網址篩選服務可封鎖或允許特定網域,藉此控管存取權。如要在網路中啟用網址過濾服務,您必須設定多個 Cloud Next Generation Firewall 元件,包括防火牆端點、安全性設定檔和安全性設定檔群組。本文提供高階工作流程,說明如何設定這些元件及啟用網址篩選服務。
如要進一步瞭解網址篩選服務,請參閱網址篩選服務總覽。
必要的角色
Identity and Access Management (IAM) 角色可控管與設定及啟用網址篩選服務相關的動作。下表說明每個步驟所需的角色:
| 功能 | 必要角色 |
|---|---|
| 為虛擬私有雲 (VPC) 網路建立防火牆端點和防火牆端點關聯 | 下列任一角色: Compute Network Admin 角色 ( roles/compute.networkAdmin)Firewall Endpoint Admin 角色 ( roles/networksecurity.firewallEndpointAdmin)這些角色包含下列權限,可建立防火牆端點: networksecurity.firewallEndpoints.create此外,這些角色包含下列權限,可建立防火牆端點關聯: networksecurity.firewallEndpointAssociations.createnetworksecurity.firewallEndpoints.use 適用於建立防火牆端點的機構 |
| 建立網址過濾安全性設定檔、威脅防護安全性設定檔和安全性設定檔群組 | 安全性設定檔管理員角色 (roles/networksecurity.securityProfileAdmin)這個角色包含下列必要權限: networksecurity.securityProfileGroups.create 建立安全性設定檔群組
networksecurity.securityProfiles.create 建立網址篩選安全性設定檔或威脅防護安全性設定檔 |
| 建立階層式防火牆政策和規則 | Compute 機構防火牆政策管理員角色 (roles/compute.orgFirewallPolicyAdmin)您需要這個角色才能建立階層式防火牆政策。您必須在要建立政策的資源上授予角色。 此外,您也需要這個角色,才能在階層式防火牆政策中建立規則。您必須在包含政策的資源或政策本身授予角色。 這個角色包含下列必要權限: compute.firewallPolicies.create 建立階層式防火牆政策compute.firewallPolicies.update 建立階層式防火牆政策規則 |
| 將階層式防火牆政策與機構或資料夾建立關聯 | 下列任一組角色: 目標資源的Compute 機構資源管理員角色 ( roles/compute.orgSecurityResourceAdmin),以及政策資源或政策本身的 Compute 機構防火牆政策使用者角色 ( roles/compute.orgFirewallPolicyUser)或 目標資源的Compute 機構資源管理員角色 ( roles/compute.orgSecurityResourceAdmin),以及政策資源或政策本身的 Compute 機構防火牆政策管理員角色 ( roles/compute.orgFirewallPolicyAdmin)這些角色包含下列必要權限: 防火牆政策的 compute.firewallPolicies.addAssociation目標資源的 compute.organizations.setFirewallPolicy |
| 建立全域網路防火牆政策和規則 | Compute 安全管理員角色 (roles/compute.securityAdmin)您需要這個角色才能建立全域網路防火牆政策。您必須在要建立政策的專案中授予角色。 此外,您也需要這個角色,才能在全域網路防火牆政策中建立規則。您必須在包含政策的專案或政策本身授予角色。 這個角色包含下列必要權限: compute.firewallPolicies.create:建立全域網路防火牆政策compute.firewallPolicies.update:建立全域網路防火牆政策規則 |
