Configurez une règle de pare-feu distribué pour qu'elle filtre les domaines spécifiques identifiés par un nom de domaine complet, par exemple, *.office365.com.
Vous devez tout d'abord définir une règle DNS et ensuite la règle de mise sur liste autorisée ou sur liste bloquée du nom de domaine complet en dessous de celle-ci. NSX utilise la durée de vie (TTL) dans la réponse DNS (provenant du serveur DNS vers la machine virtuelle) pour conserver l'entrée de cache de mappage DNS à IP pour la machine virtuelle. Pour remplacer la durée de vie DNS à l'aide d'un profil de sécurité DNS, reportez-vous à la section Configurer la sécurité DNS. Pour que le filtrage de nom de domaine complet soit efficace, les machines virtuelles doivent utiliser un serveur DNS pour la résolution de domaine (aucune entrée DNS statique) et doivent également respecter le TTL reçu dans la réponse DNS. L'écoute DNS permet d'obtenir un mappage entre l'adresse IP et le nom de domaine complet.
Cette fonctionnalité fonctionne au niveau de la couche 7 et ne couvre pas ICMP. Si un utilisateur crée une règle Liste bloquée pour tous les services sur example.com
, la fonctionnalité fonctionne comme prévu si ping example.com
répond, mais que curl example.com
ne répond pas.
Il est préférable de sélectionner un nom de domaine complet générique , car il inclut des sous-domaines. Par exemple, la sélection de *.example.com
inclut des sous-domaines tels que americas.example.com
et emea.example.com
. example.com
n'inclut aucun sous-domaine. Notez que le nom de domaine complet ne prend pas en charge les sous-domaines multiniveau correspondant au caractère générique *.
Les règles basées sur le nom de domaine complet sont conservées lors du déplacement par vMotion des hôtes ESXi.
Conditions préalables
- Accédez à .
- Cochez la case en regard de la section de stratégie et cliquez sur Ajouter une règle.
- Fournissez un nom pour la règle de pare-feu (tel que Règle DNS) et indiquez les informations suivantes :
Variable Description Nom Fournissez un nom pour la règle, tel que Règle DNS L7 Source Quelconque ou groupe spécifique Destination Quelconque ou groupe spécifique Services Cliquez sur l'icône de modification et sélectionnez le service DNS-TCP et DNS-UDP selon les besoins de votre environnement. Profils de contexte Cliquez sur l'icône de modification et sélectionnez le profil de contexte DNS. Il s'agit d'un profil de contexte généré par le système et qui est disponible dans votre déploiement par défaut. Appliqué à Sélectionnez un groupe comme requis. Action Sélectionnez Autoriser. - Cliquez sur Publier.
Procédure
- Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
- Accédez à .
- Cliquez sur Ajouter une règle pour configurer la règle de mise sur liste autorisée ou sur liste bloquée du nom de domaine complet.
- Nommez la règle de façon appropriée (par exemple, Liste autorisée de noms de domaine complets/d'URL).
- Fournissez les détails suivants :
Option Description Services Cliquez sur l'icône Modifier et sélectionnez le service que vous souhaitez associer à cette règle en cochant la case. Cliquez sur Ajouter et Appliquer. Profils de contexte Cliquez sur l'icône Modifier, puis sur Ajouter un profil de contexte et nommez le profil. Dans la colonne Attributs, sélectionnez . Sélectionnez la liste des noms d'attribut/valeurs dans la liste prédéfinie ou créez un nom de domaine complet personnalisé. Pour plus d'informations, reportez-vous à la section Profils de contexte. Cliquez sur Ajouter et Appliquer. Appliqué à Sélectionnez DFW ou un groupe comme requis. Action Sélectionnez Autoriser, Abandonner ou Rejeter. - Cliquez sur Publier.