第 7 層應用程式識別碼用於建立具有分散式防火牆規則的內容設定檔。對於閘道防火牆規則,第 7 層應用程式識別碼用於建立內容設定檔或 L7 存取設定檔。

NSX 為一般基礎結構和企業應用程式提供內建應用程式識別碼。應用程式識別碼包括版本 (SSL/TLS 及 CIFS/SMB) 和加密套件 (SSL/TLS)。對於分散式防火牆,應用程式識別碼會透過內容設定檔在規則中使用,還可以與 FQDN 允許清單和拒絕清單結合使用。

備註:
  • 閘道防火牆規則不支援在內容設定檔中使用 FQDN 屬性或其他子屬性。
  • 第 0 層閘道防火牆原則不支援內容設定檔。
支援的應用程式識別碼和 FQDN:
  • 對於 FQDN,使用者必須為連接埠 53 上所指定的 DNS 伺服器設定 DNS 應用程式識別碼的高優先順序規則。
  • 僅在標準連接埠上才會偵測到 SYSLOG 應用程式識別碼。

請注意,如果您使用第 7 層和 ICMP 的組合,或使用任何其他通訊協定,則需要將第 7 層防火牆規則放置於最後。第 7 層「任何/任何」規則之後的任何規則都將不會執行。

內容設定檔的設計準則:
  • 基於效能或安全考量,包含單一應用程式識別碼的單一內容設定檔應與在 L4 服務欄位中定義的對應連接埠組合搭配使用。
  • 對於包含 L4 服務欄位中定義的多個連接埠的單一分散式防火牆規則,僅支援將其與單一內容設定檔搭配使用,其中該內容設定檔包含與 L4 服務欄位中定義的連接埠相對應的應用程式識別碼。
  • 在極少數使用案例中,一個防火牆規則需要多個內容設定檔並且會評估上述影響,在這些使用案例中,L4 服務欄位支援使用任何規則的組態。

程序

  1. 建立自訂內容設定檔:設定檔
  2. 在分散式防火牆規則或閘道防火牆規則中使用內容設定檔:新增分散式防火牆新增閘道防火牆原則和規則