בדף הזה מוסבר איך ליצור ולנהל פרופילי אבטחה מסוג url-filtering באמצעות מסוף Google Cloud ו-Google Cloud CLI. Google Cloud
לפני שמתחילים
- צריך להפעיל את Network Security API בפרויקט.
- אם רוצים להריץ את הדוגמאות של שורת הפקודה במדריך הזה, צריך להתקין את ה-CLI של gcloud.
gcloud
תפקידים
כדי לקבל את ההרשאות שדרושות ליצירה, לצפייה, לעדכון או למחיקה של פרופילי אבטחה, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הדרושים בארגון. מידע נוסף על מתן תפקידים מופיע במאמר ניהול הגישה.
יצירת פרופיל אבטחה לסינון כתובות URL
כשיוצרים פרופיל אבטחה לסינון כתובות URL (פרופיל אבטחה מהסוג url-filtering), אפשר לציין את השם של פרופיל האבטחה כמחרוזת או כמזהה ייחודי של כתובת URL.
פרופילי אבטחה ברמת הארגון
כדי ליצור פרופיל אבטחה לסינון כתובות URL ברמת הארגון, משתמשים במסוףGoogle Cloud או ב-CLI של gcloud.
אפשר ליצור את כתובת ה-URL הייחודית של פרופיל אבטחה בפורמט הבא:
organizations/ORGANIZATION_ID/locations/global/securityProfiles/SECURITY_PROFILE_NAME
אם משתמשים במזהה ייחודי של כתובת URL בשם פרופיל האבטחה, הארגון והמיקום של פרופיל האבטחה כבר כלולים במזהה כתובת ה-URL. עם זאת, אם משתמשים רק בשם פרופיל האבטחה, צריך לציין את הארגון והמיקום בנפרד. מידע נוסף על מזהי כתובות URL ייחודיים זמין במפרט פרופיל האבטחה.
המסוף
נכנסים לדף Security profiles במסוף Google Cloud .
בתפריט לבחירת פרויקטים, בוחרים את הארגון שבו רוצים ליצור את פרופיל האבטחה.
לוחצים על הכרטיסייה פרופילי אבטחה.
לוחצים על יצירת פרופיל.
מזינים שם בשדה Name.
אם רוצים, מוסיפים תיאור בשדה Description.
כדי ליצור פרופיל אבטחה של Cloud Next Generation Firewall Enterprise, בקטע Purpose (מטרה), בוחרים באפשרות Cloud NGFW Enterprise.
כדי ליצור פרופיל אבטחה לסינון כתובות URL, בקטע Type (סוג), בוחרים באפשרות URL Filtering (סינון כתובות URL).
בקטע URL filters (מסנני כתובות URL), לוחצים על הלחצן Create URL filter (יצירת מסנן כתובות URL).
בחלונית Create a URL filter, מציינים את הפרטים הבאים:
- עדיפות: מציינים את העדיפות של מסנן כתובות ה-URL.
- פעולה: מציינים את הפעולה ש-Cloud NGFW מבצע בתנועה.
- Allow: מאפשרת את החיבורים שתואמים לכתובת URL.
- Deny: דחיית החיבורים שתואמים לכתובת URL.
- רשימת כתובות URL: מציינים רשימה של כתובות URL או מחרוזות התאמה. כל כתובת URL או מחרוזת התאמה צריכות להופיע בשורה נפרדת, בלי רווחים או תווי הפרדה. כל רשומה יכולה לכלול רק דומיין. מידע נוסף על מחרוזות התאמה זמין במאמר מחרוזות התאמה לכתובות URL.
לוחצים על יצירה.
gcloud
יוצרים קובץ YAML עם התוכן הבא:
name: NAME type: PROFILE_TYPE urlFilteringProfile: urlFilters: - filteringAction: ACTION priority: PRIORITY urls: URL[,URL,...]מחליפים את מה שכתוב בשדות הבאים:
NAME: השם של פרופיל האבטחה לסינון כתובות URL. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.
PROFILE_TYPE: מציינים את סוג פרופיל האבטחה כ-url-filtering.
