建立內容設定檔時會使用第 7 層應用程式識別碼,而分散式防火牆規則或閘道防火牆規則中會使用這些設定檔。基於屬性的規則強制執行,可讓使用者允許或拒絕在任何連接埠上執行應用程式。

NSX-T Data Center 提供一般基礎結構和企業應用程式的內建應用程式識別碼。應用程式識別碼包括版本 (SSL/TLS 及 CIFS/SMB) 和加密套件 (SSL/TLS)。對於分散式防火牆,應用程式識別碼會透過內容設定檔在規則中使用,還可以與 FQDN 允許清單和拒絕清單結合使用。ESXi 和 KVM 主機支援應用程式識別碼。

備註:
  • 閘道防火牆規則不支援在內容設定檔中使用 FQDN 屬性或其他子屬性。
  • 第 0 層閘道防火牆原則不支援內容設定檔。
支援的應用程式識別碼和 FQDN:
  • 對於 FQDN,使用者必須為連接埠 53 上所指定的 DNS 伺服器設定 DNS 應用程式識別碼的高優先順序規則。
  • 僅在標準連接埠上才會偵測到 SYSLOG 應用程式識別碼。
KVM 支援的應用程式識別碼和 FQDN:
  • 在 KVM 上不支援子屬性。
  • 在 KVM 上支援 FTP 和 TFTP ALG 應用程式識別碼。

程序

  1. 建立自訂內容設定檔:設定檔
  2. 在分散式防火牆規則或閘道防火牆規則中使用內容設定檔:新增分散式防火牆新增閘道防火牆原則和規則
    在服務設定為 任何的防火牆規則中,可以使用多個應用程式識別碼內容設定檔。對於 ALG 設定檔 (FTP、ORACLE、DCERPC、TFTP),每個規則可支援一個內容設定檔。