網址篩選服務可封鎖或允許特定網域,藉此控管存取權。如要在網路中啟用網址過濾服務,您必須設定多個 Cloud Next Generation Firewall 元件,包括防火牆端點、安全性設定檔和安全性設定檔群組。本文提供高階工作流程,說明如何設定這些元件,以及啟用網址篩選服務。
如要進一步瞭解網址篩選服務,請參閱網址篩選服務總覽。
設定不含 TLS 檢查的網址篩選服務
如要在網路中設定網址篩選服務,請完成下列工作。
。建立網址篩選的安全性設定檔。
如要允許或拒絕存取特定網域,請建立
url-filtering類型的安全性設定檔,並使用網址清單指定比對字串。詳情請參閱「建立網址篩選安全設定檔」。
您可以選擇是否建立安全性設定檔,掃描流量中的威脅。
如要掃描流量中的安全威脅,請建立另一個
threat-prevention類型的安全設定檔。查看威脅簽章清單、評估預設回應,並根據需求自訂所選簽章的動作。詳情請參閱「建立威脅防護安全設定檔」。如要進一步瞭解入侵偵測與防範服務,請參閱「入侵偵測與防範服務總覽」。
建立安全性設定檔群組。
安全性設定檔群組是安全性設定檔的容器。建立安全性設定檔群組,納入您在先前步驟中建立的安全性設定檔。
詳情請參閱「建立安全性設定檔群組」。
建立防火牆端點。
防火牆端點是區域資源,您必須在與要透過 URL 篩選服務保護的工作負載相同的區域中建立。
您可以建立支援或不支援巨型封包的防火牆端點。
詳情請參閱建立防火牆端點。
將防火牆端點與虛擬私有雲網路建立關聯。
如要啟用網址篩選服務,請將防火牆端點與虛擬私有雲網路建立關聯。請確認您在與防火牆端點相同的區域中執行工作負載。
支援巨型封包的防火牆端點只能接受大小上限為 8,500 個位元組的封包。或者,不支援巨型封包的防火牆端點只能接受大小上限為 1,460 個位元組的封包。
由於端點不會對較大的封包執行入侵偵測和防護服務,因此建議您將相關聯的 VPC 網路設定為使用 8,500 位元組和 1,460 位元組的最大傳輸單位 (MTU) 限制。詳情請參閱「 支援的封包大小」。
如要進一步瞭解如何建立防火牆端點關聯,請參閱「建立防火牆端點關聯」。
設定網址篩選服務並套用至網路流量。
如要設定網址篩選服務,請建立具備第 7 層檢查功能的全域網路防火牆政策或階層式防火牆政策。
如果您要建立新的全域防火牆政策或使用現有政策,請新增具有
apply_security_profile_group動作的防火牆政策規則,並指定先前建立的安全性設定檔群組名稱。確認防火牆政策與需要檢查的工作負載位於相同的虛擬私有雲網路。詳情請參閱「建立全域網路防火牆政策」和「建立全域網路防火牆規則」。
如果您建立新的階層式防火牆政策或使用現有政策,請新增含有
apply_security_profile_group動作的防火牆政策規則。確認防火牆政策與需要檢查的工作負載位於同一個虛擬私有雲網路。詳情請參閱建立防火牆規則。
設定 TLS 檢查功能,以使用網址篩選服務
如要在網路中設定 傳輸層安全標準 (TLS) 檢查,請執行下列工作。
建立網址篩選安全性設定檔。
如要允許或拒絕存取特定網域,請建立
url-filtering類型的安全性設定檔,並使用網址清單指定比對字串。詳情請參閱「建立網址篩選安全設定檔」。
您可以選擇是否建立安全性設定檔,掃描流量中的威脅。
如要掃描流量中的安全性威脅,請建立另一個
threat-prevention類型的安全性設定檔。查看威脅簽章清單、評估預設回應,並根據需求自訂所選簽章的動作。詳情請參閱「建立威脅防護安全設定檔」。如要進一步瞭解入侵偵測與防範服務,請參閱「入侵偵測與防範服務總覽」。
建立安全性設定檔群組。
安全性設定檔群組是安全性設定檔的容器。建立安全性設定檔群組,納入您在先前步驟中建立的安全性設定檔。
詳情請參閱「建立安全性設定檔群組」。
建立防火牆端點。