ACTION: מציינים אחת מהפעולות הבאות:-
allow: מאפשרת חיבורים שתואמים לכתובת URL -
deny: דחיית חיבורים שתואמים לכתובת URL
-
PRIORITY: העדיפות של מסנן כתובות URL, בטווח שבין 0 ל-2147483647.
URLs: רשימה מופרדת בפסיקים של מחרוזות התאמה. לדוגמה,www.example.comו-www.examplepetstore.com.
כדי ליצור את פרופיל האבטחה של סינון כתובות URL, מריצים את הפקודה
gcloud network-security security-profiles import:gcloud network-security security-profiles import NAME \ --location LOCATION \ --source FILE_NAME \ --organization ORGANIZATION_IDלחלופין, אפשר ליצור פרופיל אבטחה לסינון כתובות URL בלי קובץ YAML באמצעות הפקודה
gcloud network-security security-profiles url-filtering create:gcloud network-security security-profiles url-filtering create NAME \ --location LOCATION \ --organization ORGANIZATION_ID \ --description DESCRIPTIONמחליפים את מה שכתוב בשדות הבאים:
NAME: השם של פרופיל האבטחה לסינון כתובות URL. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.אם משתמשים במזהה ייחודי של כתובת URL למשתנה
NAME, אפשר להשמיט את הדגלים--locationו---organization.
LOCATION: המיקום של פרופיל האבטחה של סינון כתובות URL.המיקום תמיד מוגדר לערך
global. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנהNAME, אפשר להשמיט את הדגל--location.
FILE_NAME: השם של קובץ ה-YAML. לדוגמה,url-filtering-sp.yaml.
ORGANIZATION_ID: הארגון שבו נוצר פרופיל האבטחה של סינון כתובות URL. אם אתם משתמשים במזהה ייחודי של כתובת URL עבור המשתנהNAME, אתם יכולים להשמיט את הדגל--organization.
DESCRIPTION: תיאור אופציונלי של פרופיל האבטחה של סינון כתובות URL.
לדוגמה, בקטע הקוד הבא מוצגת דוגמה לפרופיל אבטחה של סינון כתובות URL שמאפשר בקשות אל
www.example.comו-www.examplepetstore.com, אבל דוחה בקשות לכל הדומיינים האחרים:urlFilteringProfile: urlFilters: - filteringAction: ALLOW priority: 1000 urls: ['www.example.com', 'www.examplepetstore.com'] # the following URL filter is implicit and will be processed last - filteringAction: DENY priority: 2147483647 urls: ['*']
פרופילי אבטחה ברמת הפרויקט
כדי ליצור פרופיל אבטחה לסינון כתובות URL ברמת הפרויקט, משתמשים ב-CLI של gcloud.
אפשר ליצור את כתובת ה-URL הייחודית של פרופיל אבטחה בפורמט הבא:
projects/PROJECT_ID/locations/global/securityProfiles/SECURITY_PROFILE_NAME
אם משתמשים במזהה ייחודי של כתובת URL בשם פרופיל האבטחה, הפרויקט והמיקום של פרופיל האבטחה כבר כלולים במזהה כתובת ה-URL. עם זאת, אם משתמשים רק בשם פרופיל האבטחה, צריך לציין את הפרויקט והמיקום בנפרד. מידע נוסף על מזהי כתובות URL ייחודיים זמין במפרט פרופיל האבטחה.
gcloud
יוצרים קובץ YAML עם התוכן הבא:
name: NAME type: PROFILE_TYPE urlFilteringProfile: urlFilters: - filteringAction: ACTION priority: PRIORITY urls: URL[,URL,...]מחליפים את מה שכתוב בשדות הבאים:
NAME: השם של פרופיל האבטחה לסינון כתובות URL. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.
PROFILE_TYPE: מציינים את סוג פרופיל האבטחה כ-url-filtering.
ACTION: מציינים אחת מהפעולות הבאות:-
allow: מאפשרת חיבורים שתואמים לכתובת URL -
deny: דחיית חיבורים שתואמים לכתובת URL
-
PRIORITY: העדיפות של מסנן כתובות URL, בטווח שבין 0 ל-2147483647.
