分散ファイアウォール ルールを設定し、完全修飾ドメイン名または URI で識別される特定のドメイン(*.office365.com など)をフィルタリングします。
最初に DNS ルールを設定し、その下に FQDN の許可リスト ルールまたは拒否リスト ルールを設定する必要があります。NSX は、DNS 応答(DNS サーバから仮想マシンに送信)の有効期間 (TTL) を使用して、仮想マシン (VM) の DNS から IP アドレスへのマッピング キャッシュ エントリを保持します。DNS セキュリティ プロファイルを使用して DNS の TTL をオーバーライドするには、DNS セキュリティの構成を参照してください。FQDN フィルタリングを有効にするには、仮想マシンでドメイン解決に(静的 DNS エントリではなく)DNS サーバを使用する必要があります。また、DNS 応答で受信した TTL も考慮する必要があります。NSX-T Data Center は、DNS スヌーピングを使用して IP アドレスと FQDN 間のマッピングを取得します。DNS スプーフィング攻撃から保護するため、すべての論理ポートのスイッチ全体で SpoofGuard を有効にする必要があります。DNS スプーフィング攻撃では、悪意のある仮想マシンが偽の DNS 応答を挿入し、トラフィックを悪意のあるエンドポイントにリダイレクトしたり、ファイアウォールをバイパスしたりします。SpoofGuard の詳細については、SpoofGuard セグメント プロファイルの理解を参照してください。
この機能はレイヤー 7 で動作しますが、ICMP は対象外です。example.com のすべてのサービスに対して拒否リスト ルールを作成した場合、ping example.com から応答があり、curl example.com からの応答がなければ、この機能は意図したとおり機能しています。
サブドメインが含まれるため、ワイルドカード FQDN を選択するのがベスト プラクティスです。たとえば、*.example.com を選択すると、americas.example.com や emea.example.com などのサブドメインも含まれます。example.com の場合、サブドメインは含まれません。
ESXi ホストの vMotion では、FQDN ベースのルールが保持されます。
前提条件
手順
- ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
- の順に移動します。
- 分散ファイアウォールの追加の手順を実行し、ファイアウォール ポリシー セクションを追加します。既存のファイアウォール ポリシー セクションも使用できます。
- 新規または既存のファイアウォール ポリシー セクションを選択し、[ルールの追加] をクリックして最初に DNS ファイアウォール ルールを作成します。
- DNS rule など、ファイアウォール ルールの名前を入力し、次の詳細を入力します。
オプション 説明 サービス 編集アイコンをクリックし、環境に応じて [DNS] または [DNS-UDP] サービスを選択します。 コンテキスト プロファイル 編集アイコンをクリックし、DNS コンテキスト プロファイルを選択します。これはシステム生成のコンテキスト プロファイルで、展開内でデフォルトで使用できます。 適用先 必要に応じて、グループを選択します。 アクション [許可] を選択します。 - [ルールの追加] を再度クリックして、FQDN を許可リストまたは拒否リストに登録するルールを設定します。
- FQDN/URL Allowlist など、ルールに適切な名前を付けます。このポリシー セクションの DNS のルールの下にルールをドラッグします。
- 次のように詳細を指定します。
オプション 説明 サービス 編集アイコンをクリックし、HTTP など、このルールと関連付けるサービスを選択します。 コンテキスト プロファイル 編集アイコンをクリックして、[コンテキスト プロファイルの追加] をクリックし、プロファイルに名前を付けます。[属性] 列で、 の順に選択します。事前定義リストから属性名/値のリストを選択するか、カスタム FQDN を作成します。詳細については、コンテキスト プロファイルを参照してください。[追加]、[適用] の順にクリックします。 適用先 必要に応じて、分散ファイアウォールまたはグループを選択します。 アクション [許可]、[ドロップ] または [却下] を選択します。 - [公開] をクリックします。
