创建在分布式防火墙规则或网关防火墙规则中使用的上下文配置文件时,将使用第 7 层应用程序 ID。通过基于属性的规则实施,用户可以允许或拒绝在任何端口上运行应用程序。

NSX-T 为常见基础架构和企业应用程序提供内置 属性(应用程序 ID)。应用程序 ID 包括版本(SSL/TLS 和 CIFS/SMB)和密码套件 (SSL/TLS)。对于分布式防火墙,通过上下文配置文件在规则中使用应用程序 ID,它可以与 FQDN 允许列表和拒绝列表组合使用。ESXi 和 KVM 主机上支持应用程序 ID。

注:
  • 网关防火墙规则不支持在上下文配置文件中使用 FQDN 属性或其他子属性。
  • Tier-0 网关防火墙策略不支持上下文配置文件。
支持的应用程序 ID 和 FQDN:
  • 对于 FQDN,用户需要在端口 53 上为指定的 DNS 服务器配置一个具有 DNS 应用程序 ID 的高优先级规则。
  • 对于 ALG 应用程序 ID(FTP、ORACLE、DCERPC、TFTP),需要为防火墙规则提供对应的 ALG 服务。
  • 仅在标准端口上会检测到 SYSLOG 应用程序 ID。
KVM 支持的应用程序 ID 和 FQDN:
  • KVM 不支持子属性。
  • KVM 支持 FTP 和 TFTP ALG 应用程序 ID。

请注意,如果您结合使用第 7 层和 ICMP 或者任何其他协议,则需要最后放置第 7 层防火墙规则。将不会执行排在第 7 层任意/任意规则之后的任何规则。

过程

  1. 创建自定义上下文配置文件:上下文配置文件
  2. 在分布式防火墙规则或网关防火墙规则中使用上下文配置文件:添加分布式防火墙添加网关防火墙策略和规则
    在将服务设置为 任意的防火墙规则中可以使用多个应用程序 ID 上下文配置文件。对于 ALG 配置文件(FTP、ORACLE、DCERPC、TFTP),每个规则支持一个上下文配置文件。