Les ID d'applications de couche 7 sont utilisés pour créer des profils de contexte avec des règles de pare-feu distribué. Pour les règles de pare-feu de passerelle, les ID d'applications de couche 7 sont utilisés pour créer des profils de contexte ou un profil d'accès de couche 7.

NSX fournit un ID d'application intégré pour les applications d'infrastructure et d'entreprise communes. Les ID d'application intègrent les versions (SSL/TLS et CIFS/SMB) et la suite de chiffrement (SSL/TLS). Pour le pare-feu distribué, les ID d'application sont utilisés dans les règles via les profils de contexte et peuvent être combinés avec les listes d'autorisation et les listes de refus de noms de domaine complets.

Note :
  • Les règles de pare-feu de passerelle ne prennent pas en charge l'utilisation d'attributs de nom de domaine complet ou d'autres sous-attributs dans les profils de contexte.
  • Les profils de contexte ne sont pas pris en charge sur la stratégie de pare-feu de passerelle de niveau 0.
ID d'application et noms de domaine complets pris en charge :
  • Pour le nom de domaine complet, les utilisateurs doivent configurer une règle à priorité élevée avec un ID d'application DNS pour les serveurs DNS spécifiés sur le port 53.
  • L'ID d'application SYSLOG est détecté uniquement sur les ports standard.

Notez que si vous utilisez une combinaison de couche 7 et d'ICMP, ou d'autres protocoles, vous devez placer les règles de pare-feu de couche 7 en dernier. Les règles situées après une règle any/any de couche 7 ne sont pas exécutées.

Directives de conception pour les profils de contexte :
  • Pour des raisons de performances et de sécurité, un profil de contexte unique incluant un ID d'application unique doit être combiné avec le ou les ports correspondant définis dans le champ de service de couche 4.
  • Une règle de pare-feu distribué unique contenant plusieurs ports définis dans le champ de service de couche 4 n'est prise en charge qu'avec un seul profil de contexte qui contient les ID d'applications correspondants aux ports définis dans le champ de service de couche 4.
  • Dans de rares cas d'utilisation spécifiques où plusieurs profils de contexte par règle de pare-feu sont requis et où les implications susmentionnées sont évaluées, le champ de service de couche 4 prend en charge la configuration avec QUELCONQUE.

Procédure

  1. Créez un profil de contexte personnalisé : Profils.
  2. Utilisez le profil de contexte dans une règle de pare-feu distribué ou une règle de pare-feu de passerelle : Ajouter un pare-feu distribué ou Ajouter une règle ou une stratégie de pare-feu de passerelle.