Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרת שירות סינון כתובות URL

שירות סינון כתובות ה-URL מאפשר לכם לשלוט בגישה לדומיינים ספציפיים באינטרנט על ידי חסימה או מתן הרשאה. כדי להפעיל את שירות סינון כתובות ה-URL ברשת, צריך להגדיר כמה רכיבים של Cloud Next Generation Firewall, כולל נקודות קצה של חומת האש, פרופילי אבטחה וקבוצות של פרופילי אבטחה. במאמר הזה מוסבר איך להגדיר את הרכיבים האלה ולהפעיל את שירות הסינון של כתובות URL.

מידע נוסף על שירות סינון כתובות URL זמין במאמר סקירה כללית של שירות סינון כתובות URL.

התפקידים הנדרשים

תפקידים של ניהול זהויות והרשאות גישה (IAM) קובעים את הפעולות שקשורות להגדרה ולהפעלה של שירות סינון כתובות URL. בטבלה הבאה מתוארים התפקידים הנדרשים לכל שלב:

יכולת	תפקיד נדרש
יצירת נקודת קצה של חומת אש ושיוך של נקודת קצה של חומת אש לרשת של ענן וירטואלי פרטי (VPC)	אחד מהתפקידים הבאים: התפקיד 'אדמין רשתות של Compute' (`roles/compute.networkAdmin`) התפקיד 'אדמין נקודות קצה של חומת אש' (`roles/networksecurity.firewallEndpointAdmin`) ברמת הארגון עבור נקודות קצה של חומת אש ברמת הארגון, וברמת הפרויקט (גרסת Preview) או ברמת הארגון עבור נקודות קצה של חומת אש התפקידים האלה כוללים את ההרשאה הבאה ליצירת נקודת קצה של חומת אש: `networksecurity.firewallEndpoints.create` בנוסף, התפקידים האלה כוללים את ההרשאות הבאות ליצירת שיוך של נקודת קצה של חומת אש: `networksecurity.firewallEndpointAssociations.create` `networksecurity.firewallEndpoints.use` בארגון שבו קיימת נקודת הקצה של חומת האש
יצירה של פרופיל אבטחה לסינון כתובות URL, פרופיל אבטחה למניעת איומים וקבוצת פרופילי אבטחה	תפקיד אדמין של פרופיל אבטחה (`roles/networksecurity.securityProfileAdmin`) ברמת הארגון לקבוצות של פרופילי אבטחה ברמת הארגון, וברמת הפרויקט (תצוגה מקדימה) או ברמת הארגון לקבוצות של פרופילי אבטחה התפקיד הזה כולל את ההרשאות הנדרשות הבאות: `networksecurity.securityProfileGroups.create` ליצור קבוצה של פרופילי אבטחה `networksecurity.securityProfiles.create` ליצור פרופיל אבטחה לסינון כתובות URL או פרופיל אבטחה למניעת איומים
יצירה של מדיניות חומת אש היררכית והכללים שלה	התפקיד 'אדמין של מדיניות חומת אש בארגון Compute' (`roles/compute.orgFirewallPolicyAdmin`) התפקיד הזה נדרש כדי ליצור מדיניות חומת אש היררכית. צריך להעניק את התפקיד במשאב שבו רוצים ליצור את המדיניות. בנוסף, צריך את התפקיד הזה כדי ליצור כלל במדיניות חומת אש היררכית. צריך להקצות את התפקיד במשאב שמכיל את המדיניות או במדיניות עצמה. התפקיד מכיל את ההרשאות הנדרשות הבאות: ‫`compute.firewallPolicies.create` ליצירת מדיניות חומת אש היררכית ‫`compute.firewallPolicies.update` ליצירת כלל מדיניות חומת אש היררכית