URLs: רשימה מופרדת בפסיקים של מחרוזות התאמה. לדוגמה,www.example.comו-www.examplepetstore.com.
כדי ליצור את פרופיל האבטחה של סינון כתובות URL, מריצים את הפקודה
gcloud beta network-security security-profiles import:gcloud beta network-security security-profiles import NAME \ --location LOCATION \ --source FILE_NAME \ --project PROJECT_IDלחלופין, אפשר ליצור פרופיל אבטחה לסינון כתובות URL בלי קובץ YAML באמצעות הפקודה
gcloud beta network-security security-profiles url-filtering create:gcloud beta network-security security-profiles url-filtering create NAME \ --location LOCATION \ --project PROJECT_ID \ --description DESCRIPTIONמחליפים את מה שכתוב בשדות הבאים:
NAME: השם של פרופיל האבטחה לסינון כתובות URL. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.אם משתמשים במזהה ייחודי של כתובת URL למשתנה
NAME, אפשר להשמיט את הדגלים--locationו---project.
LOCATION: המיקום של פרופיל האבטחה של סינון כתובות URL.המיקום תמיד מוגדר לערך
global. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנהNAME, אפשר להשמיט את הדגל--location.
FILE_NAME: השם של קובץ ה-YAML. לדוגמה,url-filtering-sp.yaml.
PROJECT_ID: הפרויקט שבו נוצר פרופיל האבטחה של סינון כתובות URL. אם אתם משתמשים במזהה ייחודי של כתובת URL עבור המשתנהNAME, אתם יכולים להשמיט את הדגל--project.
DESCRIPTION: תיאור אופציונלי של פרופיל האבטחה של סינון כתובות URL.
לדוגמה, בקטע הקוד הבא מוצגת דוגמה לפרופיל אבטחה של סינון כתובות URL שמאפשר בקשות אל
www.example.comו-www.examplepetstore.com, אבל דוחה בקשות לכל הדומיינים האחרים:url_filtering_profile: url_filters: - filtering_action: ALLOW priority: 1000 urls: ['www.example.com', 'www.examplepetstore.com'] # the following URL filter is implicit and will be processed last - filtering_action: DENY priority: 2147483647 urls: ['*']
מסנן כתובות URL עם דחייה משתמעת
פרופיל האבטחה של סינון כתובות URL תמיד כולל מסנן כתובות URL שמוגדר כברירת מחדל עם העדיפות הכי נמוכה (2147483647), שדוחה את כל החיבורים שלא תואמים למסנני כתובות URL עם עדיפות גבוהה יותר. בקטע הקוד הבא מוצגת דוגמה למסנן כתובות URL עם דחייה מרומזת:
urlFilteringProfile:
urlFilters:
# user-specified URL filters
- filteringAction: DENY
priority: 1000
urls: ['www.example.com','www.examplepetstore.com']
- filteringAction: ALLOW
priority: 2000
urls: ['www.example.org','www.example.net']
# implicit deny URL filter that will be processed last
- filteringAction: DENY
priority: 2147483647
urls: ['*']
אפשר לראות את מסנן כתובות ה-URL של דחייה מרומזת כשמציגים או מייצאים פרופיל אבטחה של סינון כתובות URL. אי אפשר לשנות או להסיר את המסנן המרומז.
לדוגמה, אם רוצים לשנות את פעולת ברירת המחדל של פרופיל מ-DENY
(enforced by implicit filter) ל-ALLOW, צריך להוסיף מסנן מפורש ש-Cloud NGFW מעבד לפני המסנן המרומז.
urlFilteringProfile:
urlFilters:
# user-specified filters
- filteringAction: DENY
priority: 1000
urls: ['www.example.com','www.examplepetstore.com']
# explicit allow URL filter that you can add
- filteringAction: ALLOW
priority: 2000
urls: ['*']
# implicit deny URL filter that will be processed last
- filteringAction: DENY
priority: 2147483647
urls: ['*']
מחרוזות התאמה לכתובות URL
מחרוזות התאמה הן הערכים שמציינים בשדה urls של מסנן כתובות URL. אפשר לציין מחרוזת התאמה אחת או יותר בתוך מסנן כתובות URL.