| 將全域網路防火牆政策與虛擬私有雲網路建立關聯 | Compute 網路管理員角色 (roles/compute.networkAdmin)這個角色包含下列必要權限: compute.firewallPolicies.usecompute.networks.setFirewallPolicy |
| 建立 CA 集區 | 憑證授權單位服務作業管理員角色 (roles/privateca.caManager)如果您使用傳輸層安全標準 (TLS) 檢查功能,則需要這個角色才能建立憑證授權單位集區。 |
| 建立 TLS 檢查政策 |
Compute 網路管理員角色 (roles/compute.networkAdmin)Compute 安全管理員角色 ( roles/compute.securityAdmin)如果您使用 TLS 檢查,則需要上述其中一個角色,才能建立 TLS 檢查政策。 這些角色包含下列必要權限: certificatemanager.trustconfigs.listcertificatemanager.trustconfigs.usenetworksecurity.operations.getnetworksecurity.tlsInspectionPolicies.createnetworksecurity.tlsInspectionPolicies.listprivateca.caPools.listprivateca.caPools.useprivateca.certificateAuthorities.list |
如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。
設定不含 TLS 檢查的網址篩選服務
如要在網路中設定網址篩選服務,請執行下列工作。
。建立防火牆端點。
防火牆端點是區域資源,您必須在與要透過 URL 篩選服務保護的工作負載相同的區域中建立。
您可以建立支援或不支援巨型框架的防火牆端點。
詳情請參閱建立防火牆端點。
將防火牆端點與虛擬私有雲網路建立關聯。
如要啟用網址篩選服務,請將防火牆端點與虛擬私有雲網路建立關聯。請確認您在與防火牆端點相同的區域中執行工作負載。
支援巨型封包的防火牆端點只能接受大小上限為 8,500 個位元組的封包。或者,不支援巨型封包的防火牆端點只能接受大小上限為 1,460 個位元組的封包。如果您需要網址篩選服務,建議您將相關聯的 VPC 網路設定為使用 8,500 位元組和 1,460 位元組的最大傳輸單位 (MTU) 限制。詳情請參閱「 支援的封包大小」。
如要進一步瞭解如何建立防火牆端點關聯,請參閱「建立防火牆端點關聯」。
建立網址篩選的安全性設定檔。
如要允許或拒絕存取特定網域,請建立
url-filtering類型的安全性設定檔,並使用網址清單指定比對字串。詳情請參閱「建立網址篩選安全設定檔」。
您可以選擇是否建立安全性設定檔,掃描流量中的威脅。
如要掃描流量中的安全威脅,請建立另一個
threat-prevention類型的安全設定檔。查看威脅簽章清單、評估預設回應,並根據需求自訂所選簽章的動作。詳情請參閱「建立威脅防護安全設定檔」。如要進一步瞭解入侵偵測與防範服務,請參閱「入侵偵測與防範服務總覽」。
建立安全性設定檔群組。
安全性設定檔群組是安全性設定檔的容器。建立安全性設定檔群組,納入您在上個步驟中建立的安全性設定檔。
詳情請參閱「建立安全性設定檔群組」。
設定網址篩選服務並套用至網路流量。
如要設定網址篩選服務,請建立具備第 7 層檢查功能的全域網路防火牆政策或階層式防火牆政策。
如果您建立新的全域防火牆政策或使用現有政策,請新增具有
apply_security_profile_group動作的防火牆政策規則,並指定先前建立的安全性設定檔群組名稱。確認防火牆政策與需要檢查的工作負載位於相同的虛擬私有雲網路。詳情請參閱「建立全域網路防火牆政策」和「建立規則」。
如果您建立新的階層式防火牆政策或使用現有政策,請新增含有
apply_security_profile_group動作的防火牆政策規則。確認防火牆政策與需要檢查的工作負載位於同一個虛擬私有雲網路。詳情請參閱「建立規則」。
設定 TLS 檢查功能,以使用網址篩選服務
如要在網路中設定傳輸層安全標準 (TLS) 檢查的網址篩選服務,請完成下列工作。
建立防火牆端點。
您可以建立支援或不支援巨型框架的防火牆端點。
防火牆端點是區域資源,您必須在與要透過 URL 篩選服務保護的工作負載相同的區域中建立。
