Définissez une règle de pare-feu distribué pour filtrer des domaines spécifiques identifiés par un nom de domaine complet ou une URl (par exemple, *.office365.com).

Vous devez tout d'abord définir une règle DNS et ensuite la règle de mise sur liste autorisée ou sur liste bloquée du nom de domaine complet en dessous de celle-ci. NSX utilise la durée de vie (TTL) dans la réponse DNS (provenant du serveur DNS vers la machine virtuelle) pour conserver l'entrée de cache de mappage DNS vers IP pour la machine virtuelle (VM). Pour remplacer la durée de vie DNS à l'aide d'un profil de sécurité DNS, reportez-vous à la section Configurer la sécurité DNS. Pour que le filtrage de nom de domaine complet soit efficace, les machines virtuelles doivent utiliser un serveur DNS pour la résolution de domaine (aucune entrée DNS statique) et doivent également respecter le TTL reçu dans la réponse DNS. NSX-T Data Center utilise l'écoute DNS pour obtenir un mappage entre l'adresse IP et le nom de domaine complet. SpoofGuard doit être activé sur le commutateur de tous les ports logiques pour assurer la protection contre le risque d'attaques d'usurpation DNS. Une attaque d'usurpation DNS se fait lorsqu'une machine virtuelle malveillante peut injecter des réponses DNS usurpées pour rediriger le trafic vers des points de terminaison malveillants ou contourner le pare-feu. Pour plus d'informations sur SpoofGuard, reportez-vous à la section Comprendre le profil de segment SpoofGuard.

Note : Le filtrage de nom de domaine complet ne prend pas en charge les enregistrements CNAME dans DNS en tant qu'entrée de type d'attribut de nom de domaine complet dans les profils de contexte.

Cette fonctionnalité fonctionne au niveau de la couche 7 et ne couvre pas ICMP. Si un utilisateur crée une règle Liste bloquée pour tous les services sur example.com, la fonctionnalité fonctionne comme prévu si ping example.com répond, mais que curl example.com ne répond pas.

Il est préférable de sélectionner un nom de domaine complet générique , car il inclut des sous-domaines. Par exemple, la sélection de *.example.com inclut des sous-domaines tels que americas.example.com et emea.example.com. example.com n'inclut aucun sous-domaine.

Les règles basées sur le nom de domaine complet sont conservées lors du déplacement par vMotion des hôtes ESXi.

Note : Les hôtes ESXi et KVM sont pris en charge. Les hôtes KVM ne prennent en charge que la liste autorisée du nom de domaine complet. Le filtrage de noms de domaines complets est disponible uniquement avec le trafic TCP et UDP.

Conditions préalables

Pour utiliser un nom de domaine complet défini par l'utilisateur, reportez-vous à la section Ajouter un nom de domaine complet personnalisé.

Procédure

  1. Dans le navigateur, connectez-vous avec des privilèges d'administrateur à un dispositif NSX Manager sur https://<nsx-manager-ip-address>.
  2. Accédez àSécurité > Pare-feu distribué.
  3. Ajoutez une section de stratégie de pare-feu en suivant les étapes de la section Ajouter un pare-feu distribué. Une section de stratégie de pare-feu existante peut également être utilisée.
  4. Sélectionnez une nouvelle section de stratégie de pare-feu ou une section existante et cliquez sur Ajouter une règle pour créer tout d'abord la règle de pare-feu DNS.
  5. Fournissez un nom pour la règle de pare-feu (tel que Règle DNS) et indiquez les informations suivantes :
    Option Description
    Services Cliquez sur l'icône de modification et sélectionnez le service DNS ou DNS-UDP pour qu'il s'applique à votre environnement.
    Profils de contexte Cliquez sur l'icône de modification et sélectionnez le profil de contexte DNS. Il s'agit d'un profil de contexte généré par le système et qui est disponible dans votre déploiement par défaut.
    Appliqué à Sélectionnez un groupe comme requis.
    Action Sélectionnez Autoriser.
  6. Cliquez à nouveau sur Ajouter une règle pour configurer la règle de mise sur liste autorisée ou sur liste bloquée du nom de domaine complet.
  7. Nommez la règle de façon appropriée (par exemple, Liste autorisée de noms de domaine complets/d'URL). Faites glisser la règle sous la règle DNS sous cette section de stratégie.
  8. Fournissez les détails suivants :
    Option Description
    Services Cliquez sur l'icône de modification et sélectionnez le service que vous souhaitez associer à cette règle (par exemple, HTTP).
    Profils de contexte Cliquez sur l'icône Modifier et sur Ajouter un profil de contexte puis nommez le profil. Dans la colonne Attributs, sélectionnez Définir > Ajouter un attribut > Nom de domaine (FQDN). Sélectionnez la liste des noms d'attribut/valeurs dans la liste prédéfinie ou créez un nom de domaine complet personnalisé. Reportez-vous à la section Profils de contexte pour plus de détails. Cliquez sur Ajouter et Appliquer.
    Appliqué à Sélectionnez DFW ou un groupe comme requis.
    Action Sélectionnez Autoriser, Abandonner ou Rejeter.
  9. Cliquez sur Publier.