レイヤー 7 ファイアウォールルールのワークフロー

レイヤー 7 アプリケーション ID は、分散ファイアウォールルールまたはゲートウェイファイアウォールルールで使用されるコンテキストプロファイルの作成に使用されます。属性に基づくルールを適用すると、ユーザーは任意のポートで実行するアプリケーションを許可/拒否できます。

NSX-T では、共通のインフラストラクチャおよびエンタープライズアプリケーション用に組み込みの属性が提供されています。アプリケーション ID には、バージョン（SSL/TLS および CIFS/SMB）と暗号スイート (SSL/TLS) が含まれています。分散ファイアウォールの場合、アプリケーション ID は、コンテキストプロファイル中のルールで使用され、FQDN の許可リストや拒否リストと組み合わせることができます。アプリケーション ID は、ESXi および KVM ホストでサポートされます。

注：

ゲートウェイファイアウォールルールでは、コンテキストプロファイルに FQDN 属性または他のサブ属性は使用できません。
コンテキストプロファイルは、Tier-0 ゲートウェイファイアウォールポリシーでサポートされていません。

サポートされているアプリケーション ID と FQDN：

FQDN の場合、ユーザーは、指定された DNS サーバの DNS アプリケーション ID を使用して、ポート 53 に高優先度のルールを構成する必要があります。
ALG アプリケーション ID（FTP、ORACLE、DCERPC、TFTP）では、ファイアウォールルールに対応する ALG サービスが必要です。
SYSLOG アプリケーション ID は標準ポートでのみ検出されます。

KVM がサポートするアプリケーション ID と FQDN：

KVM では、サブ属性はサポートされません。
KVM では、FTP と TFTP の ALG アプリケーション ID がサポートされます。

レイヤー 7 と ICMP の組み合わせ、または他のプロトコルを使用している場合は、レイヤー 7 ファイアウォールルールを最後に設定する必要があります。レイヤー 7 any/any ルールの後にあるルールは実行されません。

手順

カスタムコンテキストプロファイルを作成します。コンテキストプロファイルの追加を参照してください。
分散ファイアウォールルールまたはゲートウェイファイアウォールルールでコンテキストプロファイルを使用します。分散ファイアウォールの追加またはゲートウェイファイアウォールのポリシーおよびルールの追加を参照してください。
サービスが [任意] に設定されたファイアウォールルールには、複数のアプリケーション ID コンテキストプロファイルを使用できます。ALG プロファイル（FTP、ORACLE、DCERPC、TFTP）の場合、1 つのルールでサポートされるコンテキストプロファイルは 1 つだけです。