Los identificadores de aplicaciones de Capa 7 se utilizan para crear perfiles de contexto que se utilizan en reglas de firewall distribuido o de firewall de puerta de enlace. El cumplimiento de reglas basado en atributos permite a los usuarios permitir o denegar que las aplicaciones se ejecuten en cualquier puerto.

NSX-T Data Center proporciona Identificadores de aplicaciones integrada para las aplicaciones de infraestructura y empresariales más comunes. Los identificadores de aplicación incluyen las versiones (SSL/TLS y CIFS/SMB) y el conjunto de claves de cifrado (SSL/TLS). Para un firewall distribuido, los identificadores de aplicaciones se utilizan en las reglas a través de perfiles de contexto, y se pueden combinar con listas de FQDN permitidos o no permitidos. Los identificadores de aplicaciones son compatibles con los hosts ESXi y KVM.

Nota:
  • No se pueden utilizar atributos FQDN u otros subatributos con las reglas de firewall de puerta de enlace en perfiles de contexto.
  • Los perfiles de contexto no se admiten en la directiva de firewall de puerta de enlace de nivel 0.
Identificadores de aplicación y FQDN compatibles:
  • Para el FQDN, los usuarios deben configurar una regla de prioridad alta con un identificador de aplicación de DNS para los servidores DNS especificados en el puerto 53.
  • El identificador de aplicación de SYSLOG solo se detecta en puertos estándar.
Identificadores de aplicación y FQDN de KVM compatibles:
  • Los subatributos no se admiten en KVM.
  • Los identificadores de aplicación TFTP y FTP de ALG son compatibles con KVM.

Procedimiento

  1. Cree un perfil de contexto personalizado: Perfiles.
  2. Utilice el perfil de contexto en una regla de firewall distribuido o una regla de firewall de puerta de enlace: Agregar un firewall distribuido o Agregar una regla y una directiva de firewall de puerta de enlace.
    Se pueden utilizar varios perfiles de contexto de identificador de aplicación en una regla de firewall con servicios establecidos en Cualquiera. Para los perfiles ALG (FTP, ORACLE, DCERPC, TFTP), se admite un perfil de contexto por regla.