设置分布式防火墙规则,以筛选使用 FQDN/URL 标识的特定域,例如 *.office365.com。
目前,支持预定义域列表。在添加属性类型域名 (FQDN)的新上下文配置文件时,您可以看到 FQDN 列表。 此外,您还可以通过运行 API 调用 /policy/api/v1/infra/context-profiles/attributes?attribute_key=DOMAIN_NAME 来查看 FQDN 列表。
您必须先设置一个 DNS 规则,然后在该规则下面设置 FQDN 允许列表或拒绝列表规则。NSX-T Data Center 使用 DNS 响应(从 DNS 服务器到虚拟机的响应)中的生存时间 (TTL),来保留虚拟机 (VM) 的 DNS 到 IP 映射缓存条目。要使用 DNS 安全配置文件覆盖 DNS TTL,请参见配置 DNS 安全。要使 FQDN 筛选生效,虚拟机需要使用 DNS 服务器进行域解析(无静态 DNS 条目),并且还需要采用在 DNS 响应中收到的 TTL。NSX-T Data Center 使用 DNS 侦听获取 IP 地址和 FQDN 之间的映射。应在所有逻辑端口上的交换机中启用 SpoofGuard,以防止发生 DNS 欺骗攻击的风险。当恶意虚拟机可以插入欺骗性的 DNS 响应以将流量重定向到恶意端点或绕过防火墙时,即会出现 DNS 欺骗攻击。有关 SpoofGuard 的详细信息,请参见了解 SpoofGuard 分段配置文件。
此功能适用于第 7 层,不包含 ICMP。如果用户为 example.com 上的所有服务创建拒绝列表规则,则当 ping example.com 响应而 curl example.com 未响应时,此功能将正常使用。
最佳做法是选择通配符 FQDN,因为此类 FQDN 包含子域。例如,如果选择 *example.com,则将包含 americas.example.com 和 emea.example.com 等子域。如果使用 example.com,则将不包含任何子域。
对 ESXi 主机执行 vMotion 操作期间,会一直保留基于 FQDN 的规则。
过程
- 从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>。
- 导航到。
- 按照添加分布式防火墙中的步骤添加防火墙策略区域。还可以使用现有的防火墙策略区域。
- 选择新的或现有的防火墙策略区域,然后单击添加规则首先创建 DNS 防火墙规则。
- 提供防火墙规则的名称,例如 DNS 规则,并提供以下详细信息:
选项 说明 服务 单击编辑图标,然后选择适用于环境的 DNS 或 DNS-UDP 服务。 配置文件 单击编辑图标并选择 DNS 上下文配置文件。这是预先创建的,默认情况下可用于您的部署。 应用对象 根据需要选择一个组。 操作 选择允许。 - 再次单击添加规则以设置 FQDN 允许列表或拒绝列表规则。
- 相应地命名规则,例如 FQDN/URL 允许列表。将此规则拖动到此策略区域下的 DNS 规则下。
- 提供以下详细信息:
选项 说明 服务 单击编辑图标并选择要与此规则关联的服务,例如 HTTP。 配置文件 单击编辑图标,然后单击添加新的上下文配置文件。单击名为属性的列,然后选择域名 (FQDN)。从预定义列表中选择属性名称/值列表。单击添加。请参见添加上下文配置文件以了解详细信息。 应用对象 根据需要选择 DFW 或一个组。 操作 选择允许、丢弃或拒绝。 - 单击发布。