שיוך מדיניות חומת אש היררכית לארגון או לתיקייה	אחת מהקבוצות הבאות של תפקידים: התפקיד 'אדמין של משאב Compute בארגון' (`roles/compute.orgSecurityResourceAdmin`) במשאב היעד ו התפקיד 'משתמש במדיניות חומת אש של Compute בארגון' (`roles/compute.orgFirewallPolicyUser`) במשאב המדיניות או במדיניות עצמה או התפקיד 'אדמין של משאב Compute בארגון' (`roles/compute.orgSecurityResourceAdmin`) במשאב היעד ו התפקיד 'אדמין של מדיניות חומת אש של Compute בארגון' (`roles/compute.orgFirewallPolicyAdmin`) במשאב המדיניות או במדיניות עצמה התפקידים האלה כוללים את ההרשאות הנדרשות הבאות: ‫`compute.firewallPolicies.addAssociation` במדיניות חומת האש ‫`compute.organizations.setFirewallPolicy` במשאב היעד
יצירה של מדיניות חומת אש בין רשתות גלובלית והכללים שלה	התפקיד 'אדמין אבטחה של Compute' (`roles/compute.securityAdmin`) צריך את התפקיד הזה כדי ליצור מדיניות גלובלית של חומת אש ברשת. צריך להעניק את התפקיד בפרויקט שבו רוצים ליצור את המדיניות. בנוסף, צריך את התפקיד הזה כדי ליצור כלל במדיניות חומת אש גלובלית ברשת. צריך להעניק את התפקיד בפרויקט שמכיל את המדיניות או במדיניות עצמה.‫ התפקיד מכיל את ההרשאות הנדרשות הבאות: ‫`compute.firewallPolicies.create` ליצירת מדיניות חומת אש בין רשתות גלובלית ‫`compute.firewallPolicies.update` ליצירת כלל של מדיניות חומת אש בין רשתות גלובלית
שיוך מדיניות חומת אש בין רשתות גלובלית לרשת VPC	התפקיד 'אדמין רשתות של Compute' (`roles/compute.networkAdmin`) התפקיד הזה כולל את ההרשאות הנדרשות הבאות: `compute.firewallPolicies.use` `compute.networks.setFirewallPolicy`
יצירת מאגר רשויות אישורים	תפקיד מנהל תפעול של שירות CA (`roles/privateca.caManager`) אם אתם משתמשים בבדיקה של Transport Layer Security‏ (TLS), אתם צריכים את התפקיד הזה כדי ליצור מאגר CA.
יצירת מדיניות לבדיקת TLS	התפקיד Compute Network Admin (`roles/compute.networkAdmin`) התפקיד Compute Security Admin (`roles/compute.securityAdmin`) אם אתם משתמשים בבדיקת TLS, אתם צריכים אחד מהתפקידים שלמעלה כדי ליצור מדיניות לבדיקת TLS. התפקידים האלה כוללים את ההרשאות הנדרשות הבאות: `certificatemanager.trustconfigs.list` `certificatemanager.trustconfigs.use` `networksecurity.operations.get` `networksecurity.tlsInspectionPolicies.create` `networksecurity.tlsInspectionPolicies.list` `privateca.caPools.list` `privateca.caPools.use` `privateca.certificateAuthorities.list`

