Los identificadores de aplicaciones de Capa 7 se utilizan para crear perfiles de contexto que se utilizan en reglas de firewall distribuido o de firewall de puerta de enlace. El cumplimiento de reglas basado en atributos permite a los usuarios permitir o denegar que las aplicaciones se ejecuten en cualquier puerto.
NSX-T proporciona Atributos integrada para las aplicaciones de infraestructura y empresariales más comunes. Los identificadores de aplicaciones incluyen las versiones (SSL/TLS y CIFS/SMB) y el conjunto de claves de cifrado (SSL/TLS). Para un firewall distribuido, los identificadores de aplicaciones se utilizan en las reglas a través de perfiles de contexto, y se pueden combinar con listas de FQDN permitidos o no permitidos. Los identificadores de aplicaciones son compatibles con los hosts ESXi y KVM.
- No se pueden utilizar atributos FQDN u otros subatributos con las reglas de firewall de puerta de enlace en perfiles de contexto.
- Los perfiles de contexto no se admiten en la directiva de firewall de puerta de enlace de nivel 0.
- Para el FQDN, los usuarios deben configurar una regla de prioridad alta con un identificador de aplicación de DNS para los servidores DNS especificados en el puerto 53.
- Los identificadores de aplicación de ALG (FTP, ORACLE, DCERPC y TFTP) requieren el servicio de ALG correspondiente para la regla de firewall.
- El identificador de aplicación de SYSLOG solo se detecta en puertos estándar.
- Los subatributos no se admiten en KVM.
- Los identificadores de aplicación TFTP y FTP de ALG son compatibles con KVM.
Tenga en cuenta que si utiliza una combinación de Capa 7 y ICMP, o cualquier otro protocolo, deberá colocar las reglas de firewall de capa 7 en último lugar. Las reglas situadas después de la regla cualquiera/cualquiera de Capa 7 no se ejecutarán.
