App-IDs der Schicht 7 werden zum Erstellen von Kontextprofilen mit Regeln für verteilte Firewalls verwendet. Für Gateway-Firewallregeln werden Layer-7-App-IDs zum Erstellen von Kontextprofilen oder einem L7-Zugriffsprofil verwendet.
NSX bietet integrierte App-IDs für gemeinsame Infrastruktur- und Enterprise-Anwendungen. App-IDs umfassen Versionen (SSL/TLS und CIFS/SMB) sowie die Verschlüsselungs-Suite (SSL/TLS). Bei einer verteilten Firewall werden App-IDs über Kontextprofile in Regeln verwendet und können mit FQDN-Positivlisten und -Negativlisten kombiniert werden.
Hinweis:
- Gateway-Firewallregeln unterstützen nicht die Verwendung von FQDN-Attributen oder anderen Unterattributen in Kontextprofilen.
- Kontextprofile werden in der Tier-0-Gateway-Firewallrichtlinie nicht unterstützt.
Unterstützte App-IDs und FQDNs:
- Für FQDN müssen Benutzer eine Regel mit hoher Priorität mit einer DNS-App-ID für die angegebenen DNS-Server auf Port 53 konfigurieren.
- Die SYSLOG-App-ID wird nur auf Standard-Ports erkannt.
Designrichtlinien für Kontextprofile:
- Aus Leistungs- und Sicherheitsgründen sollte ein einzelnes Kontextprofil, einschließlich einer einzelnen App-ID, mit den entsprechenden Ports kombiniert werden, die im L4-Dienstfeld definiert sind.
- Eine einzelne Regel für die verteilte Firewall, die mehrere im L4-Dienstfeld definierte Ports enthält, wird nur mit einem einzelnen Kontextprofil unterstützt, wobei das Kontextprofil die entsprechenden App-IDs zu den definierten Ports im L4-Dienstfeld enthält.
- In spezifischen seltenen Anwendungsfällen, in denen mehrere Kontextprofile pro Firewallregel erforderlich sind und die oben genannten Auswirkungen ausgewertet werden, unterstützt das L4-Dienstfeld die Konfiguration mit ANY.
Prozedur
- Erstellen Sie ein benutzerdefiniertes Kontextprofil: Profile.
- Verwenden Sie das Kontextprofil in einer Regel für verteilte Firewalls oder in einer Gateway-Firewallregel: Hinzufügen einer verteilten Firewall oder Hinzufügen von Regeln und Richtlinien für eine Gateway-Firewall.