Benutzerdefinierte URLs werden in L7-Zugriffsprofilen als Attributtyp für URL-Filter und Kontextprofile verwendet.
In NSX haben Benutzer die Möglichkeit, eine Domäne oder URL vollständig oder teilweise mit Sonderzeichen zu erstellen. Die folgende Abbildung zeigt verschiedene Elemente einer URL (Uniform Resource Locator).
NSX unterstützt die folgenden benutzerdefinierten URL-Muster:
- Nur bei der IANA registrierte Top Level Domains (TLD) und die Platzhalterzeichen * und ^ werden unterstützt.
- Die eingegebene URL muss eine gültige URL sein. Beispielsweise wird www...google+com abgelehnt.
- Geben Sie http://, https://, ftp:// usw. nicht mit an.
- Benutzer müssen einen Domänennamen eingeben, können aber optional auch einen URI angeben. Zum Beispiel sind google.com und google.com/news gültig, aber /news ist eine ungültige Eingabe.
- URI darf keine Abfrageparameter enthalten. Beispielsweise wird www./google.com/query?keyboard=news abgelehnt.
- Die Sonderzeichen * und ^ können für den Platzhalterabgleich sowohl im Domänennamen als auch im URI-Pfad verwendet werden. * entspricht einem oder mehreren Wörtern, ^ entspricht genau einem Wort. Beispiel: *.google.com stimmt mit news.google.com und auch mit local.news.google.com überein. Dahingegen stimmt ^ nur mit news.google.com überein, aber nicht mit local.news.google.com. Ebenso stimmt google.com/* sowohl mit google.com/news als auch mit google.com/news/sanjose überein. google.com/^ hingegen stimmt nur mit google.com/news überein, aber nicht mit google.com/news/sanjose.
- * und ^ entsprechen nur vollständigen Wörtern. Sie können nicht für Teilwörter verwendet werden. Beispielsweise kann *google.com nicht als Übereinstimmung mit mygoogle.com verwendet werden. Allerdings kann *.google.com als Entsprechung für my.google.com verwendet werden. Ebenso sind google.com/*news und google.com/n* ungültig und werden abgelehnt.
- * und ^ können in der URL mehrmals vorkommen. Zum Beispiel sind *.google.* und *.google.com/^/news/* gültig.
- Da ^ nur mit einem einzelnen Wort übereinstimmt, ist zweimal aufeinander folgendes ^ zulässig. Beispiel: ^.^.google.com ist gültig und entspricht local.news.google.com, aber nicht my.local.news.google.com oder news.google.com. Ebenso ist google.com/^/^ gültig und stimmt mit google.com/news/sanjose überein, mit google.com/news oder google.com/news/sanjose/today hingegen nicht.
- Wenn Sie nur den Domänennamen (ohne URI) eingeben, können Benutzer den Domänennamen mit oder ohne / am Ende eingeben. Das Verhalten ist jeweils unterschiedlich. Bei der Eingabe ohne / am Ende wird der Ausdruck wie eine Teilübereinstimmung behandelt. Beispielsweise stimmt *.google.com mit news.google.com, news.google.com.us, news.google.com.us/, news.google.com.us/local usw. überein. Bei der Eingabe des Domänennamens mit / am Ende wird der Ausdruck wie eine exakte Übereinstimmung behandelt. Beispielsweise stimmt *.google.com/ mit news.google.com und news.google.com/ überein, aber nicht mit news.google.com.us oder news.google.com/local.
- Wenn die eingegebene URL einen Pfad aufweist, wird das Vorhandensein von / am Ende nicht besonders behandelt, und die URL wird als exakte Übereinstimmung behandelt. Zum Beispiel stimmt google.com/news/ nur mit google.com/news/ überein, aber nicht mit google.com/news oder google.com/newslatest oder google.com/news/latest.
- Der URL-Abgleich kann verwendet werden, um HTTP-URL (Host-Header + URI) oder TLS SNI abzugleichen. Wenn die vom Benutzer angegebene URL einen Pfad aufweist, stimmt dieser nicht mit der TLS SNI überein. Wenn jedoch die TLS-Prüfung aktiviert ist und der Datenverkehr entschlüsselt wird, kann die interne HTTP-URL für den Abgleich der URL mit dem Pfad verwendet werden. Beispielsweise können *.google.com und *.google.com/ mit der HTTP-URL oder der TLS SNI (ohne TLS-Prüfung) übereinstimmen, aber *.google.com/news stimmt nicht mit der TLS SNI (ohne TLS-Prüfung) überein.
Beispiele
| Benutzereingabe | Beispiel |
|---|---|
| espn.com | Übereinstimmungen: espn.com, espn.com/, espn.com.us, espn.com.us/, espn.com/sports, espn.com.us/sports/p Keine Übereinstimmung: premium.espn.com |
| espn.com/ | Übereinstimmung: espn.com, espn.com/ Keine Übereinstimmung: premium.espn.com, espn.com.us, espn.com.us/, espn.com/sports, espn.com.us/sports/ |
| espn.com/sports | Übereinstimmung: espn.com/sports Keine Übereinstimmung: espn.com/sportsnba, esp.com/sports/, espn.com/sports/nba |
| espn.com/sports/ | Übereinstimmung: espn.com/sports Keine Übereinstimmung: esp.com/sports, espn.com/sports/nba |
| *espn.com | Übereinstimmung: premium.espn.com, replay.preimum.espn.com, instant.replay.premium.espn.com, premium.espn.com/, premium.espn.com.us, premium.espn.com.us/, premium.espn.com/sports, premium.espn.com.us/sports Keine Übereinstimmung: espn.com, .espn.com |
| *.espn.* | Übereinstimmung: www.espn.com, premium.espn.com, www.espn.us, premium.espn.com.us/, latest.espn.com/sports, www.espn.com.us/sports/ replay.premium.espn.com, instant.replay.premium.espn.com instant.replay.premium.espn.com.us/ Keine Übereinstimmung: espn.com, www.espn |
| espn.*.us/ | Übereinstimmung: espn.news.us, espn.news.us/, espn.local.news.us Stimmt nicht überein: escrn.us, www.espn.us, escrn.news.us/sports |
| *.espn.*/* | Übereinstimmung: www.espn.com/sports, replay.premium.espn.com.us/sports/nba/ Stimmt nicht überein: www.espn.com, www.espn.com/ |
| ^.espn.com | Übereinstimmung: www.espn.com, www.espn.com/, www.espn.com/sports, www.espn.com.us/ Keine Übereinstimmung: espn.com, news.local.espn.com |
| ^.espn.^ | Übereinstimmung: www.espn.com, www.espn.com/,www.espn.com.us, www.espn.com.us/sports Stimmt nicht überein: News.Local.espn.com, www.espn.com.us |
| espn.^/ | Übereinstimmung: espn.com, espn.com/ Keine Übereinstimmung: espn.com.us, espn.com/sports |
| www.^.^.com/^/^ | Übereinstimmung: www.local.espn.com/sports/nba Keine Übereinstimmung: www.personal.local.espn.com/sports/nba, www.local.espn.com/sports/nba/ |
