Configure una regla de firewall distribuido para filtrar dominios específicos identificados con un nombre de dominio completo (por ejemplo, *.office365.com).
Primero debe configurar una regla DNS y, a continuación, la regla de adición a la lista de permitidos o no permitidos de FQDN debajo de ella. NSX usa el tiempo de vida (TTL) en la respuesta de DNS (que proviene del servidor DNS a la máquina virtual) para mantener la entrada de memoria caché de asignación de DNS a IP para la máquina virtual. Para anular el TTL de DNS mediante un perfil de seguridad de DNS, consulte Configurar la seguridad de DNS. Para que el filtrado de FQDN sea efectivo, las máquinas virtuales deben utilizar un servidor DNS para la resolución de dominio (sin entradas de DNS estáticas) y también deben respetar el TTL recibido en la respuesta de DNS. La intromisión de DNS se utiliza para obtener una asignación entre la dirección IP y el FQDN.
Esta función opera en la capa 7 y no incluye ICMP. Si un usuario crea una regla de lista de denegación para todos los servicios de example.com
, la función está operando de la manera prevista si el ping example.com
responde, pero curl example.com
no.
Una práctica recomendada es seleccionar un FQDN comodín, ya que incluye subdominios. Por ejemplo, si selecciona *.example.com
, se incluirán subdominios, como americas.example.com
y emea.example.com
. Si usa example.com
, no se incluirá ningún subdominio. Tenga en cuenta que el FQDN no admite subdominios multinivel que coincidan con el comodín *.
Las reglas basadas en FQDN se conservan durante vMotion para los hosts ESXi.
Requisitos previos
- Vaya a .
- Active la casilla que aparece junto a la sección de directiva y haga clic en Agregar regla.
- Proporcione un nombre para la regla de firewall, como Regla DNS, y proporcione los siguientes detalles:
Variable Descripción Nombre Proporcione un nombre para la regla, como Regla DNS de capa 7 Origen Cualquiera o grupo específico Destino Cualquiera o grupo específico Servicios Haga clic en el icono de edición y seleccione el servicio de DNS-TCP y DNS-UDP según corresponda en su entorno. Perfiles de contexto Haga clic en el icono de edición y seleccione el perfil de contexto de DNS. Es un perfil de contexto generado por el sistema y está disponible en la implementación de forma predeterminada. Se aplica a Seleccione un grupo según corresponda. Acción Seleccione Permitir. - Haga clic en Publicar.
Procedimiento
- Con privilegios de administrador, inicie sesión en NSX Manager.
- Vaya a .
- Haga clic en Agregar regla para configurar la regla de adición a la lista de permitidos o no permitidos de FQDN.
- Asigne un nombre correcto a la regla, como Lista de permitidos de FQDN/URL.
- Proporcione los siguientes detalles:
Opción Descripción Servicios Haga clic en el icono de edición y seleccione el servicio que desea asociar con esta regla marcando la casilla de verificación. Haga clic en Agregar y en Aplicar. Perfiles de contexto Haga clic en el icono Editar, seleccione Agregar perfil de contexto y asigne un nombre al perfil. En la columna Atributos, seleccione . Seleccione la lista de nombres/valores de atributo de la lista predefinida o cree un FQDN personalizado. Consulte Perfiles de contexto para obtener información detallada. Haga clic en Agregar y en Aplicar. Se aplica a Seleccione DFW o un grupo según corresponda. Acción Seleccione Permitir, Anular o Rechazar. - Haga clic en Publicar.