כדי לקרוא הסבר על מתן תפקידים, קראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שתוכלו לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.

הגדרת שירות סינון כתובות URL ללא בדיקת TLS

כדי להגדיר את שירות סינון כתובות ה-URL ברשת, מבצעים את המשימות הבאות.

יוצרים נקודת קצה של חומת אש.

נקודת קצה של חומת אש היא משאב של תחום מוגדר שצריך ליצור באותו תחום (zone) שבו נמצאת עומס העבודה שרוצים להגן עליו באמצעות שירות סינון כתובות URL.

אפשר ליצור נקודת קצה של חומת אש עם תמיכה ב-jumbo frame או בלי תמיכה כזו.

מידע נוסף זמין במאמר יצירת נקודת קצה של חומת אש.
משייכים את נקודת הקצה של חומת האש לרשתות ה-VPC.

כדי להפעיל את שירות סינון כתובות ה-URL, צריך לשייך את נקודת הקצה של חומת האש לרשתות ה-VPC. מוודאים שהעומסים מופעלים באותו אזור כמו נקודת הקצה של חומת האש.

נקודת קצה של חומת אש עם תמיכה ב-jumbo frame יכולה לקבל חבילות של עד 8,500 בייט. לחלופין, נקודת קצה של חומת אש ללא תמיכה ב-jumbo frame יכולה לקבל מנות עד 1,460 בייט. אם אתם צריכים שירות סינון כתובות URL, מומלץ להגדיר את רשתות ה-VPC המשויכות כך שישתמשו במגבלות יחידת השידור המקסימלית (MTU) של 8,500 בייט ו-1,460 בייט. מידע נוסף זמין במאמר בנושא גודל מנות נתונים נתמך.

זהירות: נקודת קצה של חומת אש לא מבצעת שירות סינון כתובות URL עבור רשת VPC אם הרשת מוגדרת עם MTU שגדול מהמגבלה של נקודת הקצה של חומת האש.

מידע נוסף על יצירת שיוכים של נקודות קצה לחומת אש זמין במאמר יצירת שיוכים של נקודות קצה לחומת אש.
יוצרים פרופיל אבטחה לסינון כתובות URL.

כדי לאפשר או לחסום גישה לדומיינים ספציפיים, יוצרים פרופיל אבטחה מסוג url-filtering ומשתמשים ברשימות של כתובות URL כדי לציין את מחרוזות ההתאמה.

מידע נוסף זמין במאמר יצירת פרופיל אבטחה לסינון כתובות URL.
אפשר גם ליצור פרופיל אבטחה כדי לסרוק את התנועה לאיתור איומים.

כדי לסרוק את התנועה לאיתור איומי אבטחה, יוצרים עוד פרופיל אבטחה מסוג threat-prevention. בודקים את רשימת חתימות האיומים, מעריכים את תגובות ברירת המחדל ומתאימים אישית את הפעולות לחתימות שנבחרו בהתאם לדרישות.

מידע נוסף זמין במאמר בנושא יצירת פרופיל אבטחה למניעת איומים. מידע נוסף על שירות גילוי חדירות ומניעתן זמין במאמר סקירה כללית של שירות גילוי חדירות ומניעתן.
יוצרים קבוצה של פרופילי אבטחה.

קבוצת פרופילים של אבטחה משמשת כמאגר לפרופילים של אבטחה. יוצרים קבוצת פרופילי אבטחה כדי לכלול בה את פרופילי האבטחה שיצרתם בשלבים הקודמים.

מידע נוסף זמין במאמר בנושא יצירת קבוצה של פרופילי אבטחה.
מגדירים את שירות סינון כתובות ה-URL ומחילים אותו על תעבורת הרשת.

כדי להגדיר את שירות סינון כתובות ה-URL, צריך ליצור מדיניות גלובלית של חומת אש ברשת או מדיניות היררכית של חומת אש עם בדיקה בשכבה 7.
- אם יוצרים מדיניות חדשה של חומת אש גלובלית או משתמשים במדיניות קיימת, מוסיפים כלל מדיניות של חומת אש עם הפעולה apply_security_profile_group ומציינים את השם של קבוצת פרופילי האבטחה שיצרתם קודם. מוודאים שמדיניות חומת האש משויכת לאותה רשת VPC כמו עומסי העבודה שדורשים בדיקה.
  
  מידע נוסף זמין במאמרים בנושא יצירת מדיניות גלובלית של חומת אש לרשת ויצירת כלל.
- אם יוצרים מדיניות חדשה של חומת אש היררכית או משתמשים במדיניות קיימת, מוסיפים כלל מדיניות של חומת אש עם הפעולה apply_security_profile_group. מוודאים שמדיניות חומת האש משויכת לאותה רשת VPC כמו עומסי העבודה שנדרש לבדוק.
  
  מידע נוסף זמין במאמר בנושא יצירת כלל.

הגדרת שירות סינון כתובות URL עם בדיקת TLS

כדי להגדיר את שירות סינון כתובות ה-URL באמצעות בדיקת TLS ברשת, מבצעים את המשימות הבאות.

