Cloud Next Generation Firewall 的網址篩選服務可讓您封鎖或允許網址,控管網站和網頁的存取權。您可以使用輸出 HTTP (S) 訊息中的網域和伺服器名稱指示(SNI) 資訊,篩選工作負載流量。
由於網址篩選服務會檢查 HTTP 訊息標頭,因此即使目的地伺服器代管您不想封鎖的受信任網站,或 DNS 存取限制無效,您仍可使用這項服務封鎖特定網域的存取權。您可以搭配使用網址篩選服務與入侵偵測和防護服務,拒絕惡意網址的流量、防止存取惡意指令與控制 (C2) 伺服器,以及偵測可執行檔中的惡意軟體。
Cloud NGFW 網址篩選服務會建立 Google 管理的區域防火牆端點,並使用 Google Cloud的封包攔截技術,重新導向及檢查流量,比對設定的網域名稱和 SNI 清單。
封包攔截是一項 Google Cloud 功能,可將網路設備透明插入所選網路流量的路徑,而不修改現有的轉送政策。
使用網址篩選服務的好處
網址篩選服務可減少因 IP 位址經常變更、DNS 變更,以及其他耗時的 IP 位址型防火牆變更,而導致的必要維護作業。這項服務可讓您精確控管可存取的遠端網址。與 IP 位址相比,這項功能可讓您更精細地控管存取權,因為 IP 位址可代管多項服務和網域。
TLS 檢查
網址篩選服務可處理加密和未加密的流量。如果是加密流量,您可以設定 TLS 檢查,讓網址篩選服務解密訊息標頭,並檢查訊息主機標頭中的網域名稱。
網址篩選服務接著會使用網域詳細資料和 TLS 協商期間傳送的純文字 SNI,比對相關聯安全性設定檔定義的設定網址。
即使沒有 TLS 檢查,網址篩選服務仍可處理加密的 HTTP(S) 流量,但網址篩選服務只會依據 TLS 協商期間 clientHello 的 SNI 進行網址比對。對於未加密的 HTTP 流量,無論您是否已啟用 TLS 檢查功能,網址篩選服務都會使用 HTTP 主機標頭進行網址篩選。
Cloud NGFW 僅支援 TLS 攔截和解密,以存取所選加密流量主機標頭中的網域資訊。
網址篩選服務會檢查傳入和輸出連線,包括往返網際網路的流量,以及 Google Cloud內的流量。
如要進一步瞭解 Cloud NGFW 中的 TLS 檢查功能,請參閱「TLS 檢查總覽」。
如要瞭解如何在 Cloud NGFW 中啟用 TLS 檢查功能,請參閱「設定 TLS 檢查」。
網址篩選服務部署模型
下圖顯示網址篩選服務部署範例,其中包含防火牆端點,並為區域單一地帶的虛擬私有雲 (VPC) 網路設定。
網址篩選服務的元件
網址篩選服務需要設定三個主要實體。網址篩選安全性設定檔及其相關聯的安全性設定檔群組、接收流量的防火牆端點,以及附加至端點的防火牆政策。
安全性設定檔和安全性設定檔群組
Cloud NGFW 會使用安全性設定檔和安全性設定檔群組,實作網址篩選服務。
網址篩選安全性設定檔是
url-filtering類型的通用政策結構,包含具有比對字串的網址篩選器。網址篩選服務會使用這些字串,比對 HTTP(S) 訊息的網域名稱和 SNI。每個網址篩選器都包含比對字串清單、專屬優先順序和動作。如要進一步瞭解網址篩選安全性設定檔,請參閱「網址篩選安全性設定檔」。
安全性設定檔群組是安全性設定檔的容器,每個群組都包含一或多個不同類型的安全性設定檔。舉例來說,安全性設定檔群組可以包含屬於