תווים כלליים לחיפוש
כל מחרוזת התאמה ברשימת כתובות URL יכולה לכלול תו כללי לחיפוש (*), אבל באופן מוגבל.
- כל מחרוזת התאמה יכולה לתמוך רק בכוכבית אחת (*), כך שהכוכבית היא התו הראשון או התו היחיד.
הכוכבית (*) יכולה לקבל את הפרשנויות הבאות:
כוכבית (*) לפני נקודה (.) מציינת את כל תתי-הדומיין של הדומיין.
לדוגמה, מחרוזת ההתאמה
*.example.comתואמת ל-a.example.comול-a.b.c.example.com, אבל לא ל-example.com.urlFilteringProfile: urlFilters: # user-specified filters - filteringAction: ALLOW priority: 1000 urls: ['*.example.com'] # implicit deny URL filter that will be processed last - filteringAction: DENY priority: 2147483647 urls: ['*']בדוגמה הקודמת, Cloud NGFW מאפשר תעבורת נתונים לכיוון תת-הדומיינים של
example.com, אבל חוסם את שאר תעבורת הנתונים היוצאת.כוכבית (*) לפני תווית מציינת את הדומיין ואת כל תתי-הדומיין.
לדוגמה, מחרוזת ההתאמה
*example.comתואמת ל-a.example.com, ל-a.b.c.example.comוגם ל-example.com.urlFilteringProfile: urlFilters: # user-specified filters - filteringAction: ALLOW priority: 1000 urls: ['*example.com'] # implicit deny URL filter that will be processed last - filteringAction: DENY priority: 2147483647 urls: ['*']בדוגמה הקודמת, Cloud NGFW מאפשר תעבורה לכיוון
example.comוגם לכיוון תת-הדומיינים שלexample.com, אבל חוסם את שאר התעבורה היוצאת.כוכבית (*) לפני סיומת דומיין (כמו
.com) מציינת את כל הדומיינים (ותתי-הדומיין שלהם) שמשתמשים בסיומת הדומיין.לדוגמה, מחרוזת ההתאמה
*.comתואמת ל-example.comול-examplepetstore.comולכל תת-הדומיינים שלהם.בקטע הקוד הבא אפשר לראות איך מאפשרים את כל הדומיינים (והדומיינים שלהם) שמסתיימים ב-
.com, אבל חוסמים את שאר התנועה.urlFilteringProfile: urlFilters: # Allow all domains (and their subdomains) that end in '.com' - filteringAction: ALLOW priority: 2000 urls: ['*.com'] # implicit deny URL filter that will be processed last - filteringAction: DENY priority: 2147483647 urls: ['*']בקטע הקוד הבא אפשר לראות איך חוסמים את כל תתי-הדומיין של
example.comושלexamplepetstore.com, אבל מתירים את הדומיינים האלה ואת כל הדומיינים האחרים (ותתי-הדומיין שלהם) שמסתיימים ב-.com.urlFilteringProfile: urlFilters: # Deny all subdomains of example.com - filteringAction: DENY priority: 1000 urls: ['*.example.com'] # Deny all subdomains of examplepetstore.com - filteringAction: DENY priority: 1500 urls: ['*.examplepetstore.com'] # Allow all domains (and their subdomains) that end in '.com' - filteringAction: ALLOW priority: 2000 urls: ['*.com'] # implicit deny URL filter that will be processed last - filteringAction: DENY priority: 2147483647 urls: ['*']Cloud NGFW לא מפרש את הכוכבית (*) כתו כללי לחיפוש בביטוי רגולרי.
לדוגמה,
*example.testלא תואם ל-newexample.testאו ל-a.newexample.test. הוא תואם רק ל-example.testולתתי הדומיינים שלexample.test.כוכבית בודדת (*) ללא תווים אחרים מציינת התאמה לכל הבקשות.
לדוגמה, מחרוזת ההתאמה במסנן כתובות ה-URL עם ההרשאה המפורשת בעדיפות הכי