066, 8067, 8069, 8070, 8071, 8075, 8077, 8078, 8079, 8080, 8081, 8082, 8083, 8084, 8086, 8087, 8088, 8089, 8090, 8091, 8092, 8094, 8095, 8096, 8098, 8099, 8101, 8102, 8103, 8104, 8105, 8106, 8107, 9003, 9007, 9008, 9016, 9019, 9030, 9042, 9044, 9048, 9050, 9051, 9052, 9053, 9054, 9055, 9056, 9057, 9058, 9059, 9060, 9061, 9062, 9063, 9064, 9065, 9066, 9067, 9068, 9069, 9071, 9072, 9074, 9075, 9076, 9077, 9078, 9079, 9080, 9081, 9083, 9084, 9085, 9086, 9087, 9088, 9089, 9090, 9091, 9092, 9094, 9096, 9097, 9098, 9099, 9100, 9101, 9102, 9103, 9104, 9105, 9114, 9128, 9141, 9147, 9148, 9150, 9529, 9543, 9544, 9553, 9563, 9566, 9572, 9573, 9575, 9579, 9580, 9622, 9625, 9627, 9628, 9641, 9650, 9655, 9657, 9714, 9733, 10514, 11011, 11024, 11025, 11044, 11504, 12001, 12002, 12003, 12006, 12007, 12008, 12009, 12010, 12011, 12012, 12013, 12014, 12015, 12016, 12017, 12018, 12019, 12020, 12021, 12022, 12023, 12024, 12025, 12026, 12027, 12028, 12033, 12034, 12035, 12036, 12044, 12045, 12501, 14002, 14003
HTTP (id=3)	196, 239, 261, 475, 532, 535, 610, 612, 627, 710, 1967, 4133, 4340, 4441, 5323, 5395, 5506, 5655, 5672, 5674, 5676, 5693, 5728, 5730, 5750, 5754, 5763, 5769, 5770, 5773, 5778, 5788, 5792, 5823, 5830, 7867, 8002, 8013, 8048, 9777, 9823, 9824, 9845, 11027, 12032, 12033
DNS (id=5)	1967, 5395, 5672, 5815
IKE (id=11041)	11056

Связанные сигнатуры

Ряд сигнатур приложений зависят не только от сигнатур протокола, но и от других связанных сигнатур.

Список связанных сигнатур приложений приведен в следующей таблице.

ID сигнатуры	Название сигнатуры	Зависит от протокола	Связана с сигнатурой	Примечание
218	Yandex.Disk	SSL/TLS (id=19)	—	Для работы данной сигнатуры в профиль необходимо добавить только сигнатуру протокола (id=19).
7707	Yandex.Disk download	SSL/TLS (id=19)	Yandex.Disk (id=218), Yandex Services (id=12044)	Для работы данной сигнатуры в профиль необходимо добавить сигнатуру протокола (id=19), а также связанные сигнатуры (id=218 и id=12044).
7708	Yandex.Disk upload	SSL/TLS (id=19)	Yandex.Disk (id=218), Yandex Services (id=12044)	Для работы данной сигнатуры в профиль необходимо добавить сигнатуру протокола (id=19), а также связанные сигнатуры (id=218 и id=12044).
12044	Yandex Services	SSL/TLS (id=19)	—	Для работы данной сигнатуры в профиль необходимо добавить только сигнатуру протокола (id=19).
16020	Yandex Tracker	SSL/TLS (id=19)	Yandex Services (id=12044)	Для работы данной сигнатуры в профиль необходимо добавить сигнатуру протокола (id=19), а также связанную сигнатуру (id=12044).
12045	Yandex Cloud	SSL/TLS (id=19)	Yandex Services (id=12044)	Для работы данной сигнатуры в профиль необходимо добавить сигнатуру протокола (id=19), а также связанную сигнатуру (id=12044).

Пользовательские тайм-ауты приложений

В UserGate NGFW для приложений можно установить пользовательские значения тайм-аута бездействия (idle timeout) — времени, в течение которого сессия будет сохраняться открытой, если в ней не производится обмен пакетами.

Значение тайм-аута по умолчанию для приложения зависит от протокола транспортного уровня, который использует приложение. Для TCP это значение равно 18 000 сек., для UDP — 60 сек.

Значение пользовательского тайм-аута задается в настройках сигнатуры приложения.

Пользовательский тайм-аут бездействия назначается на установившуюся сессию, как только сигнатура приложения определилась (сработала) в текущем трафике:

Для протокола TCP — после того, как соединение переходит в состояние ESTABLISHED.
Для протокола UDP — после того, как соединение переходит в состояние ASSURED. Состояние ASSURED возникает при обработке пакета (третьего по счету на соединении) после установки состояния REPLIED.

Значение пользовательского тайм-аута настраивается в интерфейсе командной строки (CLI) на уровне libraries application-signature. Подробнее — в разделе Настройка библиотек.