创建在分布式防火墙规则或网关防火墙规则中使用的上下文配置文件时,将使用第 7 层应用程序 ID。通过基于属性的规则实施,用户可以允许或拒绝在任何端口上运行应用程序。

NSX-T 为常见基础架构和企业应用程序提供内置 属性。应用程序 ID 包括版本(SSL/TLS 和 CIFS/SMB)和密码套件 (SSL/TLS)。对于分布式防火墙,应用程序 ID 通过上下文配置文件在规则中使用,且可以与 FQDN 白名单和黑名单组合在一起。ESXi 和 KVM 主机上支持应用程序 ID。

网关防火墙规则不支持使用 FQDN 属性或其他子属性。

支持的应用程序 ID 和 FQDN:
  • 对于 FQDN,用户需要在端口 53 上为指定的 DNS 服务器配置一个具有 DNS 应用程序 ID 的高优先级规则。
  • 对于 ALG 应用程序 ID(FTP、ORACLE、DCERPC、TFTP),需要为防火墙规则提供对应的 ALG 服务。
  • 仅在标准端口上会检测到 SYSLOG 应用程序 ID。
KVM 支持的应用程序 ID 和 FQDN:
  • KVM 不支持子属性。
  • KVM 支持 FTP 和 TFTP ALG 应用程序 ID。

请注意,如果您结合使用第 7 层和 ICMP 或者任何其他协议,则需要最后放置第 7 层防火墙规则。将不会执行排在第 7 层任意/任意规则之前的任何规则。

过程

  1. 创建自定义上下文配置文件:添加上下文配置文件
  2. 在分布式防火墙规则或网关防火墙规则中使用上下文配置文件:添加分布式防火墙添加网关防火墙策略和规则
    在将服务设置为 任意的防火墙规则中可以使用多个应用程序 ID 上下文配置文件。对于 ALG 配置文件(FTP、ORACLE、DCERPC、TFTP),每个规则支持一个上下文配置文件。