第 7 層防火牆規則工作流程

建立內容設定檔時會使用第 7 層應用程式識別碼，而分散式防火牆規則或閘道防火牆規則中會使用這些設定檔。基於屬性的規則強制執行，可讓使用者允許或拒絕在任何連接埠上執行應用程式。

NSX-T Data Center 提供一般基礎結構和企業應用程式的內建應用程式識別碼。應用程式識別碼包括版本 (SSL/TLS 及 CIFS/SMB) 和加密套件 (SSL/TLS)。對於分散式防火牆，應用程式識別碼會透過內容設定檔在規則中使用，還可以與 FQDN 允許清單和拒絕清單結合使用。ESXi 和 KVM 主機支援應用程式識別碼。

備註：

閘道防火牆規則不支援在內容設定檔中使用 FQDN 屬性或其他子屬性。
第 0 層閘道防火牆原則不支援內容設定檔。

支援的應用程式識別碼和 FQDN：

對於 FQDN，使用者必須為連接埠 53 上所指定的 DNS 伺服器設定 DNS 應用程式識別碼的高優先順序規則。
僅在標準連接埠上才會偵測到 SYSLOG 應用程式識別碼。

KVM 支援的應用程式識別碼和 FQDN：

在 KVM 上不支援子屬性。
在 KVM 上支援 FTP 和 TFTP ALG 應用程式識別碼。

請注意，如果您使用第 7 層和 ICMP 的組合，或使用任何其他通訊協定，則需要將第 7 層防火牆規則放置於最後。第 7 層「任何/任何」規則之後的任何規則都將不會執行。

程序

建立自訂內容設定檔：設定檔。
在分散式防火牆規則或閘道防火牆規則中使用內容設定檔：新增分散式防火牆或新增閘道防火牆原則和規則。
在服務設定為任何的防火牆規則中，可以使用多個應用程式識別碼內容設定檔。對於 ALG 設定檔 (FTP、ORACLE、DCERPC、TFTP)，每個規則可支援一個內容設定檔。