App-IDs der Schicht 7 werden zum Erstellen von Kontextprofilen mit Regeln für verteilte Firewalls verwendet. Für Gateway-Firewallregeln werden Layer-7-App-IDs zum Erstellen von Kontextprofilen oder einem L7-Zugriffsprofil verwendet.

NSX Bietet integrierte App-IDs für gemeinsame Infrastruktur- und Enterprise-Anwendungen. App-IDs umfassen Versionen (SSL/TLS und CIFS/SMB) sowie die Verschlüsselungs-Suite (SSL/TLS). Bei einer verteilten Firewall werden App-IDs über Kontextprofile in Regeln verwendet und können mit FQDN-Positivlisten und -Negativlisten kombiniert werden.

Hinweis:
  • Gateway-Firewallregeln unterstützen nicht die Verwendung von FQDN-Attributen oder anderen Unterattributen in Kontextprofilen.
  • Kontextprofile werden in der Tier-0-Gateway-Firewallrichtlinie nicht unterstützt.
Unterstützte App-IDs und FQDNs:
  • Für FQDN müssen Benutzer eine Regel mit hoher Priorität mit einer DNS-App-ID für die angegebenen DNS-Server auf Port 53 konfigurieren.
  • Die SYSLOG-App-ID wird nur auf Standard-Ports erkannt.

Beachten Sie, dass Sie bei Verwendung einer Kombination aus Ebene 7 und ICMP oder anderen Protokollen die Firewallregeln der Ebene 7 zuletzt einfügen müssen. Regeln über einer Schicht 7-„any/any“-Regel werden nicht ausgeführt.

Designrichtlinien für Kontextprofile:
  • Aus Leistungs- und Sicherheitsgründen sollte ein einzelnes Kontextprofil, einschließlich einer einzelnen App-ID, mit den entsprechenden Ports kombiniert werden, die im L4-Dienstfeld definiert sind.
  • Eine einzelne Regel für die verteilte Firewall, die mehrere im L4-Dienstfeld definierte Ports enthält, wird nur mit einem einzelnen Kontextprofil unterstützt, wobei das Kontextprofil die entsprechenden App-IDs zu den definierten Ports im L4-Dienstfeld enthält.
  • In spezifischen seltenen Anwendungsfällen, in denen mehrere Kontextprofile pro Firewallregel erforderlich sind und die oben genannten Auswirkungen ausgewertet werden, unterstützt das L4-Dienstfeld die Konfiguration mit ANY.

Prozedur

  1. Erstellen Sie ein benutzerdefiniertes Kontextprofil: Profile.
  2. Verwenden Sie das Kontextprofil in einer Regel für verteilte Firewalls oder in einer Gateway-Firewallregel: Hinzufügen einer verteilten Firewall oder Hinzufügen von Regeln und Richtlinien für eine Gateway-Firewall.