第 7 層應用程式識別碼會用來建立內容設定檔,而這些設定檔會用於分散式防火牆規則或閘道防火牆規則中。基於屬性的規則強制執行,可讓使用者允許或拒絕在任何連接埠上執行應用程式。

NSX-T 提供一般基礎結構和企業應用程式的內建屬性 (應用程式識別碼)。應用程式識別碼包括版本 (SSL/TLS 及 CIFS/SMB) 和加密套件 (SSL/TLS)。對於分散式防火牆,應用程式識別碼會透過內容設定檔用於規則中,並且可與 FQDN 允許清單和拒絕清單結合使用。ESXi 和 KVM 主機均支援應用程式識別碼。

備註:
  • 閘道防火牆規則不支援在內容設定檔中使用 FQDN 屬性或其他子屬性。
  • 第 0 層閘道防火牆原則不支援內容設定檔。
支援的應用程式識別碼和 FQDN:
  • 對於 FQDN,使用者必須為連接埠 53 上所指定 DNS 伺服器設定 DNS 應用程式識別碼的高優先順序規則。
  • ALG 應用程式識別碼 (FTP、ORACLE、DCERPC、TFTP) 需要防火牆規則的對應 ALG 服務。
  • 僅在標準連接埠上才會偵測到 SYSLOG 應用程式識別碼。
KVM 支援的應用程式識別碼和 FQDN:
  • 在 KVM 上不支援子屬性。
  • 在 KVM 上支援 FTP 和 TFTP ALG 應用程式識別碼。

請注意,如果您使用第 7 層和 ICMP 的組合,或使用任何其他通訊協定,則需要將第 7 層防火牆規則放置於最後。第 7 層「任何/任何」規則之後的任何規則都將不會執行。

程序

  1. 建立自訂內容設定檔:內容設定檔
  2. 在分散式防火牆規則或閘道防火牆規則中使用內容設定檔:新增分散式防火牆新增閘道防火牆原則和規則
    在服務設定為 任何的防火牆規則中,可以使用多個應用程式識別碼內容設定檔。對於 ALG 設定檔 (FTP、ORACLE、DCERPC、TFTP),每個規則可支援一個內容設定檔。