設定分散式防火牆規則,以篩選使用完整網域名稱的特定網域,例如 *.office365.com

您必須先設定 DNS 規則,然後在其下設定 FQDN 允許清單或封鎖清單規則。NSX-T Data Center 使用 DNS 回應 (DNS 伺服器發給虛擬機器的回應) 中的存留時間 (TTL),來保留虛擬機器的 DNS 至 IP 對應快取項目。若要使用 DNS 安全性設定檔來覆寫 DNS TTL,請參閱設定 DNS 安全性。若要使 FQDN 篩選生效,虛擬機器需要使用 DNS 伺服器進行網域解析 (沒有靜態 DNS 項目),並且還需要採用在 DNS 回應中收到的 TTL。NSX-T Data Center 會使用 DNS 窺探來取得 IP 位址與 FQDN 之間的對應。

備註: FQDN 篩選不支援將 DNS 中的 CNAME 記錄作為內容設定檔中的 FQDN 屬性類型項目。

此功能適用於第 7 層,未涵蓋 ICMP。如果使用者針對 example.com 上的所有服務建立了拒絕清單規則,當 Ping example.com 有回應,但 curl example.com 沒有回應時,該功能便會如預期般運作。

選取萬用字元 FQDN 是最佳做法,因為其中包含子網域。例如,選取 *.example.com 將會包含 americas.example.comemea.example.com 之類的子網域。使用 example.com 則不會包含任何子網域。

為 ESXi 主機執行 vMotion 期間會保留以 FQDN 為基礎的規則。

備註: 支援 ESXi 和 KVM 主機。KVM 主機僅支援 FQDN 允許清單。FQDN 篩選僅適用於 TCP 和 UDP 流量。

必要條件

若要使用使用者定義的 FQDN,請參閱 FQDN
如果 DNS 規則不存在,請建立此規則:
  1. 導覽至安全性 > 分散式防火牆
  2. 選取原則區段旁的核取方塊,然後按一下新增規則
  3. 提供防火牆規則的名稱 (例如 DNS rule),並提供下列詳細資料:
    變數 說明
    名稱 提供規則的名稱,例如「L7 DNS 規則」
    來源 任意或特定群組
    目的地 任意或特定群組
    服務 按一下編輯圖示,然後選取 DNSDNS-UDP 服務。
    內容設定檔 按一下編輯圖示,然後選取 DNS 內容設定檔。這是系統產生的內容設定檔,依預設可在您的部署中使用。
    套用至 視需要選取群組。
    動作 選取允許
  4. 按一下發佈

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 導覽至安全性 > 分散式防火牆
  3. 按一下新增規則,以設定 FQDN 允許清單或封鎖清單規則。
  4. 為規則適當命名,例如 FQDN/URL 允許清單
  5. 提供下列詳細資料:
    選項 說明
    服務 按一下編輯圖示,然後選取要與此規則建立關聯的服務,例如 HTTP。
    內容設定檔 按一下編輯圖示,然後新增內容設定檔並為該設定檔命名。在 [屬性] 資料行中,選取設定 > 新增屬性 > 網域 (FQDN) 名稱。從預先定義的清單中選取屬性名稱/值的清單,或建立自訂 FQDN。如需詳細資料,請參閱內容設定檔。按一下新增套用
    套用至 視需要選取 DFW 或群組。
    動作 選取允許捨棄拒絕
  6. 按一下發佈