第 7 層應用程式識別碼用於建立具有分散式防火牆規則的內容設定檔。對於閘道防火牆規則,第 7 層應用程式識別碼用於建立內容設定檔或 L7 存取設定檔。
NSX 為一般基礎結構和企業應用程式提供內建應用程式識別碼。應用程式識別碼包括版本 (SSL/TLS 及 CIFS/SMB) 和加密套件 (SSL/TLS)。對於分散式防火牆,應用程式識別碼會透過內容設定檔在規則中使用,還可以與 FQDN 允許清單和拒絕清單結合使用。
備註:
- 閘道防火牆規則不支援在內容設定檔中使用 FQDN 屬性或其他子屬性。
- 第 0 層閘道防火牆原則不支援內容設定檔。
支援的應用程式識別碼和 FQDN:
- 對於 FQDN,使用者必須為連接埠 53 上所指定的 DNS 伺服器設定 DNS 應用程式識別碼的高優先順序規則。
- 僅在標準連接埠上才會偵測到 SYSLOG 應用程式識別碼。
內容設定檔的設計準則:
- 基於效能或安全考量,包含單一應用程式識別碼的單一內容設定檔應與在 L4 服務欄位中定義的對應連接埠組合搭配使用。
- 對於包含 L4 服務欄位中定義的多個連接埠的單一分散式防火牆規則,僅支援將其與單一內容設定檔搭配使用,其中該內容設定檔包含與 L4 服務欄位中定義的連接埠相對應的應用程式識別碼。
- 在極少數使用案例中,一個防火牆規則需要多個內容設定檔並且會評估上述影響,在這些使用案例中,L4 服務欄位支援使用任何規則的組態。
程序
- 建立自訂內容設定檔:設定檔。
- 在分散式防火牆規則或閘道防火牆規則中使用內容設定檔:新增分散式防火牆 或新增閘道防火牆原則和規則。