レイヤー 7 アプリケーション ID は、分散ファイアウォール ルールを使用してコンテキスト プロファイルを作成する際に使用されます。ゲートウェイ ファイアウォール ルールの場合、レイヤー 7 アプリケーション ID は、コンテキスト プロファイルまたは L7 アクセス プロファイルを作成する際に使用されます。

NSX では、共通のインフラストラクチャおよびエンタープライズ アプリケーション用に組み込みの アプリケーション ID が用意されています。アプリケーション ID には、バージョン (SSL/TLS および CIFS/SMB) と暗号スイート (SSL/TLS) が含まれています。分散ファイアウォールの場合、アプリケーション ID は、コンテキスト プロファイル中のルールで使用され、FQDN の許可リストや拒否リストと組み合わせることができます。

注:
  • ゲートウェイ ファイアウォール ルールでは、コンテキスト プロファイルに FQDN 属性または他のサブ属性は使用できません。
  • コンテキスト プロファイルは、Tier-0 ゲートウェイ ファイアウォール ポリシーでサポートされていません。
サポートされているアプリケーション ID と FQDN:
  • FQDN の場合、ユーザーは、指定された DNS サーバの DNS アプリケーション ID を使用して、ポート 53 に高優先度のルールを構成する必要があります。
  • SYSLOG アプリケーション ID は標準ポートでのみ検出されます。

レイヤー 7 と ICMP の組み合わせ、または他のプロトコルを使用している場合は、レイヤー 7 ファイアウォール ルールを最後に設定する必要があります。レイヤー 7 any/any ルールの後にあるルールは実行されません。

コンテキスト プロファイルの設計ガイドライン:
  • パフォーマンスとセキュリティ上の理由から、単一のアプリケーション ID を含む単一のコンテキスト プロファイルは、L4 サービス フィールドで定義されている対応ポートと組み合わせる必要があります。
  • L4 サービス フィールドで定義されている複数のポートを含む単一の分散ファイアウォール ルールは、コンテキスト プロファイルに L4 サービス フィールドで定義されているポートに対応するアプリケーション ID が含まれている、1 つのコンテキスト プロファイルでのみサポートされます。
  • ファイアウォール ルールごとに複数のコンテキスト プロファイルが必要で、上記の影響が評価されているまれなユースケースの場合、L4 サービス フィールドで [ANY] を使用した構成がサポートされます。

手順

  1. カスタム コンテキスト プロファイルを作成します。プロファイルを参照してください。
  2. 分散ファイアウォール ルールまたはゲートウェイ ファイアウォール ルールでコンテキスト プロファイルを使用します。分散ファイアウォールの追加またはゲートウェイ ファイアウォールのポリシーおよびルールの追加を参照してください。