Los identificadores de aplicaciones de Capa 7 se utilizan para crear perfiles de contexto que se utilizan en reglas de firewall distribuido o de firewall de puerta de enlace. El cumplimiento de reglas basado en atributos permite a los usuarios permitir o denegar que las aplicaciones se ejecuten en cualquier puerto.

NSX-T proporciona Atributos integrada para las aplicaciones de infraestructura y empresariales más comunes. Los identificadores de aplicaciones incluyen las versiones (SSL/TLS y CIFS/SMB) y el conjunto de claves de cifrado (SSL/TLS). Para un firewall distribuido, los identificadores de aplicaciones se utilizan en las reglas a través de perfiles de contexto, y se pueden combinar con listas de FQDN permitidos o no permitidos. Los identificadores de aplicaciones son compatibles con los hosts ESXi y KVM.

Nota:
  • No se pueden utilizar atributos FQDN u otros subatributos con las reglas de firewall de puerta de enlace en perfiles de contexto.
  • Los perfiles de contexto no se admiten en la directiva de firewall de puerta de enlace de nivel 0.
Identificadores de aplicación y FQDN compatibles:
  • Para el FQDN, los usuarios deben configurar una regla de prioridad alta con un identificador de aplicación de DNS para los servidores DNS especificados en el puerto 53.
  • Los identificadores de aplicación de ALG (FTP, ORACLE, DCERPC y TFTP) requieren el servicio de ALG correspondiente para la regla de firewall.
  • El identificador de aplicación de SYSLOG solo se detecta en puertos estándar.
Identificadores de aplicación y FQDN de KVM compatibles:
  • Los subatributos no se admiten en KVM.
  • Los identificadores de aplicación TFTP y FTP de ALG son compatibles con KVM.

Tenga en cuenta que si utiliza una combinación de Capa 7 y ICMP, o cualquier otro protocolo, deberá colocar las reglas de firewall de capa 7 en último lugar. Las reglas situadas después de la regla cualquiera/cualquiera de Capa 7 no se ejecutarán.

Procedimiento

  1. Cree un perfil de contexto personalizado: Agregar un perfil de contexto.
  2. Utilice el perfil de contexto en una regla de firewall distribuido o una regla de firewall de puerta de enlace: Agregar un firewall distribuido o Agregar una regla y una directiva de firewall de puerta de enlace.
    Se pueden utilizar varios perfiles de contexto de identificador de aplicación en una regla de firewall con servicios establecidos en Cualquiera. Para los perfiles ALG (FTP, ORACLE, DCERPC, TFTP), se admite un perfil de contexto por regla.