分散ファイアウォール ルールを設定し、完全修飾ドメイン名で識別される特定のドメイン(*.office365.com など)をフィルタリングします。

最初に DNS ルールを設定し、その下に FQDN の許可リスト ルールまたは拒否リスト ルールを設定する必要があります。NSX は、DNS 応答(DNS サーバから仮想マシンに送信)の有効期間 (TTL) を使用して、仮想マシンの DNS から IP アドレスへのマッピング キャッシュ エントリを保持します。DNS セキュリティ プロファイルを使用して DNS の TTL をオーバーライドするには、DNS セキュリティの構成を参照してください。FQDN フィルタリングを有効にするには、仮想マシンでドメイン解決に(静的 DNS エントリではなく)DNS サーバを使用する必要があります。また、DNS 応答で受信した TTL も考慮する必要があります。DNS スヌーピングを使用して IP アドレスと FQDN 間のマッピングが取得されます。

この機能はレイヤー 7 で動作しますが、ICMP は対象外です。example.com のすべてのサービスに対して拒否リスト ルールを作成した場合、ping example.com から応答があり、curl example.com からの応答がなければ、この機能は意図したとおり機能しています。

サブドメインが含まれるため、ワイルドカード FQDN を選択するのがベスト プラクティスです。たとえば、*.example.com を選択すると、americas.example.comemea.example.com などのサブドメインも含まれます。example.com の場合、サブドメインは含まれません。FQDN は、* ワイルドカードに一致するマルチレベル サブ ドメインをサポートしていません。

ESXi ホストの vMotion では、FQDN ベースのルールが保持されます。

注: FQDN フィルタリングは、TCP および UDP トラフィックでのみ使用できます。

前提条件

ユーザー定義の FQDN を使用する場合は、 FQDNを参照してください。
DNS ルールが存在しない場合は作成します。
  1. [セキュリティ] > [分散ファイアウォール] の順に移動します。
  2. ポリシー セクションの横にあるチェック ボックスを選択し、[ルールを追加] をクリックします。
  3. DNS rule など、ファイアウォール ルールの名前を入力し、次の詳細を入力します。
    変数 説明
    名前 ルールの名前を入力します(例:L7 DNS ルール)。
    送信元 任意または特定のグループ
    宛先 任意または特定のグループ
    サービス 編集アイコンをクリックし、環境に応じて [DNS-TCP][DNS-UDP] サービスを選択します。
    コンテキスト プロファイル 編集アイコンをクリックし、DNS コンテキスト プロファイルを選択します。これはシステム生成のコンテキスト プロファイルで、展開内でデフォルトで使用できます。
    適用先 必要に応じて、グループを選択します。
    アクション [許可] を選択します。
  4. [公開] をクリックします。

手順

  1. 管理者権限で NSX Manager にログインします。
  2. [セキュリティ] > [分散ファイアウォール] の順に移動します。
  3. [ルールの追加] をクリックして、FQDN を許可リストまたは拒否リストに登録するルールを設定します。
  4. FQDN/URL Allowlist など、ルールに適切な名前を付けます。
  5. 次のように詳細を指定します。
    オプション 説明
    サービス 編集アイコンをクリックし、チェックボックスをクリックして、このルールと関連付けるサービスを選択します。[追加][適用] の順にクリックします。
    コンテキスト プロファイル 編集アイコンをクリックして、[コンテキスト プロファイルの追加] をクリックし、プロファイルに名前を付けます。[属性] 列で、[設定] > [属性の追加] > [ドメイン (FQDN) 名] の順に選択します。事前定義リストから属性名/値のリストを選択するか、カスタム FQDN を作成します。詳細については、コンテキスト プロファイルを参照してください。[追加][適用] の順にクリックします。
    適用先 必要に応じて、分散ファイアウォールまたはグループを選択します。
    アクション [許可][ドロップ] または [却下] を選択します。
  6. [公開] をクリックします。