Richten Sie eine Regel für die verteilte Firewall ein, um bestimmte Domänen zu filtern, die mit einem vollqualifizierten Domänennamen identifiziert werden, z. B. *.office365.com.

FQDN-Filterung wird nur auf der Richtlinien-API unterstützt.

Sie müssen zuerst eine DNS-Regel einrichten. Richten Sie dann unterhalb dieser Regel die FQDN-Positivlistenregel oder -Negativlistenregel ein. Der Grund hierfür ist, dass NSX-T Data Center DNS-Snooping verwendet, um eine Zuordnung zwischen der IP-Adresse und dem FQDN zu erhalten.

Diese Funktion arbeitet auf Schicht 7 und bezieht sich nicht auf ICMP. Wenn ein Benutzer eine Negativlistenregel für alle Dienste auf example.com erstellt, arbeitet die Funktion ordnungsgemäß, wenn ping example.com antwortet, curl example.com jedoch nicht.

Die Auswahl eines Platzhalter-FQDNs wird als Best Practice empfohlen, da dieser Unterdomänen einbezieht. Wenn Sie z. B. *example.com auswählen, werden Unterdomänen wie americas.example.com und emea.example.com einbezogen. Wenn Sie example.com verwenden, werden keine Unterdomänen einbezogen.

FQDN-basierte Regeln werden während des vMotion-Vorgangs für ESXi-Hosts beibehalten.

Hinweis: ESXi- und KVM-Hosts werden unterstützt. KVM-Hosts unterstützen nur die FQDN-Positivliste. FQDN-Filterung ist nur für TCP- und UDP-Datenverkehr verfügbar.

Voraussetzungen

Informationen zum Verwenden eines benutzerdefinierten FQDN finden Sie unter FQDNs.
Erstellen Sie eine DNS-Regel, falls nicht bereits vorhanden:
  1. Navigieren Sie zu Sicherheit > Verteilte Firewall.
  2. Aktivieren Sie das Kontrollkästchen neben dem einem Richtlinienabschnitt und klicken Sie auf Regel hinzufügen.
  3. Geben Sie einen Namen für die Firewallregel ein, beispielsweise DNS-Regel. Geben Sie zudem die folgenden Details an:
    Variable Beschreibung
    Name Geben Sie einen Namen für die Regel an, z. B. „L7-DNS-Regel“
    Quelle Eine oder eine bestimmte Gruppe
    Ziel Eine oder eine bestimmte Gruppe
    Dienste Klicken Sie auf das Bearbeitungssymbol und wählen Sie den DNS- oder DNS-UDP-Dienst aus, je nachdem, was für Ihre Umgebung zutreffend ist.
    Kontextprofile Klicken Sie auf das Bearbeitungssymbol und wählen Sie das DNS-Kontextprofil aus. Dies ist ein vom System generiertes Kontextprofil und standardmäßig in Ihrer Bereitstellung verfügbar.
    Angewendet auf Wählen Sie je nach Bedarf eine Gruppe aus.
    Aktion Wählen Sie Zulassen.
  4. Klicken Sie auf Veröffentlichen.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Navigieren Sie zu Sicherheit > Verteilte Firewall.
  3. Klicken Sie auf Regel hinzufügen, um die Regel für die FQDN-Positivliste oder ‑Negativliste einzurichten.
  4. Benennen Sie die Regel mit einem aussagekräftigen Namen, beispielsweise FQDN/URL-Positivliste.
  5. Geben Sie die folgenden Details an:
    Option Beschreibung
    Dienste Klicken Sie auf das Symbol „Bearbeiten“ und wählen Sie den Dienst aus, der mit dieser Regel verknüpft werden soll, z. B. „HTTP“.
    Kontextprofile Klicken Sie auf das Bearbeitungssymbol, wählen Sie Kontextprofil hinzufügen aus und benennen Sie das Profil. Wählen Sie in der Spalte „Attribute“ Festlegen > Attribut hinzufügen > Domänenname (FQDN) aus. Wählen Sie in der vordefinierten Liste die Liste der Attributnamen/-werte aus oder erstellen Sie einen benutzerdefinierten FQDN. Einzelheiten dazu finden Sie unter Kontextprofile. Klicken Sie auf Hinzufügen und Übernehmen.
    Angewendet auf Wählen Sie je nach Bedarf „DFW“ oder eine Gruppe aus.
    Aktion Wählen Sie Zulassen, Ablegen oder Ablehnen aus.
  6. Klicken Sie auf Veröffentlichen.