Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית על שירות סינון כתובות URL

שירות סינון כתובות ה-URL של Cloud Next Generation Firewall מאפשר לכם לשלוט בגישה לאתרים ולדפי אינטרנט על ידי חסימה או הרשאה של כתובות ה-URL שלהם. בעזרת השירות הזה תוכלו לסנן את תעבורת העומס שלכם באמצעות מידע על דומיין ועל Server Name Indication ‏ (SNI) שזמין בהודעות HTTP(S) יוצאות.

מכיוון ששירות הסינון לפי כתובות URL בודק את כותרות ההודעות של HTTP, אפשר להשתמש בשירות כדי לחסום גישה לדומיינים ספציפיים גם כשהשרת של היעד מארח אתרים מהימנים שאתם לא רוצים לחסום, או כשמגבלות הגישה שמבוססות על DNS לא יעילות. אתם יכולים להשתמש בשירות לסינון כתובות URL יחד עם השירות לגילוי חדירות ולמניעת חדירות כדי לחסום תנועה לכתובות URL זדוניות, למנוע גישה לשרתי שליטה ובקרה (C2) זדוניים ולזהות תוכנות זדוניות בקבצים הפעלה.

שירות הסינון לפי כתובות URL ב-Cloud NGFW פועל על ידי יצירת נקודות קצה של חומת אש אזורית שמנוהלות על ידי Google. נקודות הקצה האלה משתמשות בטכנולוגיית יירוט חבילות כדי להפנות מחדש את התעבורה ולבדוק אם היא תואמת לרשימה של שמות דומיינים ו-SNI שהוגדרו. Google Cloud

חטיפת מנות היא Google Cloud יכולת שמוסיפה באופן שקוף מכשירי רשת לנתיב של תנועת רשת נבחרת בלי לשנות את מדיניות הניתוב הקיימת שלהם.

היתרונות של שימוש בשירות סינון כתובות URL

שירות סינון כתובות ה-URL עוזר לצמצם את הצורך בתחזוקה שנובעת מכתובות IP שמשתנות לעיתים קרובות, משינויים ב-DNS ומשינויים אחרים בחומת האש שמבוססים על כתובות IP וגוזלים זמן רב. השירות מאפשר לכם לשלוט באופן מדויק בכתובות ה-URL המרוחקות שאליהן אתם יכולים לגשת. היא מאפשרת לכם לקבל שליטה מדויקת יותר מאשר שליטה באמצעות כתובות IP, שיכולות לארח כמה שירותים ודומיינים.

בדיקת TLS

שירות סינון כתובות ה-URL יכול לעבד תנועה מוצפנת ולא מוצפנת. כדי לסנן תנועה מוצפנת, אפשר להגדיר בדיקת TLS כדי לאפשר לשירות סינון כתובות ה-URL לפענח את כותרות ההודעות ולבדוק את שם הדומיין בכותרת המארח של ההודעה.

לאחר מכן, שירות סינון כתובות ה-URL יכול להשתמש בפרטי הדומיין יחד עם SNI בטקסט לא מוצפן שנשלח במהלך משא ומתן של TLS כדי למצוא התאמה לכתובות ה-URL שהוגדרו ומוגדרות על ידי פרופיל האבטחה המשויך.

בלי בדיקת TLS, שירות סינון כתובות ה-URL עדיין יכול לעבד את התנועה המוצפנת של HTTP(S), אבל הוא מסתמך רק על SNI מ-clientHello במהלך משא ומתן של TLS להתאמת כתובות URL. בתנועת HTTP לא מוצפנת, שירות הסינון של כתובות URL משתמש בכותרת המארח של HTTP לסינון כתובות URL, בלי קשר לשאלה אם הפעלתם בדיקת TLS.

‫Cloud NGFW תומך רק ביירוט ופענוח של TLS כדי לגשת למידע על הדומיין בכותרת המארח של תעבורה מוצפנת שנבחרה.

שירות הסינון לפי כתובת URL בודק חיבורים נכנסים ויוצאים, כולל תעבורה אל האינטרנט וממנו ותעבורה בתוך Google Cloud.

למידע נוסף על בדיקת TLS ב-Cloud NGFW, אפשר לעיין בסקירה הכללית על בדיקת TLS.

איך מגדירים בדיקת TLS ב-Cloud NGFW

מודל פריסה של שירות סינון כתובות URL

בתרשים הבא מוצגת דוגמה לפריסה של שירות סינון כתובות URL עם נקודת קצה של חומת אש, שהוגדרה לרשת של ענן וירטואלי פרטי (VPC) באזור יחיד של אזור.

