設定分散式防火牆規則,以篩選使用完整網域名稱的特定網域,例如 *.office365.com。
您必須先設定 DNS 規則,然後在其下設定 FQDN 允許清單或封鎖清單規則。NSX-T Data Center 使用 DNS 回應 (DNS 伺服器發給虛擬機器的回應) 中的存留時間 (TTL),來保留虛擬機器的 DNS 至 IP 對應快取項目。若要使用 DNS 安全性設定檔來覆寫 DNS TTL,請參閱設定 DNS 安全性。若要使 FQDN 篩選生效,虛擬機器需要使用 DNS 伺服器進行網域解析 (沒有靜態 DNS 項目),並且還需要採用在 DNS 回應中收到的 TTL。NSX-T Data Center 會使用 DNS 窺探來取得 IP 位址與 FQDN 之間的對應。
備註: FQDN 篩選不支援將 DNS 中的 CNAME 記錄作為內容設定檔中的 FQDN 屬性類型項目。
此功能適用於第 7 層,未涵蓋 ICMP。如果使用者針對 example.com
上的所有服務建立了拒絕清單規則,當 Ping example.com
有回應,但 curl example.com
沒有回應時,該功能便會如預期般運作。
選取萬用字元 FQDN 是最佳做法,因為其中包含子網域。例如,選取 *.example.com
將會包含 americas.example.com
和 emea.example.com
之類的子網域。使用 example.com
則不會包含任何子網域。
為 ESXi 主機執行 vMotion 期間會保留以 FQDN 為基礎的規則。
備註: 支援 ESXi 和 KVM 主機。KVM 主機僅支援 FQDN 允許清單。FQDN 篩選僅適用於 TCP 和 UDP 流量。
必要條件
如果 DNS 規則不存在,請建立此規則:
- 導覽至 。
- 選取原則區段旁的核取方塊,然後按一下新增規則。
- 提供防火牆規則的名稱 (例如 DNS rule),並提供下列詳細資料:
變數 說明 名稱 提供規則的名稱,例如「L7 DNS 規則」 來源 任意或特定群組 目的地 任意或特定群組 服務 按一下編輯圖示,然後選取 DNS和 DNS-UDP 服務。 內容設定檔 按一下編輯圖示,然後選取 DNS 內容設定檔。這是系統產生的內容設定檔,依預設可在您的部署中使用。 套用至 視需要選取群組。 動作 選取允許。 - 按一下發佈。
程序
- 使用 admin 權限來登入 NSX Manager。
- 導覽至 。
- 按一下新增規則,以設定 FQDN 允許清單或封鎖清單規則。
- 為規則適當命名,例如 FQDN/URL 允許清單。
- 提供下列詳細資料:
選項 說明 服務 按一下編輯圖示,然後選取要與此規則建立關聯的服務,例如 HTTP。 內容設定檔 按一下編輯圖示,然後新增內容設定檔並為該設定檔命名。在 [屬性] 資料行中,選取 。從預先定義的清單中選取屬性名稱/值的清單,或建立自訂 FQDN。如需詳細資料,請參閱內容設定檔。按一下新增和套用。 套用至 視需要選取 DFW 或群組。 動作 選取允許、捨棄或拒絕。 - 按一下發佈。