分散ファイアウォール ルールを設定し、*.office365.com など、FQDN/URL で識別される特定のドメインをフィルタリングします。

現在は、事前定義済みのドメインのリストがサポートされています。属性タイプ「ドメイン (FQDN) 名」の新しいコンテキスト プロファイルを追加する場合、FQDN のリストを表示できます。 API 呼び出し /policy/api/v1/infra/context-profiles/attributes?attribute_key=DOMAIN_NAME を実行して FQDN のリストを表示することもできます。

最初に DNS ルールを設定し、その下に FQDN の許可リスト ルールまたは拒否リスト ルールを設定する必要があります。これは、NSX-T Data Center が DNS スヌーピングを使用して IP アドレスと FQDN のマッピングを取得するためです。DNS スプーフィング攻撃から保護するため、すべての論理ポートのスイッチ全体で SpoofGuard を有効にする必要があります。DNS スプーフィング攻撃では、悪意のある仮想マシンが偽の DNS 応答を挿入し、トラフィックを悪意のあるエンドポイントにリダイレクトしたり、ファイアウォールをバイパスしたりします。SpoofGuard の詳細については、SpoofGuard セグメント プロファイルの理解を参照してください。

ESXi ホストの vMotion では、FQDN ベースのルールが保持されます。

注: ESXi および KVM ホストがサポートされています。ESXi は、URL ルールの拒否リスト アクションをサポートしています。KVM は、許可リスト機能をサポートします。

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. [セキュリティ] > [分散ファイアウォール] の順に移動します。
  3. 分散ファイアウォールの追加の手順を実行し、ファイアウォール ポリシー セクションを追加します。既存のファイアウォール ポリシー セクションも使用できます。
  4. 新規または既存のファイアウォール ポリシー セクションを選択し、[ルールの追加] をクリックして最初に DNS ファイアウォール ルールを作成します。
  5. DNS rule など、ファイアウォール ルールの名前を入力し、次の詳細を入力します。
    オプション 説明
    サービス 編集アイコンをクリックし、環境に応じて適宜 DNS または DNS-UDP サービスを選択します。
    プロファイル 編集アイコンをクリックし、DNS コンテキスト プロファイルを選択します。これは事前に作成されており、展開内でデフォルトで使用可能です。
    適用先 必要に応じて、グループを選択します。
    アクション [許可] を選択します。
  6. [ルールの追加] を再度クリックして、FQDN を許可リストまたは拒否リストに登録するルールを設定します。
  7. FQDN/URL Allowlist など、ルールに適切な名前を付けます。このポリシー セクションの DNS のルールの下にルールをドラッグします。
  8. 次のように詳細を指定します。
    オプション 説明
    サービス 編集アイコンをクリックし、HTTP など、このルールと関連付けるサービスを選択します。
    プロファイル 編集アイコンをクリックし、[新しいコンテキスト プロファイルの追加] をクリックします。[属性] という列をクリックし、[ドメイン (FQDN) 名] を選択します。事前定義済みリストから属性の名前/値のリストを選択します。[追加] をクリックします。詳細については、コンテキスト プロファイルの追加を参照してください。
    適用先 必要に応じて、分散ファイアウォールまたはグループを選択します。
    アクション [許可][ドロップ] または [拒否] を選択します。
  9. [発行] をクリックします。