Configurare una regola del firewall distribuito per filtrare domini specifici identificati con un nome di dominio completo o, ad esempio *. office365.com.

È necessario configurare prima una regola DNS, quindi la regola dell'elenco di elementi consentiti o vietati del nome di dominio completo che segue. NSX-T Data Center utilizza il TTL (Time to live) nella risposta DNS (proveniente dal server DNS alla macchina virtuale) per mantenere la voce della cache di mappatura da DNS a IP per la macchina virtuale. Per sostituire il TTL DNS utilizzando un profilo di sicurezza DNS, vedere Configurazione della sicurezza DNS. Affinché il filtro FQDN sia effettivo, le macchine virtuali devono utilizzare un server DNS per la risoluzione del dominio (senza voci DNS statiche) e devono anche rispettare il TTL ricevuto nella risposta DNS. NSX-T Data Center utilizza lo snooping DNS per ottenere una mappatura tra l'indirizzo IP e il nome di dominio completo.

Nota: Il filtro FQDN non supporta i record CNAME in DNS come voce del tipo di attributo FQDN nei profili di contesto.

Questa funzionalità funziona al livello 7 e non copre ICMP. Se un utente crea una regola di elenco di elementi non consentiti per tutti i servizi in example.com la funzionalità funziona come previsto se il ping di example.com risponde, ma il curl di example.com no.

La selezione del nome di dominio completo con caratteri jolly è una procedura consigliata perché include i sottodomini. Ad esempio, selezionando *.example.com, verranno inclusi sottodomini come americas.example.com e emea.example.com. Se si utilizza example.com, non viene incluso alcun sottodominio.

Le regole basate su FQDN vengono conservate durante il vMotion per gli host ESXi.

Nota: Sono supportati gli host ESXi e KVM. Gli host KVM supportano solo l'elenco degli elementi consentiti del nome di dominio completo. Il filtro FQDN è disponibile solo con il traffico TCP e UDP.

Prerequisiti

Per utilizzare un nome di dominio completo definito dall'utente, vedere FQDN.
Creare una regola DNS se non esiste già:
  1. Passare a Sicurezza > Firewall distribuito.
  2. Selezionare la casella di controllo accanto alla sezione del criterio e fare clic su Aggiungi regola.
  3. Specificare un nome per la regola firewall, ad esempio regola DNS, e fornire i seguenti dettagli:
    Variabile Descrizione
    Nome Specificare un nome per la regola, ad esempio Regola DNS L7
    Origine Qualsiasi o gruppo specifico
    Destinazione Qualsiasi o gruppo specifico
    Servizi Fare clic sull'icona di modifica e selezionare il servizio DNS e DNS-UDP.
    Profili di contesto Fare clic sull'icona di modifica e selezionare il profilo di contesto DNS. Si tratta di un profilo di contesto generato dal sistema ed è disponibile nella distribuzione per impostazione predefinita.
    Si applica a Selezionare un gruppo come richiesto.
    Azione Selezionare Consenti.
  4. Fare clic su Pubblica.

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Passare a Sicurezza > Firewall distribuito.
  3. Fare clic su Aggiungi regola per configurare l'elenco degli indirizzi consentiti o vietati del nome di dominio completo.
  4. Assegnare un nome appropriato alla regola, ad esempio Lista consentita FQDN/URL.
  5. Specificare i dettagli seguenti:
    Opzione Descrizione
    Servizi Fare clic sull'icona di modifica e selezionare il servizio che si desidera associare a questa regola, ad esempio HTTP.
    Profili di contesto Fare clic sull'icona di modifica e su Aggiungi profilo di contesto e denominare il profilo. Nella colonna Attributi selezionare Imposta > > Aggiungi attributoNome dominio (FQDN). Selezionare l'elenco Nome attributo/valori dall'elenco predefinito o creare un nome di dominio completo personalizzato. Per i dettagli, consultare Profili di contesto. Fare clic su Aggiungi e su Applica.
    Si applica a Selezionare DFW o un gruppo in base alle esigenze.
    Azione Selezionare Consenti, Elimina o Rifiuta.
  6. Fare clic su Pubblica.