Définissez une règle de pare-feu distribué pour filtrer des domaines spécifiques identifiés par des noms de domaine complets ou des URL (par exemple, *.office365.com).

Une liste prédéfinie de domaines est actuellement prise en charge. Vous pouvez voir la liste des noms de domaine complets lorsque vous ajoutez un nouveau profil de contexte de type d'attribut Nom de domaine (FQDN). Vous pouvez également voir une liste de noms de domaine complets en exécutant l'appel d'API /policy/api/v1/infra/context-profiles/attributes?attribute_key=DOMAIN_NAME.

Vous devez tout d'abord définir une règle DNS et ensuite la règle de liste blanche ou de liste noire du nom de domaine complet en dessous de celle-ci. Cela se produit, car NSX-T Data Center utilise l'écoute DNS pour obtenir un mappage entre l'adresse IP et le nom de domaine complet. SpoofGuard doit être activé sur le commutateur de tous les ports logiques pour assurer la protection contre le risque d'attaques d'usurpation DNS. Une attaque d'usurpation DNS se fait lorsqu'une machine virtuelle malveillante peut injecter des réponses DNS usurpées pour rediriger le trafic vers des points de terminaison malveillants ou contourner le pare-feu. Pour plus d'informations sur SpoofGuard, reportez-vous à la section Comprendre le profil de segment SpoofGuard.

Les règles basées sur le nom de domaine complet sont conservées lors du déplacement par vMotion des hôtes ESXi.

Note : Dans la version actuelle, ESXi et KVM sont pris en charge. ESXi prend en charge l'action Abandonner/Rejeter pour les règles d'URL. KVM prend en charge la fonctionnalité de liste blanche.

Procédure

  1. Dans le navigateur, connectez-vous avec des privilèges d'administrateur à un dispositif NSX Manager sur https://<nsx-manager-ip-address>.
  2. Accédez àSécurité > Pare-feu distribué.
  3. Ajoutez une section de stratégie de pare-feu en suivant les étapes de la section Ajouter un pare-feu distribué. Une section de stratégie de pare-feu existante peut également être utilisée.
  4. Sélectionnez une nouvelle section de stratégie de pare-feu ou une section existante et cliquez sur Ajouter une règle pour créer tout d'abord la règle de pare-feu DNS.
  5. Fournissez un nom pour la règle de pare-feu (tel que Règle DNS) et indiquez les informations suivantes :
    Option Description
    Services Cliquez sur l'icône de modification et sélectionnez le service DNS ou DNS-UDP pour qu'il s'applique à votre environnement.
    Profil Cliquez sur l'icône de modification et sélectionnez le profil de contexte DNS. Il s'agit d'un profil précréé qui est disponible dans votre déploiement par défaut.
    Appliqué à Sélectionnez un groupe comme requis.
    Action Sélectionnez Autoriser.
  6. Cliquez à nouveau sur Ajouter une règle pour configurer la règle de mise sur liste blanche ou sur liste noire du nom de domaine complet.
  7. Nommez la règle de façon appropriée (par exemple, Liste blanche de noms de domaine complets/d'URL). Faites glisser la règle sous la règle DNS sous cette section de stratégie.
  8. Fournissez les détails suivants :
    Option Description
    Services Cliquez sur l'icône de modification et sélectionnez le service que vous souhaitez associer à cette règle (par exemple, HTTP).
    Profil Cliquez sur l'icône de modification et cliquez sur Ajouter un nouveau profil de contexte. Cliquez dans la colonne intitulée Attribut, puis sélectionnez Nom de domaine (FQDN). Sélectionnez la liste Nom d'attribut/valeurs dans la liste prédéfinie. Cliquez sur Ajouter. Reportez-vous à Ajouter un profil de contexte pour plus de détails.
    Appliqué à Sélectionnez DFW ou un groupe comme requis.
    Action Sélectionnez Autoriser, Abandonner ou Rejeter.
  9. Cliquez sur Publier.