FQDN/URL(예: "*.office365.com" )로 식별된 특정 도메인을 필터링하도록 분산 방화벽 규칙을 설정합니다.

현재 미리 정의된 도메인 목록이 지원됩니다. 특성 유형 "도메인(FQDN) 이름" 의 새 컨텍스트 프로파일을 추가할 때 FQDN 목록을 볼 수 있습니다. API 호출 /policy/api/v1/infra/context-profiles/attributes?attribute_key=DOMAIN_NAME을 실행하여 FQDN 목록을 볼 수도 있습니다.

DNS 규칙을 먼저 설정한 다음, 아래에 FQDN 허용 목록 또는 거부 목록 규칙을 설정해야 합니다. NSX-T Data Center는 DNS 응답(DNS 서버에서 가상 시스템으로 전송)의 TTL(Time to Live)을 사용하여 VM(가상 시스템)에 대한 DNS-IP 매핑 캐시 항목을 유지합니다. DNS 보안 프로파일을 사용하여 DNS TTL을 재정의하려면 DNS 보안 구성을 참조하십시오. FQDN 필터링을 적용하려면 가상 시스템이 도메인 확인을 위해 DNS 서버를 사용해야 하고(고정 DNS 항목 없음) DNS 응답에서 수신된 TTL도 준수해야 합니다. NSX-T Data Center가 DNS 스누핑을 사용하여 IP 주소와 FQDN 간의 매핑을 확보합니다. 모든 논리적 포트의 스위치에서 SpoofGuard를 사용하도록 설정하여 DNS 스푸핑 공격의 위험으로부터 보호해야 합니다. DNS 스푸핑 공격은 악의적인 VM이 스푸핑된 DNS 응답을 삽입하여 악의적인 끝점으로 트래픽을 리디렉션하거나 방화벽을 우회하도록 하는 경우입니다. SpoofGuard에 대한 자세한 내용은 SpoofGuard 세그먼트 프로파일 이해를 참조하십시오.

이 기능은 계층 7에서 작동하며 ICMP를 포함하지 않습니다. 사용자가 example.com의 모든 서비스에 대해 거부 목록 규칙을 생성할 경우 ping example.com이 응답하지만 curl example.com은 응답하지 않으면 해당 기능이 예상대로 작동하는 것입니다.

하위 도메인을 포함하기 때문에 와일드카드 FQDN을 선택하는 것이 가장 좋습니다. 예를 들어 *example.com을 선택하면 americas.example.comemea.example.com과 같은 하위 도메인이 포함됩니다. example.com을 사용하는 경우 하위 도메인이 포함되지 않습니다.

FQDN 기반 규칙은 ESXi 호스트에 대한 vMotion 동안 유지됩니다.

참고: ESXi 및 KVM 호스트가 지원됩니다. KVM 호스트는 FQDN 허용 목록만 지원합니다. FQDN 필터링은 TCP 및 UDP 트래픽에만 사용할 수 있습니다.

프로시저

  1. 브라우저에서 관리자 권한으로 NSX Manager(https://<nsx-manager-ip-address>)에 로그인합니다.
  2. 보안 > 분산 방화벽으로 이동합니다.
  3. 분산 방화벽 추가의 단계를 수행하여 방화벽 정책 섹션을 추가합니다. 기존 방화벽 정책 섹션을 사용할 수도 있습니다.
  4. 신규 또는 기존 방화벽 정책 섹션을 선택하고 규칙 추가를 클릭하여 DNS 방화벽 규칙을 먼저 생성합니다.
  5. 방화벽 규칙의 이름(예: DNS 규칙)을 입력한 다음, 세부 정보를 제공합니다.
    옵션 설명
    서비스 편집 아이콘을 클릭하고 환경에 맞게 DNS 또는 DNS-UDP 서비스를 선택합니다.
    프로파일 편집 아이콘을 클릭하고 DNS 컨텍스트 프로파일을 선택합니다. 이것은 미리 생성되어 있으며 기본적으로 배포에 사용할 수 있습니다.
    적용 대상 필요에 따라 그룹을 선택합니다.
    작업 허용을 선택합니다.
  6. 규칙 추가를 다시 클릭하고 FQDN 허용 목록 또는 거부 목록 규칙을 설정합니다.
  7. 규칙의 이름을 적절하게 지정합니다(예: FQDN/URL 허용 목록). 규칙을 이 정책 섹션의 DNS 규칙 아래에 끌어다 놓습니다.
  8. 다음 세부 정보를 제공합니다.
    옵션 설명
    서비스 편집 아이콘을 클릭하고 이 규칙과 연결할 서비스(예: HTTP)를 선택합니다.
    프로파일 편집 아이콘을 클릭하고 새 컨텍스트 프로파일 추가를 클릭합니다. 특성 열을 클릭하고 도메인(FQDN) 이름을 선택합니다. 미리 정의된 목록에서 특성 이름/값 목록을 선택합니다. 추가를 클릭합니다. 자세한 내용은 컨텍스트 프로파일 추가 항목을 참조하십시오.
    적용 대상 필요에 따라 DFW 또는 그룹을 선택합니다.
    작업 허용, 삭제 또는 거부를 선택합니다.
  9. 게시를 클릭합니다.