借助网址过滤服务,您可以通过屏蔽或允许特定网域来控制对这些网域的访问权限。如需在网络中启用网址过滤服务,您必须设置多个 Cloud Next Generation Firewall 组件,包括防火墙端点、安全配置文件和安全配置文件组。本文档简要介绍配置这些组件以及启用网址过滤服务的工作流。
如需详细了解网址过滤服务,请参阅网址过滤服务 概览。
所需的角色
Identity and Access Management (IAM) 角色控制与配置和启用网址过滤服务相关的操作。下表介绍了每个步骤所需的角色:
| 特性 | 必要角色 |
|---|---|
| 为 Virtual Private Cloud (VPC) 网络 创建防火墙端点和防火墙端点关联 | 以下任一角色: Compute Network Admin 角色 ( roles/compute.networkAdmin)Firewall Endpoint Admin 角色 ( roles/networksecurity.firewallEndpointAdmin),对于组织级防火墙端点,此角色在组织级层授予;对于防火墙端点,此角色在项目级层(预览版)或组织级层授予这些角色包含创建防火墙端点所需的以下权限: networksecurity.firewallEndpoints.create此外,这些角色还包含创建防火墙端点关联所需的以下权限: networksecurity.firewallEndpointAssociations.createnetworksecurity.firewallEndpoints.use(在防火墙端点所在的组织中) |
| 创建网址过滤安全配置文件、威胁防护安全 配置文件和安全配置文件组 | Security Profile Admin 角色 (roles/networksecurity.securityProfileAdmin),对于组织级安全配置文件组,此角色在组织级层授予;对于安全配置文件组,此角色在项目级层(预览版)或组织级层授予此角色包含以下必需权限: networksecurity.securityProfileGroups.create(用于创建
安全配置文件组)networksecurity.securityProfiles.create(用于创建网址
过滤安全配置文件或威胁防护安全配置文件) |
| 创建分层防火墙政策及其规则 | Compute Organization Firewall Policy Admin 角色 (roles/compute.orgFirewallPolicyAdmin)您需要此角色才能创建分层防火墙政策。您必须 在要创建政策的资源上授予此角色。 此外,您还需要此角色才能在分层 防火墙政策中创建规则。您必须在包含该政策的资源上或政策本身上授予此角色。 此角色包含以下必需权限: compute.firewallPolicies.create(用于创建分层
防火墙政策)compute.firewallPolicies.update(用于创建分层
防火墙政策规则) |
| 将分层防火墙政策与组织或文件夹关联 | 以下任一组角色: 目标资源上的 Compute Organization Resource Admin 角色 ( roles/compute.orgSecurityResourceAdmin),以及政策资源上或政策本身的 Compute Organization Firewall Policy User 角色 ( roles/compute.orgFirewallPolicyUser)或 目标资源上的 Compute Organization Resource Admin 角色 ( roles/compute.orgSecurityResourceAdmin),以及政策资源上或政策本身的 Compute Organization Firewall Policy Admin 角色 ( roles/compute.orgFirewallPolicyAdmin)这些角色包含以下必需权限: 防火墙政策上的 compute.firewallPolicies.addAssociation目标资源上的 compute.organizations.setFirewallPolicy |
| 创建全球网络防火墙政策及其规则 | Compute Security Admin 角色 (roles/compute.securityAdmin)您需要此角色才能创建全球网络防火墙政策。您必须在要创建政策的项目上授予此角色。 此外,您还需要此角色才能在全球网络 防火墙政策中创建规则。您必须在包含该政策的项目上或政策本身上授予此角色。 此角色包含以下必需权限: compute.firewallPolicies.create(用于创建全球网络
