設定分散式防火牆規則,以篩選使用 FQDN/URL 識別的特定網域,例如 *.office365.com

目前支援預先定義的網域清單。您在新增屬性類型為網域 (FQDN) 名稱的內容設定檔時,即可看到 FQDN 清單。 您也可以透過執行 API 呼叫 /policy/api/v1/infra/context-profiles/attributes?attribute_key=DOMAIN_NAME 以查看 FQDN 的清單。

您必須先設定 DNS 規則,然後在其下設定 FQDN 允許清單或封鎖清單規則。NSX-T Data Center 使用 DNS 回應 (DNS 伺服器發給虛擬機器的回應) 中的存留時間 (TTL),來保留虛擬機器 (VM) 的 DNS 至 IP 對應快取項目。若要使用 DNS 安全性設定檔來覆寫 DNS TTL,請參閱設定 DNS 安全性。若要使 FQDN 篩選生效,虛擬機器需要使用 DNS 伺服器進行網域解析 (沒有靜態 DNS 項目),並且還需要採用在 DNS 回應中收到的 TTL。NSX-T Data Center 會使用 DNS 窺探來取得 IP 位址與 FQDN 之間的對應。您應針對所有邏輯連接埠上的交換器啟用 SpoofGuard,以防範 DNS 詐騙攻擊的風險。DNS 詐騙攻擊是指惡意虛擬機器可插入偽造的 DNS 回應,以將流量重新導向至惡意端點或略過防火牆。如需 SpoofGuard 的詳細資訊,請參閱瞭解 SpoofGuard 區段設定檔

此功能適用於第 7 層,未涵蓋 ICMP。如果使用者針對 example.com 上的所有服務建立了拒絕清單規則,當 Ping example.com 有回應,但 curl example.com 沒有回應時,該功能便會如預期般運作。

選取萬用字元 FQDN 是最佳做法,因為其中包含子網域。例如,選取 *example.com 將會包含 americas.example.comemea.example.com 之類的子網域。使用 example.com 則不會包含任何子網域。

為 ESXi 主機執行 vMotion 期間會保留以 FQDN 為基礎的規則。

備註: 支援 ESXi 和 KVM 主機。KVM 主機僅支援 FQDN 允許清單。FQDN 篩選僅適用於 TCP 和 UDP 流量。

程序

  1. 從瀏覽器以管理員權限登入 NSX Manager,網址為 https://<nsx-manager-ip-address>。
  2. 導覽至安全性 > 分散式防火牆
  3. 依照新增分散式防火牆中的步驟,新增防火牆原則區段。您也可以使用現有的防火牆原則區段。
  4. 選取新的或現有的防火牆原則區段,然後按一下新增規則,以先建立 DNS 防火牆規則。
  5. 提供防火牆規則的名稱 (例如 DNS rule),並提供下列詳細資料:
    選項 說明
    服務 按一下編輯圖示,然後視您環境的需要選取 DNS 或 DNS-UDP 服務。
    設定檔 按一下編輯圖示,然後選取 DNS 內容設定檔。這是預先建立的項目,依預設,可在您的部署中使用。
    套用至 視需要選取群組。
    動作 選取允許
  6. 再次按一下新增規則,以設定 FQDN 允許清單或封鎖清單規則。
  7. 為規則適當命名,例如 FQDN/URL 允許清單。將規則拖曳至此原則區段下的 DNS 規則下。
  8. 提供下列詳細資料:
    選項 說明
    服務 按一下編輯圖示,然後選取要與此規則建立關聯的服務,例如 HTTP。
    設定檔 按一下編輯圖示,然後按一下新增內容設定檔。按一下名為屬性的資料行,然後選取網域 (FQDN) 名稱。從預先定義的清單中選取屬性名稱/值的清單。按一下新增。如需詳細資料,請參閱新增內容設定檔
    套用至 視需要選取 DFW 或群組。
    動作 選取允許捨棄拒絕
  9. 按一下發佈