Los identificadores de aplicación de capa 7 se utilizan para crear perfiles de contexto con reglas de firewall distribuido. Para las reglas de firewall de puerta de enlace, los identificadores de aplicación de capa 7 se utilizan para crear perfiles de contexto o un perfil de acceso de capa 7.

NSX integra Identificadores de aplicaciones para las aplicaciones de infraestructura y empresariales más comunes. Los identificadores de aplicación incluyen las versiones (SSL/TLS y CIFS/SMB) y el conjunto de claves de cifrado (SSL/TLS). Para un firewall distribuido, los identificadores de aplicaciones se utilizan en las reglas a través de perfiles de contexto, y se pueden combinar con listas de FQDN permitidos o no permitidos.

Nota:
  • No se pueden utilizar atributos FQDN u otros subatributos con las reglas de firewall de puerta de enlace en perfiles de contexto.
  • Los perfiles de contexto no se admiten en la directiva de firewall de puerta de enlace de nivel 0.
Identificadores de aplicación y FQDN compatibles:
  • Para el FQDN, los usuarios deben configurar una regla de prioridad alta con un identificador de aplicación de DNS para los servidores DNS especificados en el puerto 53.
  • El identificador de aplicación de SYSLOG solo se detecta en puertos estándar.

Tenga en cuenta que si utiliza una combinación de Capa 7 y ICMP, o cualquier otro protocolo, deberá colocar las reglas de firewall de capa 7 en último lugar. Las reglas situadas después de la regla cualquiera/cualquiera de Capa 7 no se ejecutarán.

Directrices de diseño para perfiles de contexto:
  • Por motivos de rendimiento y seguridad, se debe combinar un único perfil de contexto que incluya un único identificador de aplicación con los puertos correspondientes definidos en el campo de servicio de capa 4.
  • Una única regla de firewall distribuido que contenga varios puertos definidos en el campo de servicio de capa 4 solo se admite con un único perfil de contexto, donde el perfil de contexto contiene los identificadores de aplicación correspondientes a los puertos definidos en el campo de servicio de capa 4.
  • En algunos casos de uso excepcionales en los que se requieren varios perfiles de contexto por cada regla de firewall y se evalúan las implicaciones mencionadas anteriormente, el campo de servicio de capa 4 admite la configuración con ANY.

Procedimiento

  1. Cree un perfil de contexto personalizado: Perfiles.
  2. Utilice el perfil de contexto en una regla de firewall distribuido o una regla de firewall de puerta de enlace: Agregar un firewall distribuido o Agregar una regla y una directiva de firewall de puerta de enlace.