您可以建立支援或不支援巨型封包的防火牆端點。
防火牆端點是區域資源,您必須在與要透過 URL 篩選服務保護的工作負載相同的區域中建立。
詳情請參閱建立防火牆端點。
建立及設定資源,檢查加密流量。
建立憑證授權單位 (CA) 集區。
CA 集區內含多個 CA,這些 CA 採用相同的憑證核發政策和 Identity and Access Management (IAM) 政策。您必須先建立區域性 CA 集區,才能設定 TLS 檢查功能。
詳情請參閱「建立 CA 集區」。
建立根 CA。
如要使用 TLS 檢查功能,您至少要有一個根 CA。根 CA 會簽署中介 CA,然後中介 CA 會簽署用戶端的所有分葉憑證。詳情請參閱
gcloud privateca roots create指令的參考說明文件。授予 Network Security 服務代理 (P4SA) 必要權限。
Cloud NGFW 需要 P4SA 才能產生中繼 CA,以進行 TLS 檢查。服務代理需要必要權限,才能為 CA 集區要求憑證。
詳情請參閱「建立服務帳戶」。
建立區域 TLS 檢查政策。
TLS 檢查政策會指定如何攔截加密流量。區域 TLS 檢查政策可保留 TLS 檢查的設定。
詳情請參閱「建立 TLS 檢查政策」。
將防火牆端點與虛擬私有雲網路建立關聯。
如要啟用網址篩選服務,請將防火牆端點與虛擬私有雲網路建立關聯。請確認您在與防火牆端點相同的區域中執行工作負載。
支援巨型封包的防火牆端點只能接受大小上限為 8,500 個位元組的封包。或者,不支援巨型封包的防火牆端點只能接受大小上限為 1,460 個位元組的封包。
由於端點不會對較大的封包執行入侵偵測和防護服務,因此建議您將相關聯的 VPC 網路設定為使用 8,500 位元組和 1,460 位元組的最大傳輸單位 (MTU) 限制。詳情請參閱「 支援的封包大小」。
如要進一步瞭解如何建立防火牆端點關聯,請參閱「建立防火牆端點關聯」。
此外,請將防火牆端點與 TLS 檢查政策建立關聯。
設定網址篩選服務並套用至網路流量。
如要設定網址篩選服務,請建立具備第 7 層檢查功能的全域網路防火牆政策或階層式防火牆政策。
如果您要建立新的全域防火牆政策或使用現有政策,請新增具有
apply_security_profile_group動作的防火牆政策規則,並指定先前建立的安全性設定檔群組名稱。確認防火牆政策與需要檢查的工作負載位於相同的虛擬私有雲網路。詳情請參閱「建立全域網路防火牆政策」和「建立全域網路防火牆政策規則」。
如果您建立新的階層式防火牆政策或使用現有政策,請新增已設定
apply_security_profile_group動作的防火牆政策規則。確認防火牆政策與需要檢查的工作負載位於相同的虛擬私有雲網路。詳情請參閱建立防火牆規則。
部署模式範例
下圖顯示網址篩選服務部署範例,其中包含多個防火牆端點,並為同一區域但不同可用區的兩個虛擬私有雲網路設定。
範例部署作業的設定如下:
兩個安全性設定檔群組:
Security profile group 1,並使用安全性設定檔Security profile 1。Security profile group 2,並使用安全性設定檔Security profile 2。
客戶虛擬私有雲 1 (
VPC 1) 具有防火牆政策,且安全性設定檔群組設為Security profile group 1。客戶虛擬私有雲 2 (
VPC 2) 的防火牆政策已將安全性設定檔群組設為Security profile group 2。防火牆端點
Firewall endpoint 1會對在可用區us-west1-a的VPC 1和VPC 2上執行的工作負載執行網址篩選。防火牆端點
Firewall endpoint 2會對在可用區us-west1-b的VPC 1和VPC 2上執行的工作負載啟用 TLS 檢查,並執行網址篩選。