Configure una regla de firewall distribuido para filtrar dominios específicos identificados con un nombre de dominio completo o URI (por ejemplo, *.office365.com).

Primero debe configurar una regla DNS y, a continuación, la regla de adición a la lista de permitidos o no permitidos de FQDN debajo de ella. NSX usa el tiempo de vida (TTL) en la respuesta de DNS (que proviene del servidor DNS a la máquina virtual) para mantener la entrada de memoria caché de asignación de DNS a IP para la máquina virtual. Para anular el TTL de DNS mediante un perfil de seguridad de DNS, consulte Configurar la seguridad de DNS. Para que el filtrado de FQDN sea efectivo, las máquinas virtuales deben utilizar un servidor DNS para la resolución de dominio (sin entradas de DNS estáticas) y también deben respetar el TTL recibido en la respuesta de DNS. NSX-T Data Center utiliza la intromisión de DNS para obtener una asignación entre la dirección IP y el FQDN. SpoofGuard debe habilitarse en todo el conmutador de todos los puertos lógicos para protegerse frente al riesgo de ataques de suplantación de DNS. Un ataque de suplantación de DNS consiste en que una máquina virtual malintencionada inyecta respuestas de DNS falsas para redireccionar el tráfico a endpoints malintencionados o evitar el firewall. Para obtener más información sobre SpooGuard, consulte Información sobre el perfil de segmentos de Spoofguard.

Nota: El filtrado de FQDN no admite registros de CNAME en DNS como la entrada de tipo de atributo de FQDN en los perfiles de contexto.

Esta función opera en la capa 7 y no incluye ICMP. Si un usuario crea una regla de lista de denegación para todos los servicios de example.com, la función está operando de la manera prevista si el ping example.com responde, pero curl example.com no.

Una práctica recomendada es seleccionar un FQDN comodín, ya que incluye subdominios. Por ejemplo, si selecciona *.example.com, se incluirán subdominios, como americas.example.com y emea.example.com. Si usa example.com, no se incluirá ningún subdominio.

Las reglas basadas en FQDN se conservan durante vMotion para los hosts ESXi.

Nota: Se admiten los hosts ESXi y KVM. Los hosts de KVM solo admiten la lista de permitidos de FQDN. El filtrado de FQDN solo está disponible con el tráfico TCP y UDP.

Requisitos previos

Para utilizar un FQDN definido por el usuario, consulte Agregar un FQDN personalizado.

Procedimiento

  1. En un explorador, acceda a https://<dirección-ip-de-nsx-manager> e inicie sesión en NSX Manager con privilegios de administrador.
  2. Vaya a Seguridad > Firewall distribuido.
  3. Agregue una sección de directiva de firewall siguiendo los pasos que se describen en Agregar un firewall distribuido. También se puede utilizar una sección de directiva de firewall existente.
  4. Elija la sección de directiva de firewall nueva o una ya existente, y haga clic en Agregar regla para crear primero la regla de firewall DNS.
  5. Proporcione un nombre para la regla de firewall, como Regla DNS, y proporcione los siguientes detalles:
    Opción Descripción
    Servicios Haga clic en el icono de edición y seleccione el servicio de DNS o DNS-UDP según corresponda en su entorno.
    Perfiles de contexto Haga clic en el icono de edición y seleccione el perfil de contexto de DNS. Es un perfil de contexto generado por el sistema y está disponible en la implementación de forma predeterminada.
    Se aplica a Seleccione un grupo según corresponda.
    Acción Seleccione Permitir.
  6. Vuelva a hacer clic en Agregar regla para configurar la regla de adición a la lista de permitidos o no permitidos de FQDN.
  7. Asigne un nombre correcto a la regla, como Lista de permitidos de FQDN/URL. Arrastre la regla debajo de la regla DNS en esta sección de directiva.
  8. Proporcione los siguientes detalles:
    Opción Descripción
    Servicios Haga clic en el icono de edición y seleccione el servicio que desea asociar con esta regla (por ejemplo, HTTP).
    Perfiles de contexto Haga clic en el icono Editar y en Agregar perfil de contexto y asigne un nombre al perfil. En la columna Atributos, seleccione Establecer > Agregar atributo > Nombre de dominio (FQDN). Seleccione la lista de nombres/valores de atributo de la lista predefinida o cree un FQDN personalizado. Consulte Perfiles de contexto para obtener detalles. Haga clic en Agregar y en Aplicar.
    Se aplica a Seleccione DFW o un grupo según corresponda.
    Acción Seleccione Permitir, Anular o Rechazar.
  9. Haga clic en Publicar.