Un profilo di accesso L7 può contenere più voci con tipi di attributo diversi. I profili di accesso L7 possono essere utilizzati nelle regole del firewall dei gateway di livello 0 e di livello 1.

I profili di accesso L7 hanno una voce predefinita ed è possibile aggiungere più voci sopra la voce predefinita. Le voci nel profilo vengono valutate nell'ordine di elenco e l'azione viene eseguita alla prima corrispondenza.

Prima di creare regole del firewall dell'applicazione nel firewall del gateway di livello 0, è importante aggiungere manualmente le regole del firewall del gateway per consentire protocolli di routing come BGP, OSPF e il protocollo di rilevamento degli errori BFD. Queste regole devono essere aggiunte prima di qualsiasi regola di applicazione per assicurarsi che il rispettivo protocollo di rilevamento degli errori del peering di routing non sia interessato quando si modificano le regole del firewall dell'applicazione.

Procedura

  1. Selezionare Inventario > Profili.
  2. Selezionare la scheda Profilo di accesso L7 e fare clic su Aggiungi profilo di accesso L7.
  3. Immettere un Nome profilo e una Descrizione facoltativa.
  4. Nella colonna Entità attributi, fare clic su Imposta.
  5. Fare clic su Aggiungi tipo di attributo e selezionare uno o più attributi dal menu a discesa. Per le regole del firewall del gateway di livello 0, ID app è l'unico tipo di attributo supportato.
    Tipo di attributo Valore attributo
    ID app - oltre 750 Per visualizzare gli ID app disponibili, scorrere in basso l'elenco o selezionare ID app.
    Categoria URL - Oltre 80 categorie, inclusi social media, servizi bancari, phishing, ecc. Selezionare una o più categorie di URL scorrendo in basso l'elenco.
    URL personalizzato - con espressione regolare Per ulteriori dettagli, vedere URL personalizzati.
    Reputazione URL Scegliere una o più di queste reputazioni: Rischio elevato, Sospetto, Rischio medio, Basso rischio, Attendibile, Sconosciuto
  6. Selezionare l'azione della regola:
    • Consenti - consente il traffico corrispondente.
    • Rifiuta: rifiuta il traffico corrispondente.
    • Rifiuta con risposta: rifiuta e invia al client la pagina di risposta. Questa opzione non è disponibile per il tipo di attributo ID app. Passare a Sicurezza > Firewall gateway > Impostazioni > Filtro URL per visualizzare e personalizzare il messaggio Rifiuta con risposta.

      La pagina Rifiuta con risposta viene inviata solo per il traffico http. La pagina della risposta conterrà l'URL (primi 10 byte visualizzati), la categoria, l'IP di origine e il testo del messaggio. Immettere il messaggio per la pagina Rifiuta con risposta. Fare clic su Anteprima pagina per visualizzare la pagina che verrà inviata quando l'accesso a un URL è bloccato da un criterio.

  7. Per impostazione predefinita, la registrazione è disattivata. Attivare o disattivare il pulsante per attivare la registrazione.
  8. Per impostazione predefinita, la voce appena aggiunta è attivata. Attivare o disattivare il pulsante per disattivare la voce.
  9. Fare clic su Aggiungi.
  10. Per modificare o eliminare una voce, fare clic sull'icona del menu () e selezionare Modifica o Elimina.
  11. Per modificare le impostazioni della voce predefinita, fare clic sull'icona del menu () e selezionare Modifica. Si tenga presente che la voce predefinita non può essere disattivata. Per impostazione predefinita, la registrazione è disattivata per la voce predefinita. Dopo l'elaborazione finale della voce predefinita nel profilo di accesso L7, il processo di valutazione del firewall del gateway viene interrotto.
  12. Fare clic su Aggiungi per attivare l'impostazione modificata per la voce predefinita oppure fare clic su Annulla.
  13. Fare clic su Applica.
  14. Fare clic su Salva.