網址篩選服務可封鎖或允許存取特定網域,藉此控管存取權。如要在網路中啟用網址過濾服務,您必須設定多個 Cloud Next Generation Firewall 元件,包括防火牆端點、安全性設定檔和安全性設定檔群組。本文提供高階工作流程,說明如何設定這些元件,以及啟用網址篩選服務。
如要進一步瞭解網址篩選服務,請參閱網址篩選服務總覽。
必要的角色
Identity and Access Management (IAM) 角色會控管與設定及啟用網址篩選服務相關的動作。下表說明每個步驟所需的角色:
| 能力 | 必要角色 |
|---|---|
| 為虛擬私有雲 (VPC) 網路建立防火牆端點和防火牆端點關聯 | 下列任一角色: Compute Network Admin 角色 ( roles/compute.networkAdmin)Firewall Endpoint Admin 角色 ( roles/networksecurity.firewallEndpointAdmin):適用於組織層級的防火牆端點,以及專案層級 ([預覽](https://cloud.google.com/products#product-launch-stages)) 或組織層級的防火牆端點這些角色包含下列權限,可建立防火牆端點: networksecurity.firewallEndpoints.create此外,這些角色包含下列權限,可建立防火牆端點關聯: networksecurity.firewallEndpointAssociations.createnetworksecurity.firewallEndpoints.use:適用於防火牆端點所在的組織 |
| 建立網址過濾安全性設定檔、威脅防護安全性設定檔和安全性設定檔群組 | 安全設定檔管理員角色 (roles/networksecurity.securityProfileAdmin):適用於組織層級安全設定檔群組的組織層級,以及適用於安全設定檔群組的專案層級 ([搶先版](https://cloud.google.com/products#product-launch-stages)) 或組織層級這個角色包含下列必要權限: networksecurity.securityProfileGroups.create 建立安全設定檔群組networksecurity.securityProfiles.create 建立網址篩選安全設定檔或威脅防護安全設定檔 |
| 建立階層式防火牆政策和規則 | Compute 機構防火牆政策管理員角色 (roles/compute.orgFirewallPolicyAdmin)您需要這個角色才能建立階層式防火牆政策。您必須在要建立政策的資源上授予角色。 此外,您也需要這個角色,才能在階層式防火牆政策中建立規則。您必須在含有政策的資源或政策本身授予角色。 這個角色包含下列必要權限: compute.firewallPolicies.create 建立階層式防火牆政策compute.firewallPolicies.update 建立階層式防火牆政策規則 |
| 將階層式防火牆政策與機構或資料夾建立關聯 | 下列任一組角色: 目標資源的Compute 機構資源管理員角色 ( roles/compute.orgSecurityResourceAdmin),以及政策資源或政策本身的 Compute 機構防火牆政策使用者角色 ( roles/compute.orgFirewallPolicyUser)或 目標資源的 Compute 機構資源管理員角色 ( roles/compute.orgSecurityResourceAdmin),以及政策資源或政策本身的 Compute 機構防火牆政策管理員角色 ( roles/compute.orgFirewallPolicyAdmin)這些角色包含下列必要權限: 防火牆政策的 compute.firewallPolicies.addAssociation目標資源的 compute.organizations.setFirewallPolicy |
| 建立全域網路防火牆政策和規則 | Compute 安全管理員角色 (roles/compute.securityAdmin)您需要這個角色才能建立全域網路防火牆政策。您必須在要建立政策的專案中授予角色。 此外,您也需要這個角色,才能在全域網路防火牆政策中建立規則。您必須在包含政策的專案或政策本身授予角色。 這個角色包含下列必要權限: compute.firewallPolicies.create:建立全域網路防火牆政策compute.firewallPolicies.update:建立全域網路防火牆政策規則 |
