App-IDs der Schicht 7 werden beim Erstellen von Kontextprofilen verwendet, die in Regeln für verteilte Firewalls oder in Gateway-Firewallregeln verwendet werden. Die auf Attributen basierende Regelerzwingung ermöglicht Benutzern, die Ausführung von Anwendungen auf einem beliebigen Port zuzulassen oder zu verweigern.
NSX-T bietet integrierte Attribute (App-IDs) für gemeinsame Infrastruktur- und Unternehmensanwendungen. App-IDs umfassen Versionen (SSL/TLS und CIFS/SMB) sowie die Verschlüsselungs-Suite (SSL/TLS). Bei einer verteilten Firewall werden App-IDs über Kontextprofile in Regeln verwendet und können mit FQDN-Positivlisten und -Negativlisten kombiniert werden. App-IDs werden auf ESXi- und KVM-Hosts unterstützt.
- Gateway-Firewallregeln unterstützen nicht die Verwendung von FQDN-Attributen oder anderen Unterattributen in Kontextprofilen.
- Kontextprofile werden in der Tier-0-Gateway-Firewallrichtlinie nicht unterstützt.
- Für FQDN müssen Benutzer eine Regel mit hoher Priorität mit einer DNS-App-ID für die angegebenen DNS-Server auf Port 53 konfigurieren.
- ALG-App-IDs (FTP, ORACLE, DCERPC, TFTP) erfordern den entsprechenden ALG-Dienst für die Firewallregel.
- Die SYSLOG-App-ID wird nur auf Standard-Ports erkannt.
- Von KVM werden keine Unterattribute unterstützt.
- FTP- und TFTP ALG-App-IDs werden auf KVM unterstützt.
Beachten Sie, dass Sie bei Verwendung einer Kombination aus Ebene 7 und ICMP oder anderen Protokollen die Firewallregeln der Ebene 7 zuletzt einfügen müssen. Regeln über einer Schicht 7-„any/any“-Regel werden nicht ausgeführt.
