Configure una regla de firewall distribuido para filtrar dominios específicos identificados con un nombre de dominio completo o URI (por ejemplo, *.office365.com).

Primero debe configurar una regla DNS y, a continuación, la regla de adición a la lista de permitidos o no permitidos de FQDN debajo de ella. Esto se debe a que NSX-T Data Center utiliza la intromisión de DNS para obtener una asignación entre la dirección IP y el FQDN. SpoofGuard debe habilitarse en todo el conmutador de todos los puertos lógicos para protegerse frente al riesgo de ataques de suplantación de DNS. Un ataque de suplantación de DNS consiste en que una máquina virtual malintencionada inyecta respuestas de DNS falsas para redireccionar el tráfico a endpoints malintencionados o evitar el firewall. Para obtener más información sobre SpooGuard, consulte Información sobre el perfil de segmentos de Spoofguard.

Esta función opera en la capa 7 y no incluye ICMP. Si un usuario crea una regla de lista de denegación para todos los servicios de example.com, la función está operando de la manera prevista si el ping example.com responde, pero curl example.com no.

Una práctica recomendada es seleccionar un FQDN comodín, ya que incluye subdominios. Por ejemplo, si selecciona *example.com, se incluirán subdominios, como americas.example.com y emea.example.com. Si usa example.com, no se incluirá ningún subdominio.

Las reglas basadas en FQDN se conservan durante vMotion para los hosts ESXi.

Nota: Se admiten los hosts ESXi y KVM. Los hosts de KVM solo admiten la lista de permitidos de FQDN. El filtrado de FQDN solo está disponible con el tráfico TCP y UDP.

Requisitos previos

Para utilizar un FQDN definido por el usuario, consulte Agregar un FQDN personalizado.

Procedimiento

  1. En un explorador, acceda a https://<dirección-ip-de-nsx-manager> e inicie sesión en NSX Manager con privilegios de administrador.
  2. Vaya a Seguridad > Firewall distribuido.
  3. Agregue una sección de directiva de firewall siguiendo los pasos que se describen en Agregar un firewall distribuido. También se puede utilizar una sección de directiva de firewall existente.
  4. Elija la sección de directiva de firewall nueva o una ya existente, y haga clic en Agregar regla para crear primero la regla de firewall DNS.
  5. Proporcione un nombre para la regla de firewall, como Regla DNS, y proporcione los siguientes detalles:
    Opción Descripción
    Servicios Haga clic en el icono de edición y seleccione el servicio de DNS o DNS-UDP según corresponda en su entorno.
    Perfiles de contexto Haga clic en el icono de edición y seleccione el perfil de contexto de DNS. Es un perfil de contexto generado por el sistema y está disponible en la implementación de forma predeterminada.
    Se aplica a Seleccione un grupo según corresponda.
    Acción Seleccione Permitir.
  6. Vuelva a hacer clic en Agregar regla para configurar la regla de adición a la lista de permitidos o no permitidos de FQDN.
  7. Asigne un nombre correcto a la regla, como Lista de permitidos de FQDN/URL. Arrastre la regla debajo de la regla DNS en esta sección de directiva.
  8. Proporcione los siguientes detalles:
    Opción Descripción
    Servicios Haga clic en el icono de edición y seleccione el servicio que desea asociar con esta regla (por ejemplo, HTTP).
    Perfiles de contexto Haga clic en el icono Editar y en Agregar perfil de contexto y asigne un nombre al perfil. En la columna Atributos, seleccione Establecer > Agregar atributo > Nombre de dominio (FQDN). Seleccione la lista de nombres/valores de atributo de la lista predefinida o cree un FQDN personalizado. Consulte Perfiles de contexto para obtener detalles. Haga clic en Agregar y en Aplicar.
    Se aplica a Seleccione DFW o un grupo según corresponda.
    Acción Seleccione Permitir, Anular o Rechazar.
  9. Haga clic en Publicar.