Configure una regla de firewall distribuido para filtrar dominios específicos identificados con FQDN o URL (por ejemplo, *.office365.com).

Actualmente se admite una lista predefinida de dominios. Puede ver la lista de FQDN cuando agrega un nuevo perfil de contexto del tipo de atributo Nombre de dominio (FQDN). También puede ver una lista de FQDN ejecutando la llamada API /policy/api/v1/infra/context-profiles/attributes?attribute_key=DOMAIN_NAME.

Primero debe configurar una regla DNS y, a continuación, la regla de adición a la lista de permitidos o no permitidos de FQDN debajo de ella. NSX-T Data Center usa el tiempo de vida (TTL) en la respuesta de DNS (que proviene del servidor DNS a la máquina virtual) para mantener la entrada de memoria caché de asignación de DNS a IP para la máquina virtual. Para anular el TTL de DNS mediante un perfil de seguridad de DNS, consulte Configurar la seguridad de DNS. Para que el filtrado de FQDN sea efectivo, las máquinas virtuales deben utilizar un servidor DNS para la resolución de dominio (sin entradas de DNS estáticas) y también deben respetar el TTL recibido en la respuesta de DNS. NSX-T Data Center utiliza la intromisión de DNS para obtener una asignación entre la dirección IP y el FQDN. SpoofGuard debe habilitarse en todo el conmutador de todos los puertos lógicos para protegerse frente al riesgo de ataques de suplantación de DNS. Un ataque de suplantación de DNS consiste en que una máquina virtual malintencionada inyecta respuestas de DNS falsas para redireccionar el tráfico a endpoints malintencionados o evitar el firewall. Para obtener más información sobre SpooGuard, consulte Información sobre el perfil de segmentos de Spoofguard.

Esta función opera en la capa 7 y no incluye ICMP. Si un usuario crea una regla de lista de denegación para todos los servicios de example.com, la función está operando de la manera prevista si el ping example.com responde, pero curl example.com no.

Una práctica recomendada es seleccionar un FQDN comodín, ya que incluye subdominios. Por ejemplo, si selecciona *example.com, se incluirán subdominios, como americas.example.com y emea.example.com. Si usa example.com, no se incluirá ningún subdominio.

Las reglas basadas en FQDN se conservan durante vMotion para los hosts ESXi.

Nota: Se admiten los hosts ESXi y KVM. Los hosts de KVM solo admiten la lista de permitidos de FQDN. El filtrado de FQDN solo está disponible con el tráfico TCP y UDP.

Procedimiento

  1. En un explorador, acceda a https://<dirección-ip-de-nsx-manager> e inicie sesión en NSX Manager con privilegios de administrador.
  2. Vaya a Seguridad > Firewall distribuido.
  3. Agregue una sección de directiva de firewall siguiendo los pasos que se describen en Agregar un firewall distribuido. También se puede utilizar una sección de directiva de firewall existente.
  4. Elija la sección de directiva de firewall nueva o una ya existente, y haga clic en Agregar regla para crear primero la regla de firewall DNS.
  5. Proporcione un nombre para la regla de firewall, como Regla DNS, y proporcione los siguientes detalles:
    Opción Descripción
    Servicios Haga clic en el icono de edición y seleccione el servicio de DNS o DNS-UDP según corresponda en su entorno.
    Perfil Haga clic en el icono de edición y seleccione el perfil de contexto de DNS. Este se crea previamente y está disponible en la implementación de forma predeterminada.
    Se aplica a Seleccione un grupo según corresponda.
    Acción Seleccione Permitir.
  6. Vuelva a hacer clic en Agregar regla para configurar la regla de adición a la lista de permitidos o no permitidos de FQDN.
  7. Asigne un nombre correcto a la regla, como Lista de permitidos de FQDN/URL. Arrastre la regla debajo de la regla DNS en esta sección de directiva.
  8. Proporcione los siguientes detalles:
    Opción Descripción
    Servicios Haga clic en el icono de edición y seleccione el servicio que desea asociar con esta regla (por ejemplo, HTTP).
    Perfil Haga clic en el icono de edición y en Agregar nuevo perfil de contexto. Haga clic en la columna denominada Atributo y seleccione Nombre de dominio (FQDN). Seleccione la lista de nombres o valores de atributos de la lista predefinida. Haga clic en Agregar. Consulte Agregar un perfil de contexto para obtener detalles.
    Se aplica a Seleccione DFW o un grupo según corresponda.
    Acción Seleccione Permitir, Anular o Rechazar.
  9. Haga clic en Publicar.