정규화된 도메인 이름(예: "*.office365.com" )로 식별된 특정 도메인을 필터링하도록 분산 방화벽 규칙을 설정합니다.
DNS 규칙을 먼저 설정한 다음, 아래에 FQDN 허용 목록 또는 거부 목록 규칙을 설정해야 합니다. NSX-T Data Center는 DNS 응답(DNS 서버에서 가상 시스템으로 전송)의 TTL(Time to Live)을 사용하여 가상 시스템에 대한 DNS-IP 매핑 캐시 항목을 유지합니다. DNS 보안 프로파일을 사용하여 DNS TTL을 재정의하려면 DNS 보안 구성 항목을 참조하십시오. FQDN 필터링을 적용하려면 가상 시스템이 도메인 확인을 위해 DNS 서버를 사용해야 하고(고정 DNS 항목 없음) DNS 응답에서 수신된 TTL도 준수해야 합니다. NSX-T Data Center가 DNS 스누핑을 사용하여 IP 주소와 FQDN 간의 매핑을 확보합니다.
이 기능은 계층 7에서 작동하며 ICMP를 포함하지 않습니다. 사용자가 example.com
의 모든 서비스에 대해 거부 목록 규칙을 생성할 경우 ping example.com
이 응답하지만 curl example.com
은 응답하지 않으면 해당 기능이 예상대로 작동하는 것입니다.
하위 도메인을 포함하기 때문에 와일드카드 FQDN을 선택하는 것이 가장 좋습니다. 예를 들어 *.example.com
을 선택하면 americas.example.com
및 emea.example.com
과 같은 하위 도메인이 포함됩니다. example.com
을 사용하는 경우 하위 도메인이 포함되지 않습니다.
FQDN 기반 규칙은 ESXi 호스트에 대한 vMotion 동안 유지됩니다.
사전 요구 사항
- 으로 이동합니다.
- 정책 섹션 옆의 확인란을 선택하고 규칙 추가를 클릭합니다.
- 방화벽 규칙의 이름(예: DNS 규칙)을 입력한 다음, 세부 정보를 제공합니다.
변수 설명 이름 규칙의 이름(예: L7 DNS 규칙)을 제공합니다. 소스 임의 또는 특정 그룹 대상 임의 또는 특정 그룹 서비스 편집 아이콘을 클릭하고 DNS 및 DNS-UDP 서비스를 선택합니다. 컨텍스트 프로파일 편집 아이콘을 클릭하고 DNS 컨텍스트 프로파일을 선택합니다. 이것은 시스템 생성 컨텍스트 프로파일로, 기본적으로 배포에 사용할 수 있습니다. 적용 대상 필요에 따라 그룹을 선택합니다. 작업 허용을 선택합니다. - 게시를 클릭합니다.
프로시저
- 관리자 권한으로 NSX Manager에 로그인합니다.
- 으로 이동합니다.
- 규칙 추가를 클릭하고 FQDN 허용 목록 또는 거부 목록 규칙을 설정합니다.
- 규칙의 이름을 적절하게 지정합니다(예: FQDN/URL 허용 목록).
- 다음 세부 정보를 제공합니다.
옵션 설명 서비스 편집 아이콘을 클릭하고 이 규칙과 연결할 서비스(예: HTTP)를 선택합니다. 컨텍스트 프로파일 편집 아이콘을 클릭하고 컨텍스트 프로파일 추가하고 프로파일에 이름을 지정합니다. [특성] 열에서 을 선택합니다. 미리 정의된 목록에서 특성 이름/값 목록을 선택하거나 사용자 지정 FQDN을 생성합니다. 자세한 내용은 컨텍스트 프로파일 항목을 참조하십시오. 추가 및 적용을 클릭합니다. 적용 대상 필요에 따라 DFW 또는 그룹을 선택합니다. 작업 허용, 삭제 또는 거부를 선택합니다. - 게시를 클릭합니다.