App-IDs der Schicht 7 werden beim Erstellen von Kontextprofilen verwendet, die in Regeln für verteilte Firewalls oder in Gateway-Firewallregeln verwendet werden. Die auf Attributen basierende Regelerzwingung ermöglicht Benutzern, die Ausführung von Anwendungen auf einem beliebigen Port zuzulassen oder zu verweigern.

NSX-T bietet integrierte Attribute (App-IDs) für gemeinsame Infrastruktur- und Unternehmensanwendungen. App-IDs umfassen Versionen (SSL/TLS und CIFS/SMB) sowie die Verschlüsselungs-Suite (SSL/TLS). Bei einer verteilten Firewall werden App-IDs über Kontextprofile in Regeln verwendet und können mit FQDN-Positivlisten und -Negativlisten kombiniert werden. App-IDs werden auf ESXi- und KVM-Hosts unterstützt.

Hinweis:
  • Gateway-Firewallregeln unterstützen nicht die Verwendung von FQDN-Attributen oder anderen Unterattributen in Kontextprofilen.
  • Kontextprofile werden in der Tier-0-Gateway-Firewallrichtlinie nicht unterstützt.
Unterstützte App-IDs und FQDNs:
  • Für FQDN müssen Benutzer eine Regel mit hoher Priorität mit einer DNS-App-ID für die angegebenen DNS-Server auf Port 53 konfigurieren.
  • Die ALG-App-IDs (FTP, ORACLE, DCERPC, TFTP) erfordern den entsprechenden ALG-Dienst für die Firewallregel.
  • Die SYSLOG-App-ID wird nur auf Standard-Ports erkannt.
Von KVM unterstützte App-IDs und FQDNs:
  • Von KVM werden keine Unterattribute unterstützt.
  • FTP- und TFTP-ALG-App-IDs werden von KVM unterstützt.

Beachten Sie, dass Sie bei Verwendung einer Kombination aus Ebene 7 und ICMP oder anderen Protokollen die Firewallregeln der Ebene 7 zuletzt einfügen müssen. Regeln über einer Schicht 7-„any/any“-Regel werden nicht ausgeführt.

Prozedur

  1. Erstellen eines benutzerdefinierten Kontextprofils: Kontextprofile.
  2. Verwenden Sie das Kontextprofil in einer Regel für verteilte Firewalls oder in einer Gateway-Firewallregel: Hinzufügen einer verteilten Firewall oder Hinzufügen von Regeln und Richtlinien für eine Gateway-Firewall.
    Mehrere App-ID-Kontextprofile können in einer Firewallregel mit Diensten verwendet werden, die auf Beliebig festgelegt sind. Für ALG-Profile (FTP, ORACLE, DCERPC, TFTP) wird pro Regel ein Kontextprofil unterstützt.