レイヤー 7 アプリケーション ID は、分散ファイアウォール ルールまたはゲートウェイ ファイアウォール ルールで使用されるコンテキスト プロファイルの作成に使用されます。属性に基づくルールを適用すると、ユーザーは任意のポートで実行するアプリケーションを許可/拒否できます。

NSX-T では、共通のインフラストラクチャおよびエンタープライズ アプリケーション用に組み込みの属性(アプリケーション ID)が提供されています。アプリケーション ID には、バージョン(SSL/TLS および CIFS/SMB)と暗号スイート (SSL/TLS) が含まれています。分散ファイアウォールの場合、アプリケーション ID は、コンテキスト プロファイル中のルールで使用され、FQDN の許可リストや拒否リストと組み合わせることができます。アプリケーション ID は、ESXi および KVM ホストでサポートされます。

注:
  • ゲートウェイ ファイアウォール ルールでは、コンテキスト プロファイルに FQDN 属性または他のサブ属性は使用できません。
  • コンテキスト プロファイルは、Tier-0 ゲートウェイ ファイアウォール ポリシーでサポートされていません。
サポートされているアプリケーション ID と FQDN:
  • FQDN の場合、ユーザーは、指定された DNS サーバの DNS アプリケーション ID を使用して、ポート 53 に高優先度のルールを構成する必要があります。
  • ALG アプリケーション ID(FTP、ORACLE、DCERPC、TFTP)では、ファイアウォール ルールに対応する ALG サービスが必要です。
  • SYSLOG アプリケーション ID は標準ポートでのみ検出されます。
KVM がサポートするアプリケーション ID と FQDN:
  • KVM では、サブ属性はサポートされません。
  • KVM では、FTP と TFTP の ALG アプリケーション ID がサポートされます。

レイヤー 7 と ICMP の組み合わせ、または他のプロトコルを使用している場合は、レイヤー 7 ファイアウォール ルールを最後に設定する必要があります。レイヤー 7 any/any ルールの後にあるルールは実行されません。

手順

  1. カスタム コンテキスト プロファイルを作成します。コンテキスト プロファイルを参照してください。
  2. 分散ファイアウォール ルールまたはゲートウェイ ファイアウォール ルールでコンテキスト プロファイルを使用します。分散ファイアウォールの追加またはゲートウェイ ファイアウォールのポリシーおよびルールの追加を参照してください。
    サービスが [任意] に設定されたファイアウォール ルールには、複数のアプリケーション ID コンテキスト プロファイルを使用できます。ALG プロファイル(FTP、ORACLE、DCERPC、TFTP)の場合、1 つのルールでサポートされるコンテキスト プロファイルは 1 つだけです。