יוצרים נקודת קצה של חומת אש.

אפשר ליצור נקודת קצה של חומת אש עם תמיכה ב-jumbo frame או בלי תמיכה כזו.

נקודת קצה של חומת אש היא משאב של תחום מוגדר שצריך ליצור באותו תחום (zone) שבו נמצאת עומס העבודה שרוצים להגן עליו באמצעות שירות סינון כתובות URL.

מידע נוסף זמין במאמר יצירת נקודת קצה של חומת אש.
משייכים את נקודת הקצה של חומת האש לרשתות ה-VPC.

כדי להפעיל את שירות סינון כתובות ה-URL, צריך לשייך את נקודת הקצה של חומת האש לרשתות ה-VPC. מוודאים שהעומסים מופעלים באותו אזור כמו נקודת הקצה של חומת האש.

נקודת קצה של חומת אש עם תמיכה ב-jumbo frame יכולה לקבל חבילות של עד 8,500 בייט. לחלופין, נקודת קצה של חומת אש ללא תמיכה ב-jumbo frame יכולה לקבל מנות עד 1,460 בייט. אם אתם צריכים שירות סינון כתובות URL, מומלץ להגדיר את רשתות ה-VPC המשויכות כך שישתמשו במגבלות יחידת השידור המקסימלית (MTU) של 8,500 בייט ו-1,460 בייט. מידע נוסף זמין במאמר בנושא גודל מנות נתונים נתמך.

זהירות: נקודת קצה של חומת אש לא מבצעת שירות סינון כתובות URL עבור רשת VPC אם הרשת מוגדרת עם MTU שגדול מהמגבלה של נקודת הקצה של חומת האש.

מידע נוסף על יצירת שיוכים של נקודות קצה לחומת אש זמין במאמר יצירת שיוכים של נקודות קצה לחומת אש.
יוצרים פרופיל אבטחה לסינון כתובות URL.

כדי לאפשר או לחסום גישה לדומיינים ספציפיים, יוצרים פרופיל אבטחה מסוג url-filtering ומשתמשים ברשימות של כתובות URL כדי לציין את מחרוזות ההתאמה.

מידע נוסף זמין במאמר יצירת פרופיל אבטחה לסינון כתובות URL.
אפשר גם ליצור פרופיל אבטחה כדי לסרוק את התנועה לאיתור איומים.

כדי לסרוק את התנועה לאיתור איומי אבטחה, יוצרים עוד פרופיל אבטחה מסוג threat-prevention. בודקים את רשימת חתימות האיומים, מעריכים את תגובות ברירת המחדל ומתאימים אישית את הפעולות לחתימות שנבחרו בהתאם לדרישות.

מידע נוסף זמין במאמר בנושא יצירת פרופיל אבטחה למניעת איומים. מידע נוסף על שירות גילוי חדירות ומניעתן זמין במאמר סקירה כללית של שירות גילוי חדירות ומניעתן.
יוצרים קבוצה של פרופילי אבטחה.

קבוצת פרופילים של אבטחה משמשת כמאגר לפרופילים של אבטחה. יוצרים קבוצת פרופילי אבטחה כדי לכלול בה את פרופילי האבטחה שיצרתם בשלבים הקודמים.

מידע נוסף זמין במאמר בנושא יצירת קבוצה של פרופילי אבטחה.
יצירה והגדרה של משאבים לבדיקת תנועה מוצפנת.
1. יוצרים מאגר של רשויות אישורים (CA).
  
  מאגר CA הוא אוסף של רשויות אישורים עם מדיניות משותפת להנפקת אישורים ומדיניות IAM משותפת. צריך ליצור מאגר אזורי של רשויות שמנפיקות אישורים (CA) לפני שמגדירים בדיקת TLS.
  
  מידע נוסף זמין במאמר בנושא יצירת מאגר של רשויות אישורים.
2. יוצרים רשות אישורים (CA) עליונה.
  
