Richten Sie eine Regel für die verteilte Firewall ein, um bestimmte Domänen zu filtern, die mit einem vollqualifizierten Domänennamen identifiziert werden, z. B. *.office365.com.
Sie müssen zuerst eine DNS-Regel einrichten. Richten Sie dann unterhalb dieser Regel die FQDN-Positivlistenregel oder -Negativlistenregel ein. NSX-T Data Center verwendet in der DNS-Antwort (vom DNS-Server an die virtuelle Maschine) TTL (Time to live), um den Zuordnungs-Cache-Eintrag von DNS zu IP für die virtuelle Maschine beizubehalten. Informationen zum Überschreiben von DNS-TTL mithilfe eines DNS-Sicherheitsprofils finden Sie unter Konfigurieren der DNS-Sicherheit. Damit die FQDN-Filterung wirksam ist, müssen virtuelle Maschinen für die Domänenauflösung einen DNS-Server verwenden (keine statischen DNS-Einträge) und die in der DNS-Antwort empfangene TTL-Information berücksichtigen. NSX-T Data Center verwendet DNS-Snooping, um eine Zuordnung zwischen der IP-Adresse und dem FQDN zu erhalten.
Diese Funktion arbeitet auf Schicht 7 und bezieht sich nicht auf ICMP. Wenn ein Benutzer eine Negativlistenregel für alle Dienste auf example.com
erstellt, arbeitet die Funktion ordnungsgemäß, wenn ping example.com
antwortet, curl example.com
jedoch nicht.
Die Auswahl eines Platzhalter-FQDNs wird als Best Practice empfohlen, da dieser Unterdomänen einbezieht. Wenn Sie z. B. *.example.com
auswählen, werden Unterdomänen wie americas.example.com
und emea.example.com
einbezogen. Wenn Sie example.com
verwenden, werden keine Unterdomänen einbezogen.
FQDN-basierte Regeln werden während des vMotion-Vorgangs für ESXi-Hosts beibehalten.
Voraussetzungen
- Navigieren Sie zu .
- Aktivieren Sie das Kontrollkästchen neben dem einem Richtlinienabschnitt und klicken Sie auf Regel hinzufügen.
- Geben Sie einen Namen für die Firewallregel ein, beispielsweise DNS-Regel. Geben Sie zudem die folgenden Details an:
Variable Beschreibung Name Geben Sie einen Namen für die Regel an, z. B. „L7-DNS-Regel“ Quelle Eine oder eine bestimmte Gruppe Ziel Eine oder eine bestimmte Gruppe Dienste Klicken Sie auf das Bearbeitungssymbol und wählen Sie den DNS- und DNS-UDP-Dienst aus. Kontextprofile Klicken Sie auf das Bearbeitungssymbol und wählen Sie das DNS-Kontextprofil aus. Dies ist ein vom System generiertes Kontextprofil und standardmäßig in Ihrer Bereitstellung verfügbar. Angewendet auf Wählen Sie je nach Bedarf eine Gruppe aus. Aktion Wählen Sie Zulassen. - Klicken Sie auf Veröffentlichen.
Prozedur
- Melden Sie sich mit Administratorrechten bei NSX Manager an.
- Navigieren Sie zu .
- Klicken Sie auf Regel hinzufügen, um die Regel für die FQDN-Positivliste oder ‑Negativliste einzurichten.
- Benennen Sie die Regel mit einem aussagekräftigen Namen, beispielsweise FQDN/URL-Positivliste.
- Geben Sie die folgenden Details an:
Option Beschreibung Dienste Klicken Sie auf das Symbol „Bearbeiten“ und wählen Sie den Dienst aus, der mit dieser Regel verknüpft werden soll, z. B. „HTTP“. Kontextprofile Klicken Sie auf das Bearbeitungssymbol, wählen Sie Kontextprofil hinzufügen aus und benennen Sie das Profil. Wählen Sie in der Spalte „Attribute“ aus. Wählen Sie in der vordefinierten Liste die Liste der Attributnamen/-werte aus oder erstellen Sie einen benutzerdefinierten FQDN. Einzelheiten dazu finden Sie unter Kontextprofile. Klicken Sie auf Hinzufügen und Übernehmen. Angewendet auf Wählen Sie je nach Bedarf „DFW“ oder eine Gruppe aus. Aktion Wählen Sie Zulassen, Ablegen oder Ablehnen aus. - Klicken Sie auf Veröffentlichen.