L7 应用程序 ID 用于创建包含分布式防火墙规则的上下文配置文件。对于网关防火墙规则,L7 应用程序 ID 用于创建上下文配置文件或 L7 访问配置文件。

NSX 为常见基础架构和企业应用程序提供内置应用程序 ID。应用程序 ID 包括版本(SSL/TLS 和 CIFS/SMB)和密码套件 (SSL/TLS)。对于分布式防火墙,通过上下文配置文件在规则中使用应用程序 ID,它可以与 FQDN 允许列表和拒绝列表组合使用。

注:
  • 网关防火墙规则不支持在上下文配置文件中使用 FQDN 属性或其他子属性。
  • Tier-0 网关防火墙策略不支持上下文配置文件。
支持的应用程序 ID 和 FQDN:
  • 对于 FQDN,用户需要在端口 53 上为指定的 DNS 服务器配置一个具有 DNS 应用程序 ID 的高优先级规则。
  • 仅在标准端口上检测到 SYSLOG 应用 ID。

请注意,如果您结合使用第 7 层和 ICMP 或者任何其他协议,则需要最后放置第 7 层防火墙规则。将不会执行排在第 7 层任意/任意规则之后的任何规则。

上下文配置文件的设计准则:
  • 出于性能和安全性考虑,包含单个应用程序 ID 的单个上下文配置文件应与在 L4 服务字段中定义的相应端口组合使用。
  • 对于包含 L4 服务字段中定义的多个端口的单个分布式防火墙规则,仅支持将其与单个上下文配置文件结合使用,其中该上下文配置文件包含与 L4 服务字段中定义的端口相对应的应用程序 ID。
  • 在极少数用例中,一个防火墙规则需要多个上下文配置文件并且会评估上述影响,在这些用例中,L4 服务字段支持使用任意规则的配置。

过程

  1. 创建自定义上下文配置文件:配置文件
  2. 在分布式防火墙规则或网关防火墙规则中使用上下文配置文件:添加分布式防火墙添加网关防火墙策略和规则