VMware NSX 使用URL过滤阻止WEB流量

一、验证 URL 数据库是否已启用

1、验证是否已为 Edge-Cluster-01 启用 URL 数据库
        a.导航到安全>设置>常规设置> URL 数据库.
        b.验证Edge-Cluster-01 的URL 数据库开关是否已打开。

二、配置 L7 访问配置文件

1.为 URL 过滤配置新的 L7 访问配置文件。
        a.导航到清单>配置文件>配置文件> L7 访问配置文件。
        b.单击添加 L7 访问配置文件。

        c.URL_Filtering_Profile在名称文本框中输入。

2.添加 L7 访问配置文件属性以接受来自社交网站和搜索引擎的 Web 流量。
        a.单击属性条目下的设置链接。
        b.在设置属性条目页面上，单击添加属性类型。
        c.选择URL 类别。

        d.从属性名称/值下拉菜单中选择社交网络和搜索引擎。
        e.从操作下拉菜单中选择允许（默认） 。
        f.单击“添加”。

3.添加 L7 访问配置文件属性以拒绝自定义 URL (*.qq.com)。
        a.在设置属性条目页面上，单击添加属性类型。
        b.选择自定义 URL。
        c.在“属性名称/值”下，单击省略号，选择“添加自定义 URL”，输入*.qq.comURL，然后单击            “保存”。

        d.从操作下拉菜单中选择拒绝并做出响应。
        e.单击“添加”。

4.添加 L7 访问配置文件属性以拒绝流向具有高风险声誉的网站的流量。
        a.在设置属性条目页面上，单击添加属性类型。
        b.选择URL 信誉。
        c.从属性名称/值下拉菜单中选择高风险。
        d.从操作下拉菜单中选择拒绝并做出响应。
        e.单击“添加”。

        f.单击“应用”，然后单击“保存”。

三、创建用于 URL 过滤的网关防火墙规则

1.在 T1-GW-01 上创建 URL 过滤的网关防火墙策略。
        a.导航到安全>策略管理>网关防火墙>网关特定规则。
        b.从网关下拉菜单中选择T1-GW-01网关。
        c.单击+添加策略。
        d.新策略行出现后，输入URL Filtering名称。

2.使用配置的 L7 访问配置文件配置 URL 过滤的网关防火墙规则。
        a.单击 URL 过滤旁边的垂直省略号图标，然后选择添加规则。
        b.在“名称”列中，输入URL Filtering Rule名称。
        c.在“源”列中，将“任意”（默认）保留为选中状态。
        d.在“目标”列中，将“任意”（默认）保留为选中状态。
        e.在“服务”列中，将“任何”（默认）保留为选中状态。

        f.在配置文件列中，单击铅笔图标，选择L7 访问配置文件，选择URL_Filtering_Profile，然后            单击应用。

        g.在“操作”列中，将“允许”（默认）保留为选中状态。

3.单击发布。

四、外部网站生成流量

1.生成社交媒体网站（qq.com 和 linkedin.com）、搜索引擎 (baidu.com) 和恶意软件网站 (wordbyletter.com) 的流量。
        a.打开命令行控制台。
        b.为 qq.com 和 linkedin.com 等社交媒体网站带来流量。
        sa-tlsclient-01:~$ curl -f https://www.qq.com

        sa-tlsclient-01:~$ curl -f https://www.linkedin.com

        e.生成恶意软件网站（例如 wordbyletter.com）的流量。
        sa-tlsclient-01:~$ curl -f http://www.wordbyletter.com
        对 http://www.wordbyletter.com 的请求首次成功，因为 NSX 需要计算该站点的信誉。在第一          个请求之后，对 http://www.wordbyletter.com 的所有其他请求都会失败。

五、查看 URL 过滤仪表板

1.在 URL 分析仪表板中查看访问和阻止的网站
        a.在 NSX UI 上，导航到安全>威胁事件监控>过滤和分析> URL 过滤。
        b.从网关流量下拉菜单中选择T1-GW-01 。
           URL 过滤仪表板显示访问的 URL、其信誉评分和 URL 类别，以及该 URL 是被允许还是被             拒绝。
           结果可能最多需要 5 分钟才会显示。
        c.单击页面左下角的“刷新”链接可查看最新结果。
        d.验证上一个任务中所述的网站是否显示在仪表板中。

六、从 NSXCLI 验证 URL 过滤配置

1.打开与sa-nsxedge-01的SSH连接。
2.检索 L7 访问配置文件的统计信息。
        a.列出可用的 L7 访问配置文件。
        sa-nsxedge-01> get firewall l7-profiles

        b.检查L7配置文件统计信息。
        sa-nsxedge-01> get firewall l7-profile <l7_profile_uuid> stats

3.检索在 T1-GW-01 上行链路上配置的 URL 过滤规则。
        a.检索 SR-T1-GW-01 上行链路接口的 UUID。
        sa-nsxedge-01> get firewall interfaces

         b.查询SR-T1-GW-01上行链路中配置的防火墙规则。
         sa-nsxedge-01> get firewall <SR-T1-GW-01 Uplink interface_uuid> ruleset rules