设置分布式防火墙规则,以筛选使用完全限定域名标识的特定域,例如 *.office365.com。
您必须先设置一个 DNS 规则,然后在该规则下面设置 FQDN 允许列表或拒绝列表规则。NSX 使用 DNS 响应(从 DNS 服务器到虚拟机的响应)中的生存时间 (TTL),来保留虚拟机的 DNS 到 IP 映射缓存条目。要使用 DNS 安全配置文件覆盖 DNS TTL,请参见配置 DNS 安全。要使 FQDN 筛选生效,虚拟机需要使用 DNS 服务器进行域解析(无静态 DNS 条目),并且还需要采用在 DNS 响应中收到的 TTL。DNS 侦听用于获取 IP 地址和 FQDN 之间的映射。
此功能适用于第 7 层,不包含 ICMP。如果用户为 example.com
上的所有服务创建拒绝列表规则,则当 ping example.com
响应而 curl example.com
未响应时,此功能将正常使用。
最佳做法是选择通配符 FQDN,因为此类 FQDN 包含子域。例如,如果选择 *.example.com
,则将包含 americas.example.com
和 emea.example.com
等子域。如果使用 example.com
,则将不包含任何子域。请注意,FQDN 不支持与 * 通配符匹配的多级别子域。
对 ESXi 主机执行 vMotion 操作期间,会一直保留基于 FQDN 的规则。
注: FQDN 筛选仅适用于 TCP 和 UDP 流量。
前提条件
如果 DNS 规则不存在,请创建此规则:
- 导航到 。
- 选中策略区域旁边的复选框,然后单击添加规则。
- 提供防火墙规则的名称,例如 DNS 规则,并提供以下详细信息:
变量 描述 名称 提供规则的名称,例如“L7 DNS 规则” 源 任意或特定组 目标 任意或特定组 服务 单击编辑图标,然后选择适用于您环境的 DNS-TCP 和 DNS-UDP 服务。 上下文配置文件 单击“编辑”图标,然后选择 DNS 上下文配置文件。这是系统生成的上下文配置文件,默认情况下可用于您的部署。 应用对象 根据需要选择一个组。 操作 选择允许。 - 单击发布。
过程
- 使用 admin 特权登录到 NSX Manager。
- 导航到 。
- 单击添加规则以设置 FQDN 允许列表或拒绝列表规则。
- 相应地命名规则,例如 FQDN/URL 允许列表。
- 提供以下详细信息:
选项 描述 服务 单击编辑图标,然后单击相应复选框以选择要与此规则关联的服务。单击添加,然后单击应用。 上下文配置文件 依次单击编辑图标和添加上下文配置文件,并为配置文件命名。在“属性”列中,选择 。从预定义列表中选择“属性名称/值”的列表,或创建自定义 FQDN。有关详细信息,请参见上下文配置文件。单击添加,然后单击应用。 应用对象 根据需要选择 DFW 或一个组。 操作 选择允许、丢弃或拒绝。 - 单击发布。