一、验证 URL 数据库是否已启用
1、验证是否已为 Edge-Cluster-01 启用 URL 数据库
a.导航到安全>设置>常规设置> URL 数据库.
b.验证Edge-Cluster-01 的URL 数据库开关是否已打开。
二、配置 L7 访问配置文件
1.为 URL 过滤配置新的 L7 访问配置文件。
a.导航到清单>配置文件>配置文件> L7 访问配置文件。
b.单击添加 L7 访问配置文件。
c.URL_Filtering_Profile在名称文本框中输入。
2.添加 L7 访问配置文件属性以接受来自社交网站和搜索引擎的 Web 流量。
a.单击属性条目下的设置链接。
b.在设置属性条目页面上,单击添加属性类型。
c.选择URL 类别。
d.从属性名称/值下拉菜单中选择社交网络和搜索引擎。
e.从操作下拉菜单中选择允许(默认) 。
f.单击“添加”。
3.添加 L7 访问配置文件属性以拒绝自定义 URL (*.qq.com)。
a.在设置属性条目页面上,单击添加属性类型。
b.选择自定义 URL。
c.在“属性名称/值”下,单击省略号,选择“添加自定义 URL”,输入*.qq.comURL,然后单击 “保存”。
d.从操作下拉菜单中选择拒绝并做出响应。
e.单击“添加”。
4.添加 L7 访问配置文件属性以拒绝流向具有高风险声誉的网站的流量。
a.在设置属性条目页面上,单击添加属性类型。
b.选择URL 信誉。
c.从属性名称/值下拉菜单中选择高风险。
d.从操作下拉菜单中选择拒绝并做出响应。
e.单击“添加”。
f.单击“应用”,然后单击“保存”。
三、创建用于 URL 过滤的网关防火墙规则
1.在 T1-GW-01 上创建 URL 过滤的网关防火墙策略。
a.导航到安全>策略管理>网关防火墙>网关特定规则。
b.从网关下拉菜单中选择T1-GW-01网关。
c.单击+添加策略。
d.新策略行出现后,输入URL Filtering名称。
2.使用配置的 L7 访问配置文件配置 URL 过滤的网关防火墙规则。
a.单击 URL 过滤旁边的垂直省略号图标,然后选择添加规则。
b.在“名称”列中,输入URL Filtering Rule名称。
c.在“源”列中,将“任意”(默认)保留为选中状态。
d.在“目标”列中,将“任意”(默认)保留为选中状态。
e.在“服务”列中,将“任何”(默认)保留为选中状态。
f.在配置文件列中,单击铅笔图标,选择L7 访问配置文件,选择URL_Filtering_Profile,然后 单击应用。
g.在“操作”列中,将“允许”(默认)保留为选中状态。
3.单击发布。
四、外部网站生成流量
1.生成社交媒体网站(qq.com 和 linkedin.com)、搜索引擎 (baidu.com) 和恶意软件网站 (wordbyletter.com) 的流量。
a.打开命令行控制台。
b.为 qq.com 和 linkedin.com 等社交媒体网站带来流量。
sa-tlsclient-01:~$ curl -f https://www.qq.com
sa-tlsclient-01:~$ curl -f https://www.linkedin.com
e.生成恶意软件网站(例如 wordbyletter.com)的流量。
sa-tlsclient-01:~$ curl -f http://www.wordbyletter.com
对 http://www.wordbyletter.com 的请求首次成功,因为 NSX 需要计算该站点的信誉。在第一 个请求之后,对 http://www.wordbyletter.com 的所有其他请求都会失败。
五、查看 URL 过滤仪表板
1.在 URL 分析仪表板中查看访问和阻止的网站
a.在 NSX UI 上,导航到安全>威胁事件监控>过滤和分析> URL 过滤。
b.从网关流量下拉菜单中选择T1-GW-01 。
URL 过滤仪表板显示访问的 URL、其信誉评分和 URL 类别,以及该 URL 是被允许还是被 拒绝。
结果可能最多需要 5 分钟才会显示。
c.单击页面左下角的“刷新”链接可查看最新结果。
d.验证上一个任务中所述的网站是否显示在仪表板中。
六、从 NSXCLI 验证 URL 过滤配置
1.打开与sa-nsxedge-01的SSH连接。
2.检索 L7 访问配置文件的统计信息。
a.列出可用的 L7 访问配置文件。
sa-nsxedge-01> get firewall l7-profiles
b.检查L7配置文件统计信息。
sa-nsxedge-01> get firewall l7-profile <l7_profile_uuid> stats
3.检索在 T1-GW-01 上行链路上配置的 URL 过滤规则。
a.检索 SR-T1-GW-01 上行链路接口的 UUID。
sa-nsxedge-01> get firewall interfaces
b.查询SR-T1-GW-01上行链路中配置的防火墙规则。
sa-nsxedge-01> get firewall <SR-T1-GW-01 Uplink interface_uuid> ruleset rules