Les ID d'application de couche 7 sont utilisés dans la création de profils de contexte qui sont utilisés dans des règles de pare-feu distribué ou des règles de pare-feu de passerelle. L'application de règles basées sur les attributs permet aux utilisateurs d'autoriser les applications à s'exécuter sur n'importe quel port ou de les en empêcher.

NSX-T fournit un Attributs (ID d'application) intégré pour les applications d'infrastructure et d'entreprise communes. Les ID d'application intègrent les versions (SSL/TLS et CIFS/SMB) et la suite de chiffrement (SSL/TLS). Pour le pare-feu distribué, les ID d'application sont utilisés dans les règles via les profils de contexte et peuvent être combinés avec les listes d'autorisation et les listes de refus de noms de domaine complets. Les ID d'application sont pris en charge sur les hôtes ESXi et KVM.

Note :
  • Les règles de pare-feu de passerelle ne prennent pas en charge l'utilisation d'attributs de nom de domaine complet ou d'autres sous-attributs dans les profils de contexte.
  • Les profils de contexte ne sont pas pris en charge sur la stratégie de pare-feu de passerelle de niveau 0.
ID d'application et noms de domaine complets pris en charge:
  • Pour le nom de domaine complet, les utilisateurs doivent configurer une règle à priorité élevée avec un ID d'application DNS pour les serveurs DNS spécifiés sur le port 53.
  • Les ID d'application ALG (FTP, ORACLE, DCERPC, TFTP) requièrent le service ALG correspondant pour la règle de pare-feu.
  • L'ID d'application SYSLOG est détecté uniquement sur les ports standard.
ID d'application et noms de domaine complets pris en charge par KVM :
  • Les sous-attributs ne sont pas pris en charge sur KVM.
  • Les ID d'application ALG FTP et TFTP sont pris en charge sur KVM.

Notez que si vous utilisez une combinaison de couche 7 et d'ICMP, ou d'autres protocoles, vous devez placer les règles de pare-feu de couche 7 en dernier. Les règles situées après une règle any/any de couche 7 ne sont pas exécutées.

Procédure

  1. Créez un profil de contexte personnalisé : Profils de contexte.
  2. Utilisez le profil de contexte dans une règle de pare-feu distribué ou une règle de pare-feu de passerelle : Ajouter un pare-feu distribué ou Ajouter une règle ou une stratégie de pare-feu de passerelle.
    Il est possible d’utiliser plusieurs profils de contexte d'ID d'application dans une règle de pare-feu avec des services définis sur Quelconque. Pour les profils ALG (FTP, ORACLE, DCERPC, TFTP), un seul profil de contexte est pris en charge par règle.