Anwendungs- und Protokollidentität ermöglichen Sichtbarkeit für eine große Anzahl an Anwendungen sowie Erzwingung auf Basis von Anwendungsebenen wie Active Directory, DNS, HTTPS oder MySQL.
Durch die Identifikation von Schicht-7-Anwendungen wird bestimmt, von welcher Anwendung ein bestimmtes Paket oder ein bestimmter Flow unabhängig vom verwendeten Port generiert wird.
Die auf der Anwendungsidentität basierende Erzwingung ermöglicht es Benutzern, das Ausführen von Anwendungen auf beliebigen Ports zuzulassen oder zu verweigern, oder zu erzwingen, dass Anwendungen auf ihrem standardmäßigen Port ausgeführt werden. DPI (Deep Packet Inspection) ermöglicht die Abstimmung der Paketnutzlast auf definierte Muster. Diese werden in der Regel als Signaturen bezeichnet. Schicht-7-Dienstobjekte können für das vom Port unabhängige Erzwingen oder für das Erstellen neuer Dienstobjekte verwendet werden, die eine Kombination der Schicht-7-Anwendungsidentität, des Protokolls und des Ports nutzen. Auf Schicht 7 basierte Dienstobjekte können in der Tabelle der Firewall-Regeln und in Service Composer verwendet werden. Die Identifikationsdaten von Anwendungen werden dabei in Protokollen zu verteilten Firewalls und bei der Erstellung eines Anwendungsprofils im Rahmen des Flow Monitoring sowie in Application Rule Manager (ARM) erfasst.
Prozedur
- Klicken Sie im vSphere Web Client auf .
- Erstellen Sie den Dienst und geben Sie Schicht 7, App-ID, Protokoll und Port an. Für eine vom Port unabhängige Erzwingung kann dieser Schritt übersprungen werden. Weitere Informationen finden Sie unter Anwendungs-ID-GUIDs und Erstellen eines Diensts.
- Erstellen Sie eine neue Regel für die verteilte Firewall. Wählen Sie im Dienstfeld den Schicht-7-Dienst aus, den Sie in Schritt 2 erstellt haben. Wählen Sie für eine vom Port unabhängige Erzwingung eine App-ID aus. Siehe Anwendungs-ID-GUIDs. Weitere Informationen finden Sie unter Hinzufügen einer Firewallregel.
- Speichern und veröffentlichen Sie die Firewallregel.
