Configurez une règle de pare-feu distribué pour qu'elle filtre les domaines spécifiques identifiés par un nom de domaine complet, par exemple, *.office365.com.

Vous devez tout d'abord définir une règle DNS et ensuite la règle de mise sur liste autorisée ou sur liste bloquée du nom de domaine complet en dessous de celle-ci. NSX utilise la durée de vie (TTL) dans la réponse DNS (provenant du serveur DNS vers la machine virtuelle) pour conserver l'entrée de cache de mappage DNS à IP pour la machine virtuelle. Pour remplacer la durée de vie DNS à l'aide d'un profil de sécurité DNS, reportez-vous à la section Configurer la sécurité DNS. Pour que le filtrage de nom de domaine complet soit efficace, les machines virtuelles doivent utiliser un serveur DNS pour la résolution de domaine (aucune entrée DNS statique) et doivent également respecter le TTL reçu dans la réponse DNS. L'écoute DNS permet d'obtenir un mappage entre l'adresse IP et le nom de domaine complet.

Cette fonctionnalité fonctionne au niveau de la couche 7 et ne couvre pas ICMP. Si un utilisateur crée une règle Liste bloquée pour tous les services sur example.com, la fonctionnalité fonctionne comme prévu si ping example.com répond, mais que curl example.com ne répond pas.

Il est préférable de sélectionner un nom de domaine complet générique , car il inclut des sous-domaines. Par exemple, la sélection de *.example.com inclut des sous-domaines tels que americas.example.com et emea.example.com. example.com n'inclut aucun sous-domaine.

Les règles basées sur le nom de domaine complet sont conservées lors du déplacement par vMotion des hôtes ESXi.

Note : Le filtrage de noms de domaines complets est disponible uniquement avec le trafic TCP et UDP.

Conditions préalables

Pour utiliser un nom de domaine complet défini par l'utilisateur, reportez-vous à la section Noms de domaine complets.
Créez une règle DNS s'il n'en existe pas déjà une :
  1. Accédez à Sécurité > Pare-feu distribué.
  2. Cochez la case en regard de la section de stratégie et cliquez sur Ajouter une règle.
  3. Fournissez un nom pour la règle de pare-feu (tel que Règle DNS) et indiquez les informations suivantes :
    Variable Description
    Nom Fournissez un nom pour la règle, tel que Règle DNS L7
    Source Quelconque ou groupe spécifique
    Destination Quelconque ou groupe spécifique
    Services Cliquez sur l'icône de modification et sélectionnez le service DNS-TCP et DNS-UDP selon les besoins de votre environnement.
    Profils de contexte Cliquez sur l'icône de modification et sélectionnez le profil de contexte DNS. Il s'agit d'un profil de contexte généré par le système et qui est disponible dans votre déploiement par défaut.
    Appliqué à Sélectionnez un groupe comme requis.
    Action Sélectionnez Autoriser.
  4. Cliquez sur Publier.

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Accédez àSécurité > Pare-feu distribué.
  3. Cliquez sur Ajouter une règle pour configurer la règle de mise sur liste autorisée ou sur liste bloquée du nom de domaine complet.
  4. Nommez la règle de façon appropriée (par exemple, Liste autorisée de noms de domaine complets/d'URL).
  5. Fournissez les détails suivants :
    Option Description
    Services Cliquez sur l'icône Modifier et sélectionnez le service que vous souhaitez associer à cette règle en cochant la case. Cliquez sur Ajouter et Appliquer.
    Profils de contexte Cliquez sur l'icône Modifier, puis sur Ajouter un profil de contexte et nommez le profil. Dans la colonne Attributs, sélectionnez Définir > Ajouter un attribut > Nom de domaine (FQDN). Sélectionnez la liste des noms d'attribut/valeurs dans la liste prédéfinie ou créez un nom de domaine complet personnalisé. Pour plus d'informations, reportez-vous à la section Profils de contexte. Cliquez sur Ajouter et Appliquer.
    Appliqué à Sélectionnez DFW ou un groupe comme requis.
    Action Sélectionnez Autoriser, Abandonner ou Rejeter.
  6. Cliquez sur Publier.