| 將全域網路防火牆政策與虛擬私有雲網路建立關聯 | Compute 網路管理員角色 (roles/compute.networkAdmin)這個角色包含下列必要權限: compute.firewallPolicies.usecompute.networks.setFirewallPolicy |
| 建立 CA 集區 | CA 服務作業管理員角色 (roles/privateca.caManager)如果您使用傳輸層安全標準 (TLS) 檢查功能,則需要這個角色才能建立 CA 集區。 |
| 建立 TLS 檢查政策 |
Compute 網路管理員角色 (roles/compute.networkAdmin)Compute 安全管理員角色 ( roles/compute.securityAdmin)如果您使用 TLS 檢查,需要上述其中一個角色才能建立 TLS 檢查政策。 這些角色包含下列必要權限: certificatemanager.trustconfigs.listcertificatemanager.trustconfigs.usenetworksecurity.operations.getnetworksecurity.tlsInspectionPolicies.createnetworksecurity.tlsInspectionPolicies.listprivateca.caPools.listprivateca.caPools.useprivateca.certificateAuthorities.list |
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
設定不含 TLS 檢查的網址篩選服務
如要在網路中設定網址篩選服務,請完成下列工作。
。建立防火牆端點。
防火牆端點是可用區資源,您必須在與要透過 URL 篩選服務保護的工作負載相同的可用區中建立。
您可以建立支援或不支援巨型封包的防火牆端點。
詳情請參閱建立防火牆端點。
將防火牆端點與虛擬私有雲網路建立關聯。
如要啟用網址篩選服務,請將防火牆端點與虛擬私有雲網路建立關聯。請確認您在與防火牆端點相同的區域中執行工作負載。
支援巨型封包的防火牆端點只能接受大小上限為 8,500 個位元組的封包。或者,不支援巨型封包的防火牆端點只能接受大小上限為 1,460 個位元組的封包。如果您需要網址篩選服務,建議您將相關聯的 VPC 網路設定為使用 8,500 位元組和 1,460 位元組的最大傳輸單位 (MTU) 限制。詳情請參閱「 支援的封包大小」。
如要進一步瞭解如何建立防火牆端點關聯,請參閱「建立防火牆端點關聯」。
建立網址篩選安全性設定檔。
如要允許或拒絕存取特定網域,請建立
url-filtering類型的安全性設定檔,並使用網址清單指定比對字串。詳情請參閱「建立網址篩選安全設定檔」。
您也可以選擇建立安全性設定檔,掃描流量中的威脅。
如要掃描流量中的安全威脅,請建立另一個
threat-prevention類型的安全設定檔。查看威脅特徵碼清單、評估預設回應,然後根據需求自訂所選特徵碼的動作。詳情請參閱「建立威脅防護安全設定檔」。如要進一步瞭解入侵偵測與防範服務,請參閱「入侵偵測與防範服務總覽」。
建立安全性設定檔群組。
安全性設定檔群組是安全性設定檔的容器。建立安全性設定檔群組,納入您在先前步驟中建立的安全性設定檔。
詳情請參閱「建立安全性設定檔群組」。
設定網址篩選服務並套用至網路流量。
如要設定網址篩選服務,請建立具備第 7 層檢查功能的全域網路防火牆政策或階層式防火牆政策。
如果您要建立新的全域防火牆政策或使用現有政策,請新增具有
apply_security_profile_group動作的防火牆政策規則,並指定先前建立的安全性設定檔群組名稱。確認防火牆政策與需要檢查的工作負載位於相同的虛擬私有雲網路。詳情請參閱「建立全域網路防火牆政策」和「建立規則」。
如果您建立新的階層式防火牆政策或使用現有政策,請新增具有
apply_security_profile_group動作的防火牆政策規則。確認防火牆政策與需要檢查的工作負載位於同一個虛擬私有雲網路。詳情請參閱「建立規則」。
設定 TLS 檢查功能,以使用網址篩選服務
如要在網路中設定傳輸層安全標準 (TLS) 檢查的網址篩選服務,請完成下列工作。
建立防火牆端點。