רכיבים של שירות סינון כתובות URL

שירות סינון כתובות ה-URL דורש שלושה ישויות עיקריות שצריך להגדיר. פרופיל האבטחה של סינון כתובות URL וקבוצת פרופילי האבטחה המשויכת שלו, נקודת קצה של חומת אש לקבלת תנועה ומדיניות חומת האש שמצורפת לנקודת הקצה.

פרופילי אבטחה וקבוצות של פרופילי אבטחה

‫Cloud NGFW משתמש בפרופילי אבטחה ובקבוצות של פרופילי אבטחה כדי להטמיע את שירות הסינון לפי כתובות URL.

פרופילי אבטחה של סינון כתובות URL הם מבני מדיניות כלליים מהסוג url-filtering שכוללים מסנני כתובות URL עם מחרוזות התאמה. שירות הסינון של כתובות URL משתמש במחרוזות האלה כדי להתאים אותן לשם הדומיין ול-SNI של הודעת ה-HTTP(S). כל מסנן של כתובת URL מכיל רשימה של מחרוזות להתאמה, עדיפות ייחודית ופעולה.

מידע נוסף על פרופילי אבטחה לסינון כתובות URL זמין במאמר פרופיל אבטחה לסינון כתובות URL.
קבוצות של פרופילי אבטחה משמשות כמאגרי פרופילים של אבטחה. כל קבוצה מכילה פרופיל אבטחה אחד או יותר מסוגים שונים. לדוגמה, קבוצת פרופילים של אבטחה יכולה להכיל פרופילים של אבטחה ששייכים לסוגים url-filtering ו-threat-prevention. כלל במדיניות חומת האש מפנה לקבוצת פרופילים של אבטחה כדי להפעיל את שירות סינון כתובות ה-URL או את שירות זיהוי הפריצות ומניעתן, או את שניהם, לתעבורת הרשת.

מידע נוסף על קבוצות של פרופילי אבטחה זמין במאמר סקירה כללית על קבוצות של פרופילי אבטחה.

נקודת קצה של חומת אש

נקודת קצה של חומת אש היא משאב ארגוני שנוצר ברמת האזור, ויכול לבדוק תעבורה בשכבה 7 באותו אזור שבו הוא נפרס. נקודות הקצה משויכות לרשת VPC אחת או יותר באותו אזור. כדי לסנן תנועה למכונה וירטואלית (VM) יעד, צריך ליצור את נקודת הקצה של חומת האש באותו אזור שבו נמצא ה-VPC של מכונת היעד.

בשירות סינון כתובות ה-URL, נקודת הקצה של חומת האש תואמת לדומיין מכותרת המארח של ההודעה, או ל-SNI שהתקבל במהלך משא ומתן של TLS לתנועה מוצפנת ללא בדיקת TLS, לעומת מסנני כתובות ה-URL בפרופיל האבטחה של סינון כתובות ה-URL. אם נקודת הקצה מזהה התאמה, היא מבצעת את הפעולה שמשויכת למסנן כתובות ה-URL בחיבור. הפעולה הזו יכולה להיות פעולת ברירת המחדל או פעולה מוגדרת בפרופיל האבטחה של סינון כתובות ה-URL.

מידע נוסף על נקודות קצה של חומת אש ועל אופן ההגדרה שלהן זמין במאמר סקירה כללית על נקודות קצה של חומת אש.

מדיניות חומת אש

מדיניות חומת האש חלה ישירות על כל התנועה הנכנסת והיוצאת של מכונה וירטואלית. אתם יכולים להשתמש במדיניות חומת אש היררכית ובמדיניות חומת אש בין רשתות גלובליות כדי להגדיר כללים של מדיניות חומת אש עם בדיקה של Layer 7.

כללי מדיניות חומת אש

כללים במדיניות חומת האש מאפשרים לכם לשלוט בסוג התעבורה שמייורטת ונבדקת. כדי להגדיר את שירות סינון כתובות ה-URL, יוצרים כלל במדיניות חומת האש שמבצע את הפעולות הבאות:

מזהה את סוג התנועה שצריך לבדוק באמצעות כמה רכיבים של כללי מדיניות חומת אש בשכבה 3 ובשכבה 4.
מציין את שם קבוצת פרופילי האבטחה עבור הפעולה apply_security_profile_group בתנועה התואמת.