url-filtering和threat-prevention類型的安全性設定檔。防火牆政策規則會參照安全性設定檔群組,為網路流量啟用網址篩選服務、入侵偵測與防範服務,或兩者皆啟用。如要進一步瞭解安全性設定檔群組,請參閱「安全性設定檔群組總覽」。
防火牆端點
防火牆端點是機構資源,在可用區層級建立,可檢查部署所在可用區的第 7 層流量。端點會與同一區域中的一或多個虛擬私有雲建立關聯。如要篩選目標虛擬機器 (VM) 執行個體的流量,請在與目標 VM 所在 VPC 相同的可用區中建立防火牆端點。
對於網址篩選服務,防火牆端點會比對訊息主機標頭中的網域,或在未進行 TLS 檢查的情況下,針對加密流量在 TLS 交涉期間取得的 SNI,與網址篩選安全性設定檔中的網址篩選器。如果端點偵測到相符項目,就會對連線執行與網址篩選器相關聯的動作。這個動作可以是預設動作,也可以是網址過濾安全性設定檔中設定的動作。
如要進一步瞭解防火牆端點及如何設定,請參閱防火牆端點總覽。
防火牆政策
防火牆政策會直接套用至 VM 的所有輸入和輸出流量。您可以使用階層式防火牆政策和全域網路防火牆政策,設定具備第 7 層檢查功能的防火牆政策規則。
防火牆政策規則
防火牆政策規則可讓您控管要攔截及檢查的流量類型。如要設定網址篩選服務,請建立防火牆政策規則,並執行下列操作:
- 使用多個第 3 層和第 4 層防火牆政策規則元件,識別要檢查的流量類型。
- 指定相符流量的
apply_security_profile_group動作安全性設定檔群組名稱。
如要瞭解完整的網址篩選服務工作流程,請參閱「設定網址篩選服務」。
您也可以在防火牆規則中使用安全標記,設定網址篩選服務。您可以使用網路中的標記,以已設定的任何區隔為基礎,並強化流量檢查邏輯,納入網址篩選服務。
網址篩選服務的運作方式
網址篩選服務會依下列順序處理 HTTP(S) 流量:
網址篩選服務會將防火牆政策規則套用至網路中 VM 執行個體或 Google Kubernetes Engine (GKE) 叢集的往來流量。
網址篩選服務會攔截相符的流量,並傳送至防火牆端點進行第 7 層檢查。
如果啟用 TLS 檢查功能,網址篩選服務會解密加密流量的訊息標頭,並使用主機標頭中指定的網域,以及 TLS 協商期間傳送的 SNI,檢查是否與設定的網址相符。
如果流量已加密,但未啟用 TLS 檢查功能,郵件標頭仍會保持加密狀態。網址篩選服務會改用 TLS 協商期間 SNI 中指定的網域。
對於未加密的流量,網址篩選服務一律會使用主機標頭中指定的網域來檢查是否相符。
如果網址資訊相符,網址過濾服務會對該連線執行安全性設定檔中設定的動作。
如果網址篩選服務允許輸出流量,入侵偵測與防範服務 (如已啟用) 可以進一步掃描流量,找出威脅。
限制
網址篩選功能僅支援
http/1.x和http/2。啟用 TLS 檢查時,不支援 QUIC、加密 SNI (ESNI) 或加密 ClientHello (ECH)。啟用 TLS 檢查功能後,Cloud NGFW 不會傳遞 QUIC、ESNI 或 ECH 流量。不過,如果停用 TLS 檢查,Cloud NGFW 會傳遞這類流量,但無法存取網域和 SNI 資訊。在這種情況下,只有在有明確允許的網址篩選條件時,Cloud NGFW 才會允許 QUIC、ESNI 和 ECH 流量。如果沒有明確的允許篩選器,預設的隱含拒絕網址篩選器會封鎖 QUIC、ESNI 和 ECH 流量。如要進一步瞭解明確允許和隱含拒絕網址篩選器,請參閱「隱含拒絕網址篩選器」。
防火牆端點僅支援大小有限的 IP 封包。詳情請參閱「支援的封包大小」。