Функция URL Filtering в VMware NSX - как это работает? 11/05/2022 Поддержите VM Guru! USDT / TRC20, адрес: TCDP7d9hBM4dhU2mBt5oX2x5REPtq9QdU1 Пост:

В декабре прошлого года компания VMware анонсировала обновление решения VMware NSX-T 3.2, предназначенного для сетевой виртуализации и агрегации виртуальных сетей датацентров, работающих на базе гибридной среды гипервизоров, физических серверов и контейнеров приложений Kubernetes.

В новой версии этой платформы появились функции URL Filtering, позволяющие фильтровать доступ к веб-сайтам по их адресу на базе таких параметров, как категория URL, его репутация, а также различные кастомные правила. Сегодня мы приведем перевод статьи сайта Yo Go Virtual о том, как работать с этим механизмом.

URL filtering поддерживается только на шлюзе Tier-1 Gateway. Политика Access Control Policy для URL filtering применяется как к обычному http-трафику, так и для шифрованного https-канала, для которого нужно включить политику TLS Inspection, чтобы расшифровать трафик. Без включенного TLS inspection функция URL filtering будет использоваться на уровне домена с использованием расширения TLS Server Name Indication (SNI) в клиенте TLS hello. Эта возможность работает совместно с FQDN Analysis (которая ранее называлась URL Analysis в NSX-T 3.0).

Функция URL Filtering настраивается в профиле L7 access profile для правил сетевого экрана шлюза. Сначала мы включаем URL Database для кластера Edge Cluster, где мы хотим использовать эту возможность. Это вызовет скачивание базы данных URL из NSX Threat Intelligence Cloud Service.

Чтобы это сделать, идем в:

NSX Manager -> Security -> General Settings -> URL Database

Теперь надо создать L7 access profile, для чего идем в:

NSX Manager -> Inventory -> Profiles -> L7 Access Profiles

Нажимаем ADD L7 ACCESS PROFILE и вводим имя профиля:

Нажимаем Set в колонке создания одного или нескольких атрибутов Attribute Entries:

Нажимаем ADD ATTRIBUTE TYPE, где можно выбрать различные типы добавляемого атрибута:

Об использовании атрибутов написано здесь, но вот их краткое описание в таблице:

Давайте выберем тип URL Category, чтобы разрешать или блокировать трафик (колонка Action) для адресов из существующих категорий базы данных NSX Threat Intelligence:

Если кликнуть в поле Attribute Name/Values, то можно добавить одну или несколько предлагаемых категорий:

Когда вы добавили все нужные категории, то в качестве действия можно выбрать не только разрешение или запрещение трафика, но и выполнение определенного действия, в случае, если пользователь зашел на запрещенный ресурс:

Также вы можете включить логирование для всех этих действий (колонка Logging), а сами логи удобно разбирать в решении VMware vRealize Log Insight. Но надо помнить, что сначала нужно включить локальное логирование в настройках Edge appliance или Node Profile, для этого нужно включить логирование тут:

System Fabric -> Profile -> Node Profiles -> All NSX nodes

После того, как все атрибуты будут добавлены, нужно нажать Apply в нижней части экрана.

После этого нажимаем Save, чтобы сохранить профиль Access Profile:

После этого статус профиля должен быть Success и отображаться зеленым:

Теперь создаем политику URL filtering policy. Для этого нужно создать правило сетевого экрана для профиля URL filtering profile, который мы создали ранее. Эта политика может быть применена только к шлюзам яруса Tier-1. Действие для L7 access profile выставляем в значение Allow.

Идем в:

NSX Manager -> Security -> Gateway Firewall -> Gateway Specific Rules -> Выбираем T1 Gateway, где нужно включить эту возможность

Создаем политику через Policy -> ADD Policy, после чего добавляем правило со следующими параметрами:

• Source and Destination = any
• Services = HTTP & HTTPS
• Profiles = Custom-L7-Access-Profile (L7 Access Profile)
• Applied To = шлюз T1, где мы включаем политику (Auto populate)
• Action = Allow (это действие контролируется со стороны профиля L7 Profile)

Далее опционально можно создать кастомный ответ, если Action установлен в Reject With Response. Идем в:

NSX Manager -> Security -> Gateway Firewall -> Settings -> URL Filtering

Тут можно изменить текст страницы Response Page в показанном окне, либо можно использовать кастомный код страницы:

После ввода параметров нажимаем Save.

Далее попробуем протестировать работу механизма фильтрации. Автор использовал для этого следующую топологию:

Активность фильтрации можно в реальном времени отслеживать в следующем разделе:

NSX Manager -> Security -> URL Filtering / FQDN Analysis -> URL Filtering -> выберите ваш T1 Gateway

Там будут следующие его параметры:

• Reputation Score
• URL
• Gateway
• Category
• Edge Node
• Allow Action
• Reject Action
• Reject with Response

Вот пример блокировки запрещенного LinkedIn:

На дэшборде URL Analysis мы увидим следующее:

Если зайти на Google, то все работает отлично:

В Log Insight мы тоже не видим никаких проблем:

При доступе к Facebook с включенным правилом блокировки социальных сетей, пользователь также не сможет открыть страницу:

В Log Insight мы увидим это действие:

На дэшборде мы увидим итоговое число выполненных действий:

Ну и в завершение надо отметить, что данные возможности работают только, если у вас есть лицензия NSX Gateway Firewall.