Se usó la API de Cloud Translation para traducir esta página.

Configura el servicio de filtrado de URLs

El servicio de filtrado de URLs te permite controlar el acceso a dominios web específicos bloqueándolos o permitiéndolos. Para habilitar el servicio de filtrado de URLs en tu red, debes configurar varios componentes de Cloud Next Generation Firewall, incluidos los extremos de firewall, los perfiles de seguridad y los grupos de perfiles de seguridad. En este documento, se proporciona un flujo de trabajo de alto nivel en el que se describe cómo configurar estos componentes y habilitar el servicio de filtrado de URLs.

Para obtener más información sobre el servicio de filtros de URL, consulta la descripción general del servicio de filtros de URL.

Configura el servicio de filtrado de URL sin inspección de TLS

Para configurar el servicio de filtrado de URLs en tu red, realiza las siguientes tareas.

Crea un perfil de seguridad para el filtrado de URLs.

Para permitir o rechazar el acceso a dominios específicos, crea un perfil de seguridad de tipo url-filtering y usa listas de URLs para especificar tus cadenas de coincidencia.

Para obtener más información, consulta Crea un perfil de seguridad de filtrado de URLs.
De manera opcional, puedes crear un perfil de seguridad para analizar el tráfico en busca de amenazas.

Para analizar el tráfico en busca de amenazas a la seguridad, crea otro perfil de seguridad de tipo threat-prevention. Revisa la lista de firmas de amenazas, evalúa las respuestas predeterminadas y personaliza las acciones para las firmas seleccionadas según tus requisitos.

Para obtener más información, consulta Crea un perfil de seguridad de prevención de amenazas. Para obtener más información sobre el servicio de detección y prevención de intrusiones, consulta Descripción general del servicio de detección y prevención de intrusiones.
Crea un grupo de perfiles de seguridad.

Un grupo de perfiles de seguridad actúa como contenedor de perfiles de seguridad. Crea un grupo de perfiles de seguridad para incluir los perfiles de seguridad que creaste en los pasos anteriores.

Para obtener más información, consulta Crea un grupo de perfiles de seguridad.
Crea un extremo de firewall.

Un extremo de firewall es un recurso zonal que debes crear en la misma zona que la carga de trabajo que deseas proteger con el servicio de filtrado de URL.

Puedes crear un extremo de firewall con o sin compatibilidad con tramas jumbo.

Para obtener más información, consulta Crea un extremo de firewall.
Asocia el extremo de firewall con tus redes de VPC.

Para habilitar el servicio de filtrado de URLs, asocia el extremo de firewall con tus redes de VPC. Asegúrate de ejecutar las cargas de trabajo en la misma zona que el extremo del firewall.

Un extremo de firewall que admite tramas jumbo solo puede aceptar paquetes de hasta 8,500 bytes. Como alternativa, un extremo de firewall sin compatibilidad con tramas jumbo solo puede aceptar paquetes de hasta 1,460 bytes.

Dado que un extremo no realiza el servicio de detección y prevención de intrusiones para paquetes más grandes, te recomendamos que configures las redes de VPC asociadas para que usen los límites de la unidad de transmisión máxima (MTU) de 8,500 bytes y 1,460 bytes. Para obtener más información, consulta Tamaño de paquete admitido.

Precaución: Debido a que un extremo de firewall no realiza la detección de intrusiones ni el servicio de prevención si los paquetes superan el límite de MTU, configura las redes de VPC para que sigan el límite o no uses la inspección de capa 7 para las redes de VPC que superen el límite.

Para obtener más información sobre cómo crear asociaciones de extremos de firewall, consulta Crea asociaciones de extremos de firewall.
Configura y aplica el servicio de filtrado de URLs a tu tráfico de red.

Para configurar el servicio de filtrado de URL, crea una política de firewall de red global o una política de firewall jerárquica con inspección de capa 7.
- Si creas una política de firewall global nueva o usas una existente, agrega una regla de política de firewall con la acción apply_security_profile_group y especifica el nombre del grupo de perfil de seguridad que creaste anteriormente. Asegúrate de que la política de firewall esté asociada con la misma red de VPC que las cargas de trabajo que requieren inspección.
  
  Para obtener más información, consulta Crea una política de firewall de red global y Crea una regla.
- Si creas una política de firewall jerárquica nueva o usas una existente, agrega una regla de política de firewall con la acción apply_security_profile_group. Asegúrate de que la política de firewall esté asociada con la misma red de VPC que las cargas de trabajo que requieren inspección.
  
  Para obtener más información, consulta Crea una regla.

Configura el servicio de filtrado de URLs con inspección de TLS

Para configurar el servicio de filtrado de URLs con la inspección de seguridad de la capa de transporte (TLS) en tu red, realiza las siguientes tareas.

Crea un perfil de seguridad para el filtrado de URLs.

Para permitir o rechazar el acceso a dominios específicos, crea un perfil de seguridad de tipo url-filtering y usa listas de URLs para especificar tus cadenas de coincidencia.

Para obtener más información, consulta Crea un perfil de seguridad de filtrado de URLs.
De manera opcional, puedes crear un perfil de seguridad para analizar el tráfico en busca de amenazas.

Para analizar el tráfico en busca de amenazas de seguridad, crea otro perfil de seguridad de tipo threat-prevention. Revisa la lista de firmas de amenazas, evalúa las respuestas predeterminadas y personaliza las acciones para las firmas seleccionadas según tus requisitos.