您可以建立支援或不支援巨型封包的防火牆端點。
防火牆端點是可用區資源,您必須在與要透過 URL 篩選服務保護的工作負載相同的可用區中建立。
詳情請參閱建立防火牆端點。
將防火牆端點與虛擬私有雲網路建立關聯。
如要啟用網址篩選服務,請將防火牆端點與虛擬私有雲網路建立關聯。請確認您在與防火牆端點相同的區域中執行工作負載。
支援巨型封包的防火牆端點只能接受大小上限為 8,500 個位元組的封包。或者,不支援巨型封包的防火牆端點只能接受大小上限為 1,460 個位元組的封包。如果您需要網址篩選服務,建議您將相關聯的 VPC 網路設定為使用 8,500 位元組和 1,460 位元組的最大傳輸單位 (MTU) 限制。詳情請參閱「 支援的封包大小」。
如要進一步瞭解如何建立防火牆端點關聯,請參閱「建立防火牆端點關聯」。
建立網址篩選安全性設定檔。
如要允許或拒絕存取特定網域,請建立
url-filtering類型的安全性設定檔,並使用網址清單指定比對字串。詳情請參閱「建立網址篩選安全設定檔」。
您也可以選擇建立安全性設定檔,掃描流量中的威脅。
如要掃描流量中的安全性威脅,請建立類型為
threat-prevention的其他安全性設定檔。查看威脅特徵碼清單、評估預設回應,然後根據需求自訂所選特徵碼的動作。詳情請參閱「建立威脅防護安全設定檔」。如要進一步瞭解入侵偵測與防範服務,請參閱「入侵偵測與防範服務總覽」。
建立安全性設定檔群組。
安全性設定檔群組是安全性設定檔的容器。建立安全性設定檔群組,納入您在先前步驟中建立的安全性設定檔。
詳情請參閱「建立安全性設定檔群組」。
建立及設定資源,檢查加密流量。
建立憑證授權單位 (CA) 集區。
CA 集區內含多個 CA,這些 CA 採用相同的憑證核發政策和 IAM 政策。您必須先建立區域性 CA 集區,才能設定 TLS 檢查功能。
詳情請參閱「建立 CA 集區」。
建立根 CA。
如要使用 TLS 檢查功能,您至少要有一個根 CA。根 CA 會簽署中繼 CA,然後中繼 CA 會簽署用戶端的所有葉節點憑證。詳情請參閱
gcloud privateca roots create指令的參考說明文件。授予 Network Security 服務代理 (P4SA) 必要權限。
Cloud NGFW 需要 P4SA 才能產生中繼 CA,以進行 TLS 檢查。服務代理需要必要權限,才能為 CA 集區要求憑證。
詳情請參閱「建立服務帳戶」。
建立區域 TLS 檢查政策。
TLS 檢查政策會指定如何攔截加密流量。區域 TLS 檢查政策可保存 TLS 檢查的設定。
詳情請參閱「建立 TLS 檢查政策」。
將防火牆端點與 TLS 檢查政策建立關聯。
設定網址篩選服務並套用至網路流量。
如要設定網址篩選服務,請建立具備第 7 層檢查功能的全域網路防火牆政策或階層式防火牆政策。
如果您要建立新的全域防火牆政策或使用現有政策,請新增具有
apply_security_profile_group動作的防火牆政策規則,並指定先前建立的安全性設定檔群組名稱。確認防火牆政策與需要檢查的工作負載位於相同的虛擬私有雲網路。詳情請參閱「建立全域網路防火牆政策」和「建立規則」。
如果您建立新的階層式防火牆政策或使用現有政策,請新增已設定
apply_security_profile_group動作的防火牆政策規則。確認防火牆政策與需要檢查的工作負載位於相同的虛擬私有雲網路。詳情請參閱「建立規則」。
部署模式範例
下圖顯示網址篩選服務部署作業的範例,其中包含多個防火牆端點,並為同一區域但不同可用區的兩個虛擬私有雲網路設定。
範例部署作業的設定如下:
兩個安全性設定檔群組:
Security profile group 1,並使用安全性設定檔Security profile 1。Security profile group 2,並使用安全性設定檔Security profile 2。
客戶虛擬私有雲 1 (
VPC 1) 具有防火牆政策,且安全性設定檔群組設為Security profile group 1。客戶虛擬私有雲 2 (
VPC 2) 的防火牆政策已將安全性設定檔群組設為Security profile group 2。防火牆端點
Firewall endpoint 1會對在可用區us-west1-a的VPC 1和VPC 2上執行的工作負載執行網址篩選。防火牆端點
Firewall endpoint 2會對在可用區us-west1-b的VPC 1和VPC 2上執行的工作負載啟用 TLS 檢查,並執行網址篩選。