Configure una regla de firewall distribuido para filtrar dominios específicos identificados con un nombre de dominio completo (por ejemplo, *.office365.com).

Primero debe configurar una regla DNS y, a continuación, la regla de adición a la lista de permitidos o no permitidos de FQDN debajo de ella. NSX usa el tiempo de vida (TTL) en la respuesta de DNS (que proviene del servidor DNS a la máquina virtual) para mantener la entrada de memoria caché de asignación de DNS a IP para la máquina virtual. Para anular el TTL de DNS mediante un perfil de seguridad de DNS, consulte Configurar la seguridad de DNS. Para que el filtrado de FQDN sea efectivo, las máquinas virtuales deben utilizar un servidor DNS para la resolución de dominio (sin entradas de DNS estáticas) y también deben respetar el TTL recibido en la respuesta de DNS. La intromisión de DNS se utiliza para obtener una asignación entre la dirección IP y el FQDN.

Esta función opera en la capa 7 y no incluye ICMP. Si un usuario crea una regla de lista de denegación para todos los servicios de example.com, la función está operando de la manera prevista si el ping example.com responde, pero curl example.com no.

Una práctica recomendada es seleccionar un FQDN comodín, ya que incluye subdominios. Por ejemplo, si selecciona *.example.com, se incluirán subdominios, como americas.example.com y emea.example.com. Si usa example.com, no se incluirá ningún subdominio. Tenga en cuenta que el FQDN no admite subdominios multinivel que coincidan con el comodín *.

Las reglas basadas en FQDN se conservan durante vMotion para los hosts ESXi.

Nota: El filtrado de FQDN solo está disponible con el tráfico TCP y UDP.

Requisitos previos

Para utilizar un FQDN definido por el usuario, consulte FQDN.
Cree una regla de DNS si aún no existe:
  1. Vaya a Seguridad > Firewall distribuido.
  2. Active la casilla que aparece junto a la sección de directiva y haga clic en Agregar regla.
  3. Proporcione un nombre para la regla de firewall, como Regla DNS, y proporcione los siguientes detalles:
    Variable Descripción
    Nombre Proporcione un nombre para la regla, como Regla DNS de capa 7
    Origen Cualquiera o grupo específico
    Destino Cualquiera o grupo específico
    Servicios Haga clic en el icono de edición y seleccione el servicio de DNS-TCP y DNS-UDP según corresponda en su entorno.
    Perfiles de contexto Haga clic en el icono de edición y seleccione el perfil de contexto de DNS. Es un perfil de contexto generado por el sistema y está disponible en la implementación de forma predeterminada.
    Se aplica a Seleccione un grupo según corresponda.
    Acción Seleccione Permitir.
  4. Haga clic en Publicar.

Procedimiento

  1. Con privilegios de administrador, inicie sesión en NSX Manager.
  2. Vaya a Seguridad > Firewall distribuido.
  3. Haga clic en Agregar regla para configurar la regla de adición a la lista de permitidos o no permitidos de FQDN.
  4. Asigne un nombre correcto a la regla, como Lista de permitidos de FQDN/URL.
  5. Proporcione los siguientes detalles:
    Opción Descripción
    Servicios Haga clic en el icono de edición y seleccione el servicio que desea asociar con esta regla marcando la casilla de verificación. Haga clic en Agregar y en Aplicar.
    Perfiles de contexto Haga clic en el icono Editar, seleccione Agregar perfil de contexto y asigne un nombre al perfil. En la columna Atributos, seleccione Establecer > Agregar atributo > Nombre de dominio (FQDN). Seleccione la lista de nombres/valores de atributo de la lista predefinida o cree un FQDN personalizado. Consulte Perfiles de contexto para obtener información detallada. Haga clic en Agregar y en Aplicar.
    Se aplica a Seleccione DFW o un grupo según corresponda.
    Acción Seleccione Permitir, Anular o Rechazar.
  6. Haga clic en Publicar.