Para obtener más información, consulta Crea un perfil de seguridad de prevención de amenazas. Para obtener más información sobre el servicio de detección y prevención de intrusiones, consulta Descripción general del servicio de detección y prevención de intrusiones.
Crea un grupo de perfiles de seguridad.

Un grupo de perfiles de seguridad actúa como contenedor de perfiles de seguridad. Crea un grupo de perfiles de seguridad para incluir los perfiles de seguridad que creaste en los pasos anteriores.

Para obtener más información, consulta Crea un grupo de perfiles de seguridad.
Crea un extremo de firewall.

Puedes crear un extremo de firewall con o sin compatibilidad con tramas jumbo.

Un extremo de firewall es un recurso zonal que debes crear en la misma zona que la carga de trabajo que deseas proteger con el servicio de filtrado de URL.

Para obtener más información, consulta Crea un extremo de firewall.
Crea y configura recursos para inspeccionar el tráfico encriptado.
1. Crea un grupo de autoridades certificadoras (AC).
  
  Un grupo de AC es un conjunto de AC con una política común de emisión de certificados y de administración de Identity and Access Management (IAM). Debe existir un grupo de CA regional antes de que puedas configurar la inspección de TLS.
  
  Para obtener más información, consulta Crea un grupo de AC.
2. Crea una CA raíz.
  
  Para usar la inspección de TLS, debes tener al menos una CA raíz. La CA raíz firma una CA intermedia, que luego firma todos los certificados de hoja para los clientes. Para obtener más información, consulta la documentación de referencia del comando gcloud privateca roots create.
3. Otorga los permisos necesarios al agente de servicio de seguridad de redes (P4SA).
  
  Cloud NGFW requiere un P4SA para generar CA intermedias para la inspección de TLS. El agente de servicio necesita los permisos necesarios para solicitar certificados para el grupo de CA.
  
  Para obtener más información, consulta Crea una cuenta de servicio.
Crea una política de inspección de TLS regional.

Una política de inspección de TLS especifica cómo interceptar el tráfico encriptado. Una política de inspección de TLS regional puede contener las configuraciones para la inspección de TLS.

Para obtener más información, consulta Crea una política de inspección de TLS.
Asocia el extremo de firewall con tus redes de VPC.

Para habilitar el servicio de filtrado de URLs, asocia el extremo de firewall con tus redes de VPC. Asegúrate de ejecutar las cargas de trabajo en la misma zona que el extremo del firewall.

Un extremo de firewall que admite tramas jumbo solo puede aceptar paquetes de hasta 8,500 bytes. Como alternativa, un extremo de firewall sin compatibilidad con tramas jumbo solo puede aceptar paquetes de hasta 1,460 bytes.

Dado que un extremo no realiza el servicio de detección y prevención de intrusiones para paquetes más grandes, te recomendamos que configures las redes de VPC asociadas para que usen los límites de la unidad de transmisión máxima (MTU) de 8,500 bytes y 1,460 bytes. Para obtener más información, consulta Tamaño de paquete admitido.

Precaución: Debido a que un extremo de firewall no realiza la detección de intrusiones ni el servicio de prevención si los paquetes superan el límite de MTU, configura las redes de VPC para que sigan el límite o no uses la inspección de capa 7 para las redes de VPC que superen el límite.

Para obtener más información sobre cómo crear asociaciones de extremos de firewall, consulta Crea asociaciones de extremos de firewall.

Además, asocia el extremo de firewall con una política de inspección de TLS.
Configura y aplica el servicio de filtrado de URLs a tu tráfico de red.

Para configurar el servicio de filtrado de URL, crea una política de firewall de red global o una política de firewall jerárquica con inspección de capa 7.
- Si creas una política de firewall global nueva o usas una existente, agrega una regla de política de firewall con la acción apply_security_profile_group y especifica el nombre del grupo de perfil de seguridad que creaste anteriormente. Asegúrate de que la política de firewall esté asociada con la misma red de VPC que las cargas de trabajo que requieren inspección.
  
  Para obtener más información, consulta Crea una política de firewall de red global y Crea una regla.
- Si creas una política de firewall jerárquica nueva o usas una existente, agrega una regla de política de firewall con la acción apply_security_profile_group configurada. Asegúrate de que la política de firewall esté asociada con la misma red de VPC que las cargas de trabajo que requieren inspección.
  
  Para obtener más información, consulta Crea una regla.

Ejemplo de modelo de implementación

En el siguiente diagrama, se muestra un ejemplo de la implementación del servicio de filtrado de URLs con varios extremos de firewall, configurado para dos redes de VPC en la misma región, pero en dos zonas diferentes.

Implementa el servicio de filtrado de URLs en una región. — Implementa el servicio de filtrado de URLs en una región (haz clic para ampliar).

La implementación de ejemplo tiene la siguiente configuración:

Dos grupos de perfiles de seguridad:
1. Security profile group 1 con el perfil de seguridad Security profile 1.
2. Security profile group 2 con el perfil de seguridad Security profile 2.
La VPC 1 del cliente (VPC 1) tiene una política de firewall con su grupo de perfiles de seguridad establecido en Security profile group 1.
La VPC 2 del cliente (VPC 2) tiene una política de firewall con su grupo de perfil de seguridad establecido en Security profile group 2.
El extremo de firewall Firewall endpoint 1 realiza el filtrado de URLs para las cargas de trabajo que se ejecutan en VPC 1 y VPC 2 en la zona us-west1-a.
El extremo de firewall Firewall endpoint 2 realiza el filtrado de URLs con la inspección de TLS habilitada para las cargas de trabajo que se ejecutan en VPC 1 y VPC 2 en la zona us-west1-b.