  כדי להשתמש בבדיקת TLS, צריך להיות לכם לפחות אישור CA אחד של רשות בסיסית. ה-CA הבסיסי חותם על CA ביניים, שחותם על כל האישורים הסופיים של הלקוחות. מידע נוסף מופיע במאמרי העזרה בנושא הפקודה gcloud privateca roots create.
3. נותנים את ההרשאות הנדרשות לסוכן שירות אבטחת הרשת (P4SA).
  
  ‫Cloud NGFW דורש P4SA כדי ליצור רשויות אישורים (CA) ביניים לבדיקת TLS. לסוכן השירות צריכות להיות ההרשאות הנדרשות כדי לבקש אישורים למאגר רשויות האישורים.
  
  מידע נוסף מופיע במאמר יצירת חשבון שירות.
יוצרים מדיניות אזורית לבדיקת TLS.

מדיניות בדיקת TLS מציינת איך ליירט תעבורה מוצפנת. מדיניות אזורית לבדיקת TLS יכולה להכיל את ההגדרות לבדיקת TLS.

מידע נוסף זמין במאמר בנושא יצירת מדיניות לבדיקת TLS.
משייכים את נקודת הקצה של חומת האש למדיניות הבדיקה של TLS.
מגדירים את שירות סינון כתובות ה-URL ומחילים אותו על תעבורת הרשת.

כדי להגדיר את שירות סינון כתובות ה-URL, צריך ליצור מדיניות גלובלית של חומת אש ברשת או מדיניות היררכית של חומת אש עם בדיקה בשכבה 7.
- אם יוצרים מדיניות חדשה של חומת אש גלובלית או משתמשים במדיניות קיימת, מוסיפים כלל מדיניות של חומת אש עם הפעולה apply_security_profile_group ומציינים את השם של קבוצת פרופילי האבטחה שיצרתם קודם. מוודאים שמדיניות חומת האש משויכת לאותה רשת VPC כמו עומסי העבודה שדורשים בדיקה.
  
  מידע נוסף זמין במאמרים בנושא יצירת מדיניות גלובלית של חומת אש ברשת ויצירת כלל.
- אם יוצרים מדיניות חדשה של חומת אש היררכית או משתמשים במדיניות קיימת, צריך להוסיף כלל למדיניות חומת האש עם הפעולה apply_security_profile_group שהוגדרה. מוודאים שמדיניות חומת האש משויכת לאותה רשת VPC כמו עומסי העבודה שדורשים בדיקה.
  
  מידע נוסף זמין במאמר בנושא יצירת כלל.

דוגמה למודל פריסה

בתרשים הבא מוצגת דוגמה לפריסה של שירות סינון כתובות URL עם כמה נקודות קצה של חומת אש, שהוגדרו לשתי רשתות VPC באותו אזור אבל בשני אזורים שונים.

פריסת שירות סינון כתובות URL באזור מסוים. — פריסת שירות סינון כתובות URL באזור (לחצו כדי להגדיל).

לפריסה לדוגמה יש את ההגדרות הבאות:

שתי קבוצות של פרופילי אבטחה:
1. Security profile group 1 עם פרופיל אבטחה Security profile 1.
2. Security profile group 2 עם פרופיל אבטחה Security profile 2.
ל-VPC 1 של הלקוח (VPC 1) יש מדיניות חומת אש עם קבוצת פרופילי האבטחה שמוגדרת ל-Security profile group 1.
ל-VPC 2 של הלקוח (VPC 2) יש מדיניות חומת אש שקבוצת פרופילי האבטחה שלה מוגדרת ל-Security profile group 2.
נקודת הקצה של חומת האש Firewall endpoint 1 מבצעת סינון של כתובות URL עבור עומסי עבודה שפועלים ב-VPC 1 וב-VPC 2 באזור us-west1-a.
נקודת הקצה של חומת האש Firewall endpoint 2 מבצעת סינון של כתובות URL עם בדיקת TLS מופעלת לעומסי עבודה שפועלים ב-VPC 1 וב-VPC 2 באזור us-west1-b.