現在は、事前定義済みのドメインのリストがサポートされています。属性タイプ「ドメイン (FQDN) 名」の新しいコンテキスト プロファイルを追加する場合、FQDN のリストを表示できます。API 呼び出し /policy/api/v1/infra/context-profiles/attributes?attribute_key=DOMAIN_NAME を実行して FQDN のリストを表示することもできます。

最初に DNS ルールを設定し、その下に FQDN の許可リスト ルールまたは拒否リスト ルールを設定する必要があります。NSX-T Data Center は、DNS 応答（DNS サーバから仮想マシンに送信）の有効期間 (TTL) を使用して、仮想マシン (VM) の DNS から IP アドレスへのマッピング キャッシュ エントリを保持します。DNS セキュリティ プロファイルを使用して DNS の TTL をオーバーライドするには、DNS セキュリティの構成を参照してください。FQDN フィルタリングを有効にするには、仮想マシンでドメイン解決に（静的 DNS エントリではなく）DNS サーバを使用する必要があります。また、DNS 応答で受信した TTL も考慮する必要があります。NSX-T Data Center は、DNS スヌーピングを使用して IP アドレスと FQDN 間のマッピングを取得します。DNS スプーフィング攻撃から保護するため、すべての論理ポートのスイッチ全体で SpoofGuard を有効にする必要があります。DNS スプーフィング攻撃では、悪意のある仮想マシンが偽の DNS 応答を挿入し、トラフィックを悪意のあるエンドポイントにリダイレクトしたり、ファイアウォールをバイパスしたりします。SpoofGuard の詳細については、SpoofGuard セグメント プロファイルの理解を参照してください。

この機能はレイヤー 7 で動作しますが、ICMP は対象外です。example.com のすべてのサービスに対して拒否リスト ルールを作成した場合、ping example.com から応答があり、curl example.com からの応答がなければ、この機能は意図したとおり機能しています。

サブドメインが含まれるため、ワイルドカード FQDN を選択するのがベスト プラクティスです。たとえば、*example.com を選択すると、americas.example.com や emea.example.com などのサブドメインも含まれます。example.com の場合、サブドメインは含まれません。

ESXi ホストの vMotion では、FQDN ベースのルールが保持されます。