למידע על תהליך העבודה המלא של שירות סינון כתובות URL, אפשר לעיין במאמר הגדרת שירות סינון כתובות URL.

אפשר גם להשתמש בתגים מאובטחים בכללי חומת האש כדי להגדיר את שירות הסינון של כתובות URL. אתם יכולים להשתמש בתגים ברשת כדי להסתמך על כל פילוח שהגדרתם, ולשפר את הלוגיקה של בדיקת התנועה כדי לכלול את שירות הסינון של כתובות URL.

כדי להגדיר כלל מדיניות חומת אש שמשתמש בקבוצת פרופילים של אבטחה לסינון דומיינים עם תווים כלליים (כמו *.example.com), צריך להגדיר את טווח כתובות ה-IP של היעד ל-0.0.0.0/0. הדבר נדרש כי ההתאמה לתווים כלליים לחיפוש מתבצעת בשכבה 7 על ידי פרופיל האבטחה. כדי להגביל את כלל חומת האש כך שיתאים לתעבורה שמיועדת לאינטרנט, משתמשים בהקשרים של רשת שהוגדרו לערך INTERNET.

איך פועל שירות סינון כתובות URL

שירות סינון כתובות ה-URL מעבד את תנועת ה-HTTP(S) ברצף הבא:

שירות סינון כתובות ה-URL מחיל כללים של מדיניות חומת האש על התעבורה אל המכונות הווירטואליות או אל אשכולות Google Kubernetes Engine ‏ (GKE) ברשת וממנה.
שירות סינון כתובות ה-URL מיירט את תעבורת הנתונים התואמת ושולח אותה לנקודת הקצה של חומת האש לבדיקה ב-Layer 7.
בתנועה מוצפנת שבה מופעלת בדיקת TLS, שירות הסינון של כתובות ה-URL מפענח את כותרות ההודעות ומשתמש בדומיין שצוין בכותרת המארח יחד עם ה-SNI שנשלח במהלך משא ומתן על TLS כדי לבדוק אם יש התאמה לכתובות ה-URL שהוגדרו.

אם התנועה מוצפנת אבל האפשרות 'בדיקת TLS' לא מופעלת, כותרת ההודעה נשארת מוצפנת. במקום זאת, שירות הסינון של כתובות ה-URL משתמש בדומיין שצוין ב-SNI במהלך משא ומתן של TLS.

בתנועה לא מוצפנת, שירות סינון כתובות ה-URL תמיד משתמש בדומיין שצוין בכותרת המארח כדי לבדוק אם יש התאמה.
אם פרטי כתובת ה-URL תואמים, שירות סינון כתובות ה-URL מבצע את הפעולה שהוגדרה בפרופיל האבטחה בחיבור הזה.

אם שירות סינון כתובות ה-URL מאפשר את תעבורת הנתונים היוצאת, שירות גילוי ומניעת חדירות (אם הוא מופעל) יכול לסרוק את תעבורת הנתונים כדי לזהות איומים.

מגבלות

סינון כתובות URL תומך רק בערכים http/1.x ו-http/2. הוא לא תומך ב-QUIC, ב-SNI מוצפן (ESNI) או ב-Client Hello מוצפן (ECH) כשהבדיקה של TLS מופעלת.

אם מפעילים בדיקת TLS,‏ Cloud NGFW לא מעביר תנועה של QUIC,‏ ESNI או ECH. עם זאת, אם משביתים את בדיקת ה-TLS,‏ Cloud NGFW מעביר את התנועה הזו בלי גישה למידע על הדומיין ועל SNI. בתרחיש הזה, Cloud NGFW מאפשר תעבורת נתונים מסוג QUIC,‏ ESNI ו-ECH רק אם יש מסנן כתובות URL שמאפשר זאת באופן מפורש. אם לא מוגדר מסנן הרשאה מפורש, מסנן כתובות ה-URL של ברירת המחדל, שחוסם באופן מרומז, חוסם את התנועה של QUIC,‏ ESNI ו-ECH. מידע נוסף על מסנני כתובות URL עם אישור מפורש ודחייה מרומזת זמין במאמר בנושא מסנן כתובות URL עם דחייה מרומזת.
נקודות קצה של חומת אש יכולות לתמוך רק במנות IP בגודל מוגבל. מידע נוסף זמין במאמר בנושא גודל מנות נתונים נתמך.

המאמרים הבאים

הגדרת שירות סינון כתובות URL