分散ファイアウォール ルールを設定し、完全修飾ドメイン名または URI で識別される特定のドメイン(*.office365.com など)をフィルタリングします。

最初に DNS ルールを設定し、その下に FQDN の許可リスト ルールまたは拒否リスト ルールを設定する必要があります。NSX は、DNS 応答(DNS サーバから仮想マシンに送信)の有効期間 (TTL) を使用して、仮想マシン (VM) の DNS から IP アドレスへのマッピング キャッシュ エントリを保持します。DNS セキュリティ プロファイルを使用して DNS の TTL をオーバーライドするには、DNS セキュリティの構成を参照してください。FQDN フィルタリングを有効にするには、仮想マシンでドメイン解決に(静的 DNS エントリではなく)DNS サーバを使用する必要があります。また、DNS 応答で受信した TTL も考慮する必要があります。NSX-T Data Center は、DNS スヌーピングを使用して IP アドレスと FQDN 間のマッピングを取得します。DNS スプーフィング攻撃から保護するため、すべての論理ポートのスイッチ全体で SpoofGuard を有効にする必要があります。DNS スプーフィング攻撃では、悪意のある仮想マシンが偽の DNS 応答を挿入し、トラフィックを悪意のあるエンドポイントにリダイレクトしたり、ファイアウォールをバイパスしたりします。SpoofGuard の詳細については、SpoofGuard セグメント プロファイルの理解を参照してください。

注: FQDN フィルタリングでは、コンテキスト プロファイルの FQDN 属性タイプ エントリとして DNS の CNAME レコードをサポートしていません。

この機能はレイヤー 7 で動作しますが、ICMP は対象外です。example.com のすべてのサービスに対して拒否リスト ルールを作成した場合、ping example.com から応答があり、curl example.com からの応答がなければ、この機能は意図したとおり機能しています。

サブドメインが含まれるため、ワイルドカード FQDN を選択するのがベスト プラクティスです。たとえば、*.example.com を選択すると、americas.example.comemea.example.com などのサブドメインも含まれます。example.com の場合、サブドメインは含まれません。

ESXi ホストの vMotion では、FQDN ベースのルールが保持されます。

注: ESXi および KVM ホストがサポートされています。KVM ホストは、FQDN 許可リストのみをサポートします。FQDN フィルタリングは、TCP および UDP トラフィックでのみ使用できます。

前提条件

ユーザー定義の FQDN を使用する場合は、 カスタム FQDN の追加を参照してください。

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. [セキュリティ] > [分散ファイアウォール] の順に移動します。
  3. 分散ファイアウォールの追加の手順を実行し、ファイアウォール ポリシー セクションを追加します。既存のファイアウォール ポリシー セクションも使用できます。
  4. 新規または既存のファイアウォール ポリシー セクションを選択し、[ルールの追加] をクリックして最初に DNS ファイアウォール ルールを作成します。
  5. DNS rule など、ファイアウォール ルールの名前を入力し、次の詳細を入力します。
    オプション 説明
    サービス 編集アイコンをクリックし、環境に応じて [DNS] または [DNS-UDP] サービスを選択します。
    コンテキスト プロファイル 編集アイコンをクリックし、DNS コンテキスト プロファイルを選択します。これはシステム生成のコンテキスト プロファイルで、展開内でデフォルトで使用できます。
    適用先 必要に応じて、グループを選択します。
    アクション [許可] を選択します。
  6. [ルールの追加] を再度クリックして、FQDN を許可リストまたは拒否リストに登録するルールを設定します。
  7. FQDN/URL Allowlist など、ルールに適切な名前を付けます。このポリシー セクションの DNS のルールの下にルールをドラッグします。
  8. 次のように詳細を指定します。
    オプション 説明
    サービス 編集アイコンをクリックし、HTTP など、このルールと関連付けるサービスを選択します。
    コンテキスト プロファイル 編集アイコンをクリックして、[コンテキスト プロファイルの追加] をクリックし、プロファイルに名前を付けます。[属性] 列で、[設定] > [属性の追加] > [ドメイン (FQDN) 名] の順に選択します。事前定義リストから属性名/値のリストを選択するか、カスタム FQDN を作成します。詳細については、コンテキスト プロファイルを参照してください。[追加][適用] の順にクリックします。
    適用先 必要に応じて、分散ファイアウォールまたはグループを選択します。
    アクション [許可][ドロップ] または [却下] を選択します。
  9. [公開] をクリックします。