创建L7分布式防火墙规则以阻止特定网站的流量
测试网络连接
测试 WEB 连接,验证是否可以从 Windows 虚拟机成功访问多个网站。
- 从 Win10 VM Web 控制台,验证您是否可以访问 qq.com 和 vmware.com。
a. 从 Win10 虚拟机的桌面上,打开 Chrome。
b. 验证是否可以成功访问qq.com、vmware.com网站。
d. 关闭 Chrome。
创建安全组
可以为 Windows 工作负载创建安全组来定义防火墙规则。
创建包含Windows VM的组。
a. 在 NSX UI 上,导航到清单>组。
b. 单击添加组。
c. 输入Windows作为名称。
d. 单击“计算成员”下的“设置”链接,然后单击“ +添加条件”。
e. 在标准 1 下,添加配置值。
• 第一项:从下拉菜单中选择虚拟机。
• 第二项:从下拉菜单中选择操作系统名称。
• 第三个条目:从下拉菜单中选择包含。
• 第四项:Windows在文本框中输入。
f. 单击应用并单击“保存”。
g. 单击Windows 组的查看成员链接。
h. 验证 Win10 VM 是否已列出,然后单击“关闭”。
创建第 7 层分布式防火墙规则
创建第 7 层分布式防火墙规则来阻止流向特定网站的流量。
- 创建分布式防火墙第 7 层策略。
a. 导航到安全>策略管理>分布式防火墙。
b. 导航到“类别特定规则”选项卡,然后单击“应用程序”部分。
c. 单击“+添加策略”。
d. 新策略行出现后,输入LAYER-7 POLICY名称。
- 单击“LAYER-7 POLICY”附近的垂直省略号图标,然后选择“添加规则”以添加两个分布式防火墙规则。
- 在第一行中,配置允许来自 Windows 组的 DNS 流量的规则。
a. 在“名称”列中,输入DNS Rule新规则的名称。
b. 在源列中,单击铅笔图标,选中Windows复选框,然后单击应用。
c. 在“目标”列中,将“任意”(默认)保留为选中状态。
d. 在服务列中,单击铅笔图标,选中DNS-TCP和DNS-UDP复选框,然后单击应用。
e. 在上下文配置文件列中,单击铅笔图标,选中DNS复选框,然后单击应用。
f. 在“应用到”列中,单击铅笔图标,单击“组”,选中“ Windows”复选框,然后单击“应用”。
g. 在“操作”列中,将“允许”(默认)保留为选中状态。
保留所有其他设置的默认值。
- 在第二行中,配置规则以拒绝从 Windows VM 到 qq.com 的 HTTP 和 HTTPS 流量。
a. 在“名称”列中,输入Denylist Rule新规则的名称。
b. 在源列中,单击铅笔图标,选中Windows复选框,然后单击应用。
c. 在“目标”列中,将“任意”(默认)保留为选中状态。
d. 在服务列中,单击铅笔图标,选中HTTP和HTTPS复选框,然后单击应用。
e. 在上下文配置文件列中,单击铅笔图标,然后单击添加上下文配置文件。
f. 输入Blocked Domains名称并单击“属性”列中的“设置”链接。
g. 单击ADD ATTRIBUTE,选择Domain(FQDN) Name ,单击Attribute Name/Values文本框旁边的垂直省略号图标,然后选择Add FQDN。
h. *.qq.com在“域”列中输入,单击“保存”,然后单击“添加”。
i. 单击“应用”,单击“保存”,然后单击“应用”。
j. 在“应用到”列中,单击铅笔图标,单击“组”,选中“ Windows”复选框,然后单击“应用”。
k. 在操作列中,从下拉菜单中选择拒绝。
保留其他设置的默认值。
5. 单击发布。
创建防火墙规则后测试WEB连接
确认无法再访问被第 7 层分布式防火墙规则阻止的网站。
- 清除Chrome浏览器的缓存。
a. 从 Win10 虚拟机的桌面上,打开 Chrome。
b. 单击浏览器右上角的垂直省略号图标。
c. 单击“设置”。
d. 在隐私和安全部分下,单击清除浏览数据。
如果未出现设置菜单,请单击浏览器左上角的三条竖线。
e. 保留所有默认值,然后单击清除数据。
f. 关闭 Chrome。
- 从 Win10 VM Web 控制台,验证您是否无法访问 qq.com,而 vmware.com 仍可访问。
a. 从 Win10 桌面上,打开 Chrome。
b. 验证是否无法再访问qq.com网站,因为该网站已被第 7 层防火墙规则明确阻止。
c. 验证是否仍然可以访问vmware.com网站。
f. 关闭 Chrome浏览器。