Richten Sie eine Regel für die verteilte Firewall ein, um bestimmte, mit FQDN/URLs identifizierte Domänen zu filtern, z. B. *.office365.com.

Derzeit wird eine vordefinierte Liste der Domänen unterstützt. Sie können die Liste der FQDNs anzeigen, wenn Sie ein neues Kontextprofil mit dem Attributtyp Domänenname (FQDN) hinzufügen. Sie können auch eine Liste der FQDNs anzeigen, indem Sie den API-Aufruf /policy/api/v1/infra/context-profiles/attributes?attribute_key=DOMAIN_NAME ausführen.

Sie müssen zuerst eine DNS-Regel einrichten. Richten Sie dann unterhalb dieser Regel die FQDN-Positivlistenregel oder -Negativlistenregel ein. NSX-T Data Center verwendet in der DNS-Antwort (vom DNS-Server an die virtuelle Maschine) TTL (Time to live), um den Zuordnungs-Cache-Eintrag von DNS zu IP für die virtuelle Maschine (VM) beizubehalten. Informationen zum Überschreiben von DNS-TTL mithilfe eines DNS-Sicherheitsprofils finden Sie unter Konfigurieren der DNS-Sicherheit. Damit die FQDN-Filterung wirksam ist, müssen virtuelle Maschinen für die Domänenauflösung einen DNS-Server verwenden (keine statischen DNS-Einträge) und die in der DNS-Antwort empfangene TTL-Information berücksichtigen. NSX-T Data Center verwendet DNS-Snooping, um eine Zuordnung zwischen der IP-Adresse und dem FQDN zu erhalten. SpoofGuard sollte Switch-übergreifend auf allen logischen Ports aktiviert werden, um sich vor dem Risiko von DNS-Spoofing-Angriffen zu schützen. Ein DNS-Spoofing-Angriff liegt vor, wenn eine bösartige VM gefälschte DNS-Antworten einfügen kann, um Datenverkehr an bösartige Endpoints umzuleiten oder die Firewall zu umgehen. Weitere Informationen zu SpoofGuard finden Sie unter Grundlegendes zum Spoofguard-Segmentprofil.

Diese Funktion arbeitet auf Schicht 7 und bezieht sich nicht auf ICMP. Wenn ein Benutzer eine Negativlistenregel für alle Dienste auf example.com erstellt, arbeitet die Funktion ordnungsgemäß, wenn ping example.com antwortet, curl example.com jedoch nicht.

Die Auswahl eines Platzhalter-FQDNs wird als Best Practice empfohlen, da dieser Unterdomänen einbezieht. Wenn Sie z. B. *example.com auswählen, werden Unterdomänen wie americas.example.com und emea.example.com einbezogen. Wenn Sie example.com verwenden, werden keine Unterdomänen einbezogen.

FQDN-basierte Regeln werden während des vMotion-Vorgangs für ESXi-Hosts beibehalten.

Hinweis: ESXi- und KVM-Hosts werden unterstützt. KVM-Hosts unterstützen nur die FQDN-Positivliste. FQDN-Filterung ist nur für TCP- und UDP-Datenverkehr verfügbar.

Prozedur

  1. Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Navigieren Sie zu Sicherheit > Verteilte Firewall.
  3. Befolgen Sie die Schritte unter Hinzufügen einer verteilten Firewall und fügen Sie einen Abschnitt für eine Firewallrichtlinie hinzu. Es kann auch ein vorhandener Firewall-Richtlinienabschnitt verwendet werden.
  4. Wählen Sie zuerst den neuen oder vorhandenen Firewallrichtlinienabschnitt aus und klicken Sie auf Regel hinzufügen, um die DNS-Firewallregel zu erstellen.
  5. Geben Sie einen Namen für die Firewallregel ein, beispielsweise DNS-Regel. Geben Sie zudem die folgenden Details an:
    Option Beschreibung
    Dienste Klicken Sie auf das Symbol „Bearbeiten“ und wählen Sie den DNS- oder DNS-UDP-Dienst aus, je nachdem, was für Ihre Umgebung zutreffend ist.
    Profil Klicken Sie auf das Symbol „Bearbeiten“ und wählen Sie die DNS-Kontextprofil aus. Dieses wird vorab erstellt und ist standardmäßig in Ihrer Bereitstellung verfügbar.
    Angewendet auf Wählen Sie je nach Bedarf eine Gruppe aus.
    Aktion Wählen Sie Zulassen.
  6. Klicken Sie noch einmal auf Regel hinzufügen, um die FQDN-Positivlistenregel oder -Negativlistenregel einzurichten.
  7. Benennen Sie die Regel mit einem aussagekräftigen Namen, beispielsweise FQDN/URL-Positivliste. Ziehen Sie die Regel unter die DNS-Regel unter diesem Richtlinienabschnitt.
  8. Geben Sie die folgenden Details an:
    Option Beschreibung
    Dienste Klicken Sie auf das Symbol „Bearbeiten“ und wählen Sie den Dienst aus, der mit dieser Regel verknüpft werden soll, z. B. „HTTP“.
    Profil Klicken Sie auf das Symbol „Bearbeiten“ und klicken Sie auf Neues Kontextprofil hinzufügen. Klicken Sie in die Spalte mit der Überschrift Attribut und wählen Sie Domänenname (FQDN) aus. Wählen Sie die Liste der Attributnamen/-werte aus der vordefinierten Liste aus. Klicken Sie auf Hinzufügen. Weitere Informationen finden Sie unter Hinzufügen eines Kontextprofils.
    Angewendet auf Wählen Sie je nach Bedarf „DFW“ oder eine Gruppe aus.
    Aktion Wählen Sie Zulassen, Ablegen oder Ablehnen aus.
  9. Klicken Sie auf Veröffentlichen.