詳情請參閱建立防火牆端點。
將防火牆端點與虛擬私有雲網路建立關聯。
如要啟用網址篩選服務,請將防火牆端點與虛擬私有雲網路建立關聯。請確認您在與防火牆端點相同的區域中執行工作負載。
支援巨型封包的防火牆端點只能接受大小上限為 8,500 個位元組的封包。或者,不支援巨型封包的防火牆端點只能接受大小上限為 1,460 個位元組的封包。如果您需要網址篩選服務,建議您將相關聯的 VPC 網路設定為使用 8,500 位元組和 1,460 位元組的最大傳輸單位 (MTU) 限制。詳情請參閱「 支援的封包大小」。
如要進一步瞭解如何建立防火牆端點關聯,請參閱「建立防火牆端點關聯」。
建立網址篩選的安全性設定檔。
如要允許或拒絕存取特定網域,請建立
url-filtering類型的安全性設定檔,並使用網址清單指定比對字串。詳情請參閱「建立網址篩選安全設定檔」。
您可以選擇是否建立安全性設定檔,掃描流量中的威脅。
如要掃描流量中的安全性威脅,請建立另一個
threat-prevention類型的安全性設定檔。查看威脅簽章清單、評估預設回應,並根據需求自訂所選簽章的動作。詳情請參閱「建立威脅防護安全設定檔」。如要進一步瞭解入侵偵測與防範服務,請參閱「入侵偵測與防範服務總覽」。
建立安全性設定檔群組。
安全性設定檔群組是安全性設定檔的容器。建立安全性設定檔群組,納入您在上個步驟中建立的安全性設定檔。
詳情請參閱「建立安全性設定檔群組」。
建立及設定資源,檢查加密流量。
建立憑證授權單位 (CA) 集區。
CA 集區內含多個 CA,這些 CA 採用相同的憑證核發政策和 IAM 政策。您必須先建立區域性 CA 集區,才能設定 TLS 檢查功能。
詳情請參閱「建立 CA 集區」。
建立根 CA。
如要使用 TLS 檢查功能,您至少要有一個根 CA。根 CA 會簽署中介 CA,然後中介 CA 會簽署用戶端的所有葉子憑證。詳情請參閱
gcloud privateca roots create指令的參考說明文件。授予 Network Security 服務代理 (P4SA) 必要權限。
Cloud NGFW 需要 P4SA 才能產生中繼 CA,以進行 TLS 檢查。服務代理需要必要權限,才能為 CA 集區要求憑證。
詳情請參閱「建立服務帳戶」。
建立區域性 TLS 檢查政策。
TLS 檢查政策會指定如何攔截加密流量。區域 TLS 檢查政策可保留 TLS 檢查的設定。
詳情請參閱「建立 TLS 檢查政策」。
將防火牆端點與 TLS 檢查政策建立關聯。
設定網址篩選服務並套用至網路流量。
如要設定網址篩選服務,請建立具備第 7 層檢查功能的全域網路防火牆政策或階層式防火牆政策。
如果您建立新的全域防火牆政策或使用現有政策,請新增具有
apply_security_profile_group動作的防火牆政策規則,並指定先前建立的安全性設定檔群組名稱。確認防火牆政策與需要檢查的工作負載位於相同的虛擬私有雲網路。詳情請參閱「建立全域網路防火牆政策」和「建立規則」。
如果您建立新的階層式防火牆政策或使用現有政策,請新增已設定
apply_security_profile_group動作的防火牆政策規則。確認防火牆政策與需要檢查的工作負載位於相同的虛擬私有雲網路。詳情請參閱「建立規則」。
部署模式範例
下圖顯示網址篩選服務部署範例,其中包含多個防火牆端點,並為同一區域但不同可用區的兩個虛擬私有雲網路設定。
範例部署作業的設定如下:
兩個安全性設定檔群組:
Security profile group 1,並使用安全性設定檔Security profile 1。Security profile group 2,並使用安全性設定檔Security profile 2。
客戶虛擬私有雲 1 (
VPC 1) 具有防火牆政策,且安全性設定檔群組設為Security profile group 1。客戶虛擬私有雲 2 (
VPC 2) 的防火牆政策已將安全性設定檔群組設為Security profile group 2。防火牆端點
Firewall endpoint 1會對在可用區us-west1-a的VPC 1和VPC 2上執行的工作負載執行網址篩選。防火牆端點
Firewall endpoint 2會對在可用區us-west1-b的VPC 1和VPC 2上執行的工作負載啟用 TLS 檢查,並執行網址篩選。