Un perfil de acceso de capa 7 puede contener varias entradas con diferentes tipos de atributos. Los perfiles de acceso de capa 7 se pueden utilizar en las reglas de firewall de puerta de enlace de nivel 0 y nivel 1.

Los perfiles de acceso de capa 7 tienen una entrada predeterminada y se pueden agregar más entradas por encima de la entrada predeterminada. Las entradas del perfil se evalúan en el orden de la lista y la acción se lleva a cabo tras la primera coincidencia.

Antes de crear reglas de firewall de aplicación en el firewall de puerta de enlace de nivel 0, es importante agregar manualmente reglas de firewall de puerta de enlace para permitir protocolos de enrutamiento, como BGP, OSPF y el protocolo de detección de errores BFD. Estas reglas deben agregarse antes que las reglas de aplicación para garantizar que el protocolo de detección de errores correspondiente al emparejamiento de enrutamiento no se vea afectado al cambiar las reglas de firewall de aplicaciones.

Procedimiento

  1. Seleccione Inventario > Perfiles.
  2. Seleccione la pestaña Perfil de acceso de capa 7 y haga clic en Agregar perfil de acceso de capa 7.
  3. Introduzca un nombre de perfil y una descripción opcional.
  4. En la columna Entidades de atributo, haga clic en Establecer.
  5. Haga clic en Agregar tipo de atributo y seleccione uno o varios atributos en el menú desplegable. Para las reglas de firewall de puerta de enlace de nivel 0, el ID de aplicación es el único tipo de atributo admitido.
    Tipo de atributo Valor de atributo
    ID de aplicación: más de 750 Para ver los identificadores de aplicaciones disponibles, desplácese hacia abajo en la lista o seleccione Identificadores de aplicaciones.
    Categoría de URL: más de 80 categorías, incluidas las de redes sociales, banca, suplantación de identidad, etc. Desplácese hacia abajo en la lista para seleccionar una o varias categorías de URL.
    URL personalizada: con expresión regular Para obtener más información, consulte URL personalizadas.
    Reputación de URL Elija una o varias de estas reputaciones: Riesgo alto, Sospechoso, Riesgo moderado, Riesgo bajo, Fiable, Desconocido
  6. Seleccione la acción de la regla:
    • Permitir: permite el tráfico coincidente.
    • Rechazar: rechaza el tráfico coincidente.
    • Rechazar con respuesta: rechaza y envía al cliente la página de respuesta. Esta opción no está disponible para el tipo de atributo de ID de aplicación. Desplácese hasta Seguridad > Firewall de puerta de enlace > Configuración > Filtrado de URL para ver y personalizar el mensaje Rechazar con respuesta.

      La página Rechazar con respuesta solo se envía para el tráfico http. La página de respuesta contendrá la dirección URL (se muestran los primeros 10 bytes), la categoría, la IP de origen y el texto del mensaje. Introduzca el mensaje de la página Rechazar con respuesta. Haga clic en Página de vista previa para ver la página que se enviará cuando una directiva bloquee el acceso a una URL.

  7. De forma predeterminada, el registro está desactivado. Active el botón para activar el registro.
  8. De forma predeterminada, la nueva entrada agregada está activada. Desactive el botón para deshabilitar la entrada.
  9. Haga clic en Agregar.
  10. Para editar o eliminar una entrada, haga clic en el icono de menú () y seleccione Editar o Eliminar.
  11. Para cambiar la configuración de la entrada predeterminada, haga clic en el icono de menú () y seleccione Editar. Tenga en cuenta que la entrada predeterminada no se puede desactivar. De forma predeterminada, el registro está desactivado para la entrada predeterminada. Después del procesamiento final de la entrada predeterminada en el perfil de acceso de capa 7, se detiene el proceso de evaluación de firewall de puerta de enlace.
  12. Haga clic en Agregar para activar la opción modificada para la entrada predeterminada o haga clic en Cancelar.
  13. Haga clic en Aplicar.
  14. Haga clic en Guardar.