정규화된 도메인 이름(예: "*.office365.com" )로 식별된 특정 도메인을 필터링하도록 분산 방화벽 규칙을 설정합니다.

DNS 규칙을 먼저 설정한 다음, 아래에 FQDN 허용 목록 또는 거부 목록 규칙을 설정해야 합니다. NSX-T Data Center는 DNS 응답(DNS 서버에서 가상 시스템으로 전송)의 TTL(Time to Live)을 사용하여 가상 시스템에 대한 DNS-IP 매핑 캐시 항목을 유지합니다. DNS 보안 프로파일을 사용하여 DNS TTL을 재정의하려면 DNS 보안 구성 항목을 참조하십시오. FQDN 필터링을 적용하려면 가상 시스템이 도메인 확인을 위해 DNS 서버를 사용해야 하고(고정 DNS 항목 없음) DNS 응답에서 수신된 TTL도 준수해야 합니다. NSX-T Data Center가 DNS 스누핑을 사용하여 IP 주소와 FQDN 간의 매핑을 확보합니다.

참고: FQDN 필터링은 컨텍스트 프로파일의 FQDN 특성 유형 항목으로 DNS의 CNAME 레코드를 지원하지 않습니다.

이 기능은 계층 7에서 작동하며 ICMP를 포함하지 않습니다. 사용자가 example.com의 모든 서비스에 대해 거부 목록 규칙을 생성할 경우 ping example.com이 응답하지만 curl example.com은 응답하지 않으면 해당 기능이 예상대로 작동하는 것입니다.

하위 도메인을 포함하기 때문에 와일드카드 FQDN을 선택하는 것이 가장 좋습니다. 예를 들어 *.example.com을 선택하면 americas.example.comemea.example.com과 같은 하위 도메인이 포함됩니다. example.com을 사용하는 경우 하위 도메인이 포함되지 않습니다.

FQDN 기반 규칙은 ESXi 호스트에 대한 vMotion 동안 유지됩니다.

참고: ESXi 및 KVM 호스트가 지원됩니다. KVM 호스트는 FQDN 허용 목록만 지원합니다. FQDN 필터링은 TCP 및 UDP 트래픽에만 사용할 수 있습니다.

사전 요구 사항

사용자 정의 FQDN을 사용하려면 FQDN 항목을 참조하십시오.
DNS 규칙이 없으면 생성합니다.
  1. 보안 > 분산 방화벽으로 이동합니다.
  2. 정책 섹션 옆의 확인란을 선택하고 규칙 추가를 클릭합니다.
  3. 방화벽 규칙의 이름(예: DNS 규칙)을 입력한 다음, 세부 정보를 제공합니다.
    변수 설명
    이름 규칙의 이름(예: L7 DNS 규칙)을 제공합니다.
    소스 임의 또는 특정 그룹
    대상 임의 또는 특정 그룹
    서비스 편집 아이콘을 클릭하고 DNSDNS-UDP 서비스를 선택합니다.
    컨텍스트 프로파일 편집 아이콘을 클릭하고 DNS 컨텍스트 프로파일을 선택합니다. 이것은 시스템 생성 컨텍스트 프로파일로, 기본적으로 배포에 사용할 수 있습니다.
    적용 대상 필요에 따라 그룹을 선택합니다.
    작업 허용을 선택합니다.
  4. 게시를 클릭합니다.

프로시저

  1. 관리자 권한으로 NSX Manager에 로그인합니다.
  2. 보안 > 분산 방화벽으로 이동합니다.
  3. 규칙 추가를 클릭하고 FQDN 허용 목록 또는 거부 목록 규칙을 설정합니다.
  4. 규칙의 이름을 적절하게 지정합니다(예: FQDN/URL 허용 목록).
  5. 다음 세부 정보를 제공합니다.
    옵션 설명
    서비스 편집 아이콘을 클릭하고 이 규칙과 연결할 서비스(예: HTTP)를 선택합니다.
    컨텍스트 프로파일 편집 아이콘을 클릭하고 컨텍스트 프로파일 추가하고 프로파일에 이름을 지정합니다. [특성] 열에서 설정 > 특성 추가 > 도메인(FQDN) 이름을 선택합니다. 미리 정의된 목록에서 특성 이름/값 목록을 선택하거나 사용자 지정 FQDN을 생성합니다. 자세한 내용은 컨텍스트 프로파일 항목을 참조하십시오. 추가적용을 클릭합니다.
    적용 대상 필요에 따라 DFW 또는 그룹을 선택합니다.
    작업 허용, 삭제 또는 거부를 선택합니다.
  6. 게시를 클릭합니다.