Richten Sie eine Regel für die verteilte Firewall ein, um bestimmte Domänen zu filtern, die mit einem vollqualifizierten Domänennamen oder einer URI identifiziert werden, z. B. *.office365.com.

Sie müssen zuerst eine DNS-Regel einrichten. Richten Sie dann unterhalb dieser Regel die FQDN-Positivlistenregel oder -Negativlistenregel ein. NSX verwendet in der DNS-Antwort (vom DNS-Server an die virtuelle Maschine) TTL (Time to live), um den Zuordnungs-Cache-Eintrag von DNS zu IP für die virtuelle Maschine (VM) beizubehalten. Informationen zum Überschreiben von DNS-TTL mithilfe eines DNS-Sicherheitsprofils finden Sie unter Konfigurieren der DNS-Sicherheit. Damit die FQDN-Filterung wirksam ist, müssen virtuelle Maschinen für die Domänenauflösung einen DNS-Server verwenden (keine statischen DNS-Einträge) und die in der DNS-Antwort empfangene TTL-Information berücksichtigen. NSX-T Data Center verwendet DNS-Snooping, um eine Zuordnung zwischen der IP-Adresse und dem FQDN zu erhalten. SpoofGuard sollte Switch-übergreifend auf allen logischen Ports aktiviert werden, um sich vor dem Risiko von DNS-Spoofing-Angriffen zu schützen. Ein DNS-Spoofing-Angriff liegt vor, wenn eine bösartige VM gefälschte DNS-Antworten einfügen kann, um Datenverkehr an bösartige Endpoints umzuleiten oder die Firewall zu umgehen. Weitere Informationen zu SpoofGuard finden Sie unter Grundlegendes zum Spoofguard-Segmentprofil.

Hinweis: Die FQDN-Filterung unterstützt keine CNAME-Datensätze in DNS als Eintrag für den FQDN-Attributtyp in Kontextprofilen.

Diese Funktion arbeitet auf Schicht 7 und bezieht sich nicht auf ICMP. Wenn ein Benutzer eine Negativlistenregel für alle Dienste auf example.com erstellt, arbeitet die Funktion ordnungsgemäß, wenn ping example.com antwortet, curl example.com jedoch nicht.

Die Auswahl eines Platzhalter-FQDNs wird als Best Practice empfohlen, da dieser Unterdomänen einbezieht. Wenn Sie z. B. *.example.com auswählen, werden Unterdomänen wie americas.example.com und emea.example.com einbezogen. Wenn Sie example.com verwenden, werden keine Unterdomänen einbezogen.

FQDN-basierte Regeln werden während des vMotion-Vorgangs für ESXi-Hosts beibehalten.

Hinweis: ESXi- und KVM-Hosts werden unterstützt. KVM-Hosts unterstützen nur die FQDN-Positivliste. FQDN-Filterung ist nur für TCP- und UDP-Datenverkehr verfügbar.

Voraussetzungen

Informationen zum Verwenden eines benutzerdefinierten FQDN finden Sie unter Hinzufügen eines benutzerdefinierten FQDN.

Prozedur

  1. Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Navigieren Sie zu Sicherheit > Verteilte Firewall.
  3. Befolgen Sie die Schritte unter Hinzufügen einer verteilten Firewall und fügen Sie einen Abschnitt für eine Firewallrichtlinie hinzu. Es kann auch ein vorhandener Firewall-Richtlinienabschnitt verwendet werden.
  4. Wählen Sie zuerst den neuen oder vorhandenen Firewallrichtlinienabschnitt aus und klicken Sie auf Regel hinzufügen, um die DNS-Firewallregel zu erstellen.
  5. Geben Sie einen Namen für die Firewallregel ein, beispielsweise DNS-Regel. Geben Sie zudem die folgenden Details an:
    Option Beschreibung
    Dienste Klicken Sie auf das Bearbeitungssymbol und wählen Sie den DNS- oder DNS-UDP-Dienst aus, je nachdem, was für Ihre Umgebung zutreffend ist.
    Kontextprofile Klicken Sie auf das Bearbeitungssymbol und wählen Sie das DNS-Kontextprofil aus. Dies ist ein vom System generiertes Kontextprofil und standardmäßig in Ihrer Bereitstellung verfügbar.
    Angewendet auf Wählen Sie je nach Bedarf eine Gruppe aus.
    Aktion Wählen Sie Zulassen.
  6. Klicken Sie erneut auf Regel hinzufügen, um die Regel für die FQDN-Positivliste oder -Negativliste einzurichten.
  7. Benennen Sie die Regel mit einem aussagekräftigen Namen, beispielsweise FQDN/URL-Positivliste. Ziehen Sie die Regel unter die DNS-Regel unter diesem Richtlinienabschnitt.
  8. Geben Sie die folgenden Details an:
    Option Beschreibung
    Dienste Klicken Sie auf das Symbol „Bearbeiten“ und wählen Sie den Dienst aus, der mit dieser Regel verknüpft werden soll, z. B. „HTTP“.
    Kontextprofile Klicken Sie auf das Bearbeitungssymbol, wählen Sie Kontextprofil hinzufügen aus und benennen Sie das Profil. Wählen Sie in der Spalte „Attribute“ Festlegen > Attribut hinzufügen > Domänenname (FQDN) aus. Wählen Sie in der vordefinierten Liste die Liste der Attributnamen/-werte aus oder erstellen Sie einen benutzerdefinierten FQDN. Weitere Informationen finden Sie unter Kontextprofile. Klicken Sie auf Hinzufügen und Übernehmen.
    Angewendet auf Wählen Sie je nach Bedarf „DFW“ oder eine Gruppe aus.
    Aktion Wählen Sie Zulassen, Ablegen oder Ablehnen aus.
  9. Klicken Sie auf Veröffentlichen.