防火墙政策)compute.firewallPolicies.update(用于创建全球网络
防火墙政策规则) |
| 将全球网络防火墙政策与 VPC 网络关联 | Compute Network Admin 角色 (roles/compute.networkAdmin)此角色包含以下必需权限: compute.firewallPolicies.usecompute.networks.setFirewallPolicy |
| 创建 CA 池 | CA Service Operation Manager 角色 (roles/privateca.caManager)如果您使用传输层安全协议 (TLS) 检查,则需要 此角色才能创建 CA 池。 |
| 创建 TLS 检查政策 |
Compute Network Admin 角色 (roles/compute.networkAdmin)Compute Security Admin 角色 ( roles/compute.securityAdmin)如果您使用 TLS 检查,则需要上述其中一个角色才能 创建 TLS 检查政策。 这些角色包含以下必需权限: certificatemanager.trustconfigs.listcertificatemanager.trustconfigs.usenetworksecurity.operations.getnetworksecurity.tlsInspectionPolicies.createnetworksecurity.tlsInspectionPolicies.listprivateca.caPools.listprivateca.caPools.useprivateca.certificateAuthorities.list |
如需详细了解如何授予角色,请参阅 管理对项目、文件夹和组织的访问权限。
配置没有 TLS 检查的网址过滤服务
如需在网络中配置网址过滤服务,请执行以下任务。
创建防火墙端点。
防火墙端点是一种可用区级资源,您必须在要使用网址过滤服务保护的工作负载所在的可用区中创建该资源。
您可以创建支持或不支持巨型帧的防火墙端点。
如需了解详情,请参阅创建防火墙 端点。
将防火墙端点与 VPC 网络关联。
如需启用网址过滤服务,请将防火墙端点与 VPC 网络关联。确保您的工作负载在防火墙端点所在的可用区中运行。
支持巨型帧的防火墙端点只能接受不超过 8,500 字节的数据包。或者,不支持巨型帧的防火墙端点只能接受不超过 1,460 字节的数据包。如果您需要网址过滤服务,建议您将关联的 VPC 网络配置为使用 最大传输单元 (MTU) 限制 8,500 字节和 1,460 字节。如需了解详情,请参阅 支持的数据包大小。
如需详细了解如何创建防火墙端点关联,请参阅 创建防火墙端点关联。
创建网址过滤安全配置文件。
如需允许或拒绝访问特定网域,请创建类型为
url-filtering的安全配置文件,并使用网址列表指定匹配器字符串。如需了解详情,请参阅创建网址过滤安全 配置文件。
(可选)您可以创建安全配置文件来扫描流量中的威胁。
如需扫描流量中的安全威胁,请创建另一个类型为
threat-prevention的安全配置文件。查看威胁签名列表,评估默认响应,然后根据您的要求为所选签名自定义操作。如需了解详情,请参阅创建威胁防护安全 配置文件。 如需详细了解入侵检测和防御服务,请参阅入侵检测和防御服务概览。
创建安全配置文件组。
安全配置文件组充当安全配置文件的容器。创建一个安全配置文件组,以包含您在上一步中创建的安全配置文件。
如需了解详情,请参阅创建安全配置文件 组。
配置网址过滤服务并将其应用于网络流量。
如需配置网址过滤服务,请创建全球网络防火墙 政策或具有第 7 层检查的分层 防火墙政策。
如果您创建新的全球防火墙政策或使用现有政策,请添加具有
apply_security_profile_group操作的防火墙政策规则,并指定您之前创建的安全配置文件组的名称。确保防火墙政策与需要检查的工作负载所在的 VPC 网络关联。如需了解详情,请参阅创建全球网络防火墙 政策 和创建规则。
如果您创建新的分层防火墙政策或使用现有政策,请添加具有
apply_security_profile_group操作的防火墙政策规则。 确保防火墙政策与需要检查的工作负载所在的 VPC 网络关联。如需了解详情,请参阅创建 规则。
配置具有 TLS 检查的网址过滤服务
如需在网络中配置具有 TLS 检查 的网址过滤服务,请执行以下任务。
创建防火墙端点。
您可以创建支持或不支持巨型帧的防火墙端点。
防火墙端点是一种可用区级资源,您必须在要使用网址过滤服务保护的工作负载所在的可用区中创建该资源。
如需了解详情,请参阅创建防火墙 端点。
将防火墙端点与 VPC 网络关联。
如需启用网址过滤服务,请将防火墙端点与 VPC 网络关联。确保您的工作负载在防火墙端点所在的可用区中运行。
支持巨型帧的防火墙端点只能接受不超过 8,500 字节的数据包。或者,不支持巨型帧的防火墙端点只能接受不超过 1,460 字节的数据包。如果您需要网址过滤服务,建议您将关联的 VPC 网络配置为使用 最大传输单元 (MTU) 限制 8,500 字节和 1,460 字节。如需了解详情,请参阅 支持的数据包大小。
如需详细了解如何创建防火墙端点关联,请参阅 创建防火墙端点关联。
创建网址过滤安全配置文件。
如需允许或拒绝访问特定网域,请创建类型为
url-filtering的安全配置文件,并使用网址列表指定匹配器字符串。如需了解详情,请参阅创建网址过滤安全 配置文件。
(可选)您可以创建安全配置文件来扫描流量中的威胁。
如需扫描流量中的安全威胁,请创建另一个类型为
threat-prevention的安全配置文件。查看威胁签名列表,评估默认响应,然后根据您的要求为所选签名自定义操作。如需了解详情,请参阅创建威胁防护安全 配置文件。 如需详细了解入侵检测和防御服务,请参阅入侵检测和防御服务概览。
创建安全配置文件组。
安全配置文件组充当安全配置文件的容器。创建一个安全配置文件组,以包含您在上一步中创建的安全配置文件。
如需了解详情,请参阅创建安全配置文件 组。
创建和配置资源以检查加密流量。
创建证书授权机构 (CA) 池。
CA 池是包含多个 CA 的集合,它具有通用证书颁发政策和 IAM 政策。您必须先创建区域 CA 池,然后才能配置 TLS 检查。
如需了解详情,请参阅创建 CA 池。
创建根 CA。
如需使用 TLS 检查,您必须至少拥有一个根 CA。根 CA 对中间 CA 进行签名,然后中间 CA 对所有客户端叶证书进行签名。 如需了解详情,请参阅
gcloud privateca roots create命令的参考文档。向 Network Security Service Agent (P4SA) 授予必要权限。
Cloud NGFW 需要 P4SA 来生成用于 TLS 检查的中间 CA。服务代理需要必要的权限才能为 CA 池请求证书。
如需了解详情,请参阅创建服务 账号。
创建区域 TLS 检查政策。
TLS 检查政策指定如何拦截加密流量。区域 TLS 检查政策可以保存 TLS 检查的配置。
如需了解详情,请参阅创建 TLS 检查 政策。
将防火墙端点与 TLS 检查政策关联。
配置网址过滤服务并将其应用于网络流量。
如需配置网址过滤服务,请创建全球网络防火墙 政策或具有第 7 层检查的分层 防火墙政策。
如果您创建新的全球防火墙政策或使用现有政策,请添加具有
apply_security_profile_group操作的防火墙政策规则,并指定您之前创建的安全配置文件组的名称。确保防火墙政策与需要检查的工作负载所在的 VPC 网络关联。如需了解详情,请参阅创建全球网络防火墙 政策 和创建 规则。
如果您创建新的分层防火墙政策或使用现有政策,请添加具有
apply_security_profile_group操作的防火墙政策规则。确保防火墙政策与需要检查的工作负载所在的 VPC 网络关联。如需了解详情,请参阅创建 规则。
部署模型示例
下图展示了网址过滤服务部署示例,其中包含多个防火墙端点,这些端点配置用于位于同一区域中不同可用区的两个 VPC 网络。
示例部署具有以下配置:
两个安全配置文件组:
将
Security profile group 1替换为安全配置文件Security profile 1。Security profile group 2,其中包含安全配置文件Security profile 2。
使用方 VPC 1 (
VPC 1) 具有安全配置文件组设置为Security profile group 1的防火墙政策。使用方 VPC 2 (
VPC 2) 具有安全配置文件组设置为Security profile group 2的防火墙政策。防火墙端点
Firewall endpoint 1对可用区us-west1-a中在VPC 1和VPC 2上运行的工作负载执行网址过滤。防火墙端点
Firewall endpoint 2对可用区us-west1-b中在VPC 1和VPC 2上运行的工作负载执行启用了 TLS 检查的网址过滤。