Définissez une règle de pare-feu distribué pour filtrer des domaines spécifiques identifiés par des noms de domaine complets ou des URL (par exemple, *.office365.com).

Une liste prédéfinie de domaines est actuellement prise en charge. Vous pouvez voir la liste des noms de domaine complets lorsque vous ajoutez un nouveau profil de contexte de type d'attribut Nom de domaine (FQDN). Vous pouvez également voir une liste de noms de domaine complets en exécutant l'appel d'API /policy/api/v1/infra/context-profiles/attributes?attribute_key=DOMAIN_NAME.

Vous devez tout d'abord définir une règle DNS et ensuite la règle de mise sur liste autorisée ou sur liste bloquée du nom de domaine complet en dessous de celle-ci. NSX-T Data Center utilise la durée de vie (TTL) dans la réponse DNS (provenant du serveur DNS vers la machine virtuelle) pour conserver l'entrée de cache de mappage DNS vers IP pour la machine virtuelle (VM). Pour remplacer la durée de vie DNS à l'aide d'un profil de sécurité DNS, reportez-vous à la section Configurer la sécurité DNS. Pour que le filtrage de nom de domaine complet soit efficace, les machines virtuelles doivent utiliser un serveur DNS pour la résolution de domaine (aucune entrée DNS statique) et doivent également respecter le TTL reçu dans la réponse DNS. NSX-T Data Center utilise l'écoute DNS pour obtenir un mappage entre l'adresse IP et le nom de domaine complet. SpoofGuard doit être activé sur le commutateur de tous les ports logiques pour assurer la protection contre le risque d'attaques d'usurpation DNS. Une attaque d'usurpation DNS se fait lorsqu'une machine virtuelle malveillante peut injecter des réponses DNS usurpées pour rediriger le trafic vers des points de terminaison malveillants ou contourner le pare-feu. Pour plus d'informations sur SpoofGuard, reportez-vous à la section Comprendre le profil de segment SpoofGuard.

Cette fonctionnalité fonctionne au niveau de la couche 7 et ne couvre pas ICMP. Si un utilisateur crée une règle Liste bloquée pour tous les services sur example.com, la fonctionnalité fonctionne comme prévu si ping example.com répond, mais que curl example.com ne répond pas.

Il est préférable de sélectionner un nom de domaine complet générique , car il inclut des sous-domaines. Par exemple, la sélection de *example.com inclut des sous-domaines tels que americas.example.com et emea.example.com. example.com n'inclut aucun sous-domaine.

Les règles basées sur le nom de domaine complet sont conservées lors du déplacement par vMotion des hôtes ESXi.

Note : Les hôtes ESXi et KVM sont pris en charge. Les hôtes KVM ne prennent en charge que la liste autorisée du nom de domaine complet. Le filtrage de noms de domaines complets est disponible uniquement avec le trafic TCP et UDP.

Procédure

  1. Dans le navigateur, connectez-vous avec des privilèges d'administrateur à un dispositif NSX Manager sur https://<nsx-manager-ip-address>.
  2. Accédez àSécurité > Pare-feu distribué.
  3. Ajoutez une section de stratégie de pare-feu en suivant les étapes de la section Ajouter un pare-feu distribué. Une section de stratégie de pare-feu existante peut également être utilisée.
  4. Sélectionnez une nouvelle section de stratégie de pare-feu ou une section existante et cliquez sur Ajouter une règle pour créer tout d'abord la règle de pare-feu DNS.
  5. Fournissez un nom pour la règle de pare-feu (tel que Règle DNS) et indiquez les informations suivantes :
    Option Description
    Services Cliquez sur l'icône de modification et sélectionnez le service DNS ou DNS-UDP pour qu'il s'applique à votre environnement.
    Profil Cliquez sur l'icône de modification et sélectionnez le profil de contexte DNS. Il s'agit d'un profil précréé qui est disponible dans votre déploiement par défaut.
    Appliqué à Sélectionnez un groupe comme requis.
    Action Sélectionnez Autoriser.
  6. Cliquez à nouveau sur Ajouter une règle pour configurer la règle de mise sur liste autorisée ou sur liste bloquée du nom de domaine complet.
  7. Nommez la règle de façon appropriée (par exemple, Liste autorisée de noms de domaine complets/d'URL). Faites glisser la règle sous la règle DNS sous cette section de stratégie.
  8. Fournissez les détails suivants :
    Option Description
    Services Cliquez sur l'icône de modification et sélectionnez le service que vous souhaitez associer à cette règle (par exemple, HTTP).
    Profil Cliquez sur l'icône de modification et cliquez sur Ajouter un nouveau profil de contexte. Cliquez dans la colonne intitulée Attribut, puis sélectionnez Nom de domaine (FQDN). Sélectionnez la liste Nom d'attribut/valeurs dans la liste prédéfinie. Cliquez sur Ajouter. Reportez-vous à Ajouter un profil de contexte pour plus de détails.
    Appliqué à Sélectionnez DFW ou un groupe comme requis.
    Action Sélectionnez Autoriser, Abandonner ou Rejeter.
  9. Cliquez sur Publier.