Richten Sie eine Regel für die verteilte Firewall ein, um bestimmte Domänen zu filtern, die mit einem vollqualifizierten Domänennamen identifiziert werden, z. B. *.office365.com.

Sie müssen zuerst eine DNS-Regel einrichten. Richten Sie dann unterhalb dieser Regel die FQDN-Positivlistenregel oder -Negativlistenregel ein. NSX verwendet in der DNS-Antwort (vom DNS-Server an die virtuelle Maschine) TTL (Time to live), um den Zuordnungs-Cache-Eintrag von DNS zu IP für die virtuelle Maschine beizubehalten. Informationen zum Überschreiben von DNS-TTL mithilfe eines DNS-Sicherheitsprofils finden Sie unter Konfigurieren der DNS-Sicherheit. Damit die FQDN-Filterung wirksam ist, müssen virtuelle Maschinen für die Domänenauflösung einen DNS-Server verwenden (keine statischen DNS-Einträge) und die in der DNS-Antwort empfangene TTL-Information berücksichtigen. DNS-Snooping wird verwendet, um eine Zuordnung zwischen der IP-Adresse und dem FQDN zu erhalten.

Diese Funktion arbeitet auf Schicht 7 und bezieht sich nicht auf ICMP. Wenn ein Benutzer eine Negativlistenregel für alle Dienste auf example.com erstellt, arbeitet die Funktion ordnungsgemäß, wenn ping example.com antwortet, curl example.com jedoch nicht.

Die Auswahl eines Platzhalter-FQDNs wird als Best Practice empfohlen, da dieser Unterdomänen einbezieht. Wenn Sie z. B. *.example.com auswählen, werden Unterdomänen wie americas.example.com und emea.example.com einbezogen. Wenn Sie example.com verwenden, werden keine Unterdomänen einbezogen.

FQDN-basierte Regeln werden während des vMotion-Vorgangs für ESXi-Hosts beibehalten.

Hinweis: FQDN-Filterung ist nur für TCP- und UDP-Datenverkehr verfügbar.

Voraussetzungen

Informationen zum Verwenden eines benutzerdefinierten FQDN finden Sie unter FQDNs.
Erstellen Sie eine DNS-Regel, falls nicht bereits vorhanden:
  1. Navigieren Sie zu Sicherheit > Verteilte Firewall.
  2. Aktivieren Sie das Kontrollkästchen neben einem Richtlinienabschnitt und klicken Sie auf Regel hinzufügen.
  3. Geben Sie einen Namen für die Firewallregel ein, beispielsweise DNS-Regel. Geben Sie zudem die folgenden Details an:
    Variable Beschreibung
    Name Geben Sie einen Namen für die Regel an, z. B. „L7-DNS-Regel“
    Quelle Eine oder eine bestimmte Gruppe
    Ziel Eine oder eine bestimmte Gruppe
    Dienste Klicken Sie auf das Bearbeitungssymbol und wählen Sie den DNS-TCP- oder DNS-UDP-Dienst aus, je nachdem, was für Ihre Umgebung zutreffend ist.
    Kontextprofile Klicken Sie auf das Bearbeitungssymbol und wählen Sie das DNS-Kontextprofil aus. Dies ist ein vom System generiertes Kontextprofil und standardmäßig in Ihrer Bereitstellung verfügbar.
    Angewendet auf Wählen Sie je nach Bedarf eine Gruppe aus.
    Aktion Wählen Sie Zulassen.
  4. Klicken Sie auf Veröffentlichen.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Navigieren Sie zu Sicherheit > Verteilte Firewall.
  3. Klicken Sie auf Regel hinzufügen, um die Regel für die FQDN-Positivliste oder ‑Negativliste einzurichten.
  4. Benennen Sie die Regel mit einem aussagekräftigen Namen, beispielsweise FQDN/URL-Positivliste.
  5. Geben Sie die folgenden Details an:
    Option Beschreibung
    Dienste Klicken Sie auf das Bearbeitungssymbol und wählen Sie den Dienst aus, den Sie dieser Regel zuordnen möchten, indem Sie auf das Kontrollkästchen klicken. Klicken Sie auf Hinzufügen und Übernehmen.
    Kontextprofile Klicken Sie auf das Bearbeitungssymbol, wählen Sie dann Kontextprofil hinzufügen aus und benennen Sie das Profil. Wählen Sie in der Spalte „Attribute“ Festlegen > Attribut hinzufügen > Domänenname (FQDN) aus. Wählen Sie in der vordefinierten Liste die Liste der Attributnamen/-werte aus oder erstellen Sie einen benutzerdefinierten FQDN. Einzelheiten dazu finden Sie unter Kontextprofile. Klicken Sie auf Hinzufügen und Übernehmen.
    Angewendet auf Wählen Sie je nach Bedarf „DFW“ oder eine Gruppe aus.
    Aktion Wählen Sie Zulassen, Ablegen oder Ablehnen aus.
  6. Klicken Sie auf Veröffentlichen.