Configurare una regola del firewall distribuito per filtrare domini specifici identificati con un nome di dominio completo o, ad esempio *. office365.com.

È necessario configurare prima una regola DNS, quindi la regola dell'elenco di elementi consentiti o vietati del nome di dominio completo che segue. NSX utilizza il TTL (Time to live) nella risposta DNS (proveniente dal server DNS alla macchina virtuale) per mantenere la voce della cache di mappatura da DNS a IP per la macchina virtuale. Per sovrascrivere il TTL DNS utilizzando un profilo di sicurezza DNS, consultare Configurazione della sicurezza DNS. Affinché il filtro FQDN sia effettivo, le macchine virtuali devono utilizzare un server DNS per la risoluzione del dominio (senza voci DNS statiche) e devono anche rispettare il TTL ricevuto nella risposta DNS. Lo snooping DNS viene utilizzato per ottenere una mappatura tra l'indirizzo IP e il nome di dominio completo.

Questa funzionalità funziona al livello 7 e non copre ICMP. Se un utente crea una regola di lista vietata per tutti i servizi in example.com la funzionalità funziona come previsto se il ping di example.com risponde, ma il curl di example.com no.

La selezione del nome di dominio completo con caratteri jolly è una procedura consigliata perché include i sottodomini. Ad esempio, selezionando *.example.com, verranno inclusi sottodomini come americas.example.com e emea.example.com. Se si utilizza example.com, non viene incluso alcun sottodominio. Si tenga presente che il nome di dominio completo (FQDN) non supporta i sottodomini multilivello che corrispondono al carattere jolly *.

Le regole basate su FQDN vengono conservate durante il vMotion per gli host ESXi.

Nota: Il filtro FQDN è disponibile solo con il traffico TCP e UDP.

Prerequisiti

Per utilizzare un nome di dominio completo definito dall'utente, vedere FQDN.
Creare una regola DNS se non esiste già:
  1. Passare a Sicurezza > Firewall distribuito.
  2. Selezionare la casella di controllo accanto alla sezione di un criterio e fare clic su Aggiungi regola.
  3. Specificare un nome per la regola firewall, ad esempio regola DNS, e fornire i seguenti dettagli:
    Variabile Descrizione
    Nome Specificare un nome per la regola, ad esempio Regola DNS L7
    Origine Qualsiasi o gruppo specifico
    Destinazione Qualsiasi o gruppo specifico
    Servizi Fare clic sull'icona di modifica e selezionare il servizio DNS-TCP o DNS-UDP in base all'ambiente in uso.
    Profili di contesto Fare clic sull'icona di modifica e selezionare il profilo di contesto DNS. Si tratta di un profilo di contesto generato dal sistema ed è disponibile nella distribuzione per impostazione predefinita.
    Si applica a Selezionare un gruppo come richiesto.
    Azione Selezionare Consenti.
  4. Fare clic su Pubblica.

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Passare a Sicurezza > Firewall distribuito.
  3. Fare clic su Aggiungi regola per configurare l'elenco degli indirizzi consentiti o vietati del nome di dominio completo.
  4. Assegnare un nome appropriato alla regola, ad esempio Lista consentita FQDN/URL.
  5. Specificare i dettagli seguenti:
    Opzione Descrizione
    Servizi Fare clic sull'icona di modifica e quindi sulla casella di controllo per selezionare il servizio che si desidera associare a questa regola. Fare clic su Aggiungi e su Applica.
    Profili di contesto Fare clic sull'icona di modifica, quindi su Aggiungi profilo di contesto e denominare il profilo. Nella colonna Attributi selezionare Imposta > > Aggiungi attributoNome dominio (FQDN). Selezionare l'elenco Nome attributo/valori dall'elenco predefinito o creare un nome di dominio completo personalizzato. Per dettagli, consultare Profili di contesto. Fare clic su Aggiungi e su Applica.
    Si applica a Selezionare DFW o un gruppo in base alle esigenze.
    Azione Selezionare Consenti, Elimina o Rifiuta.
  6. Fare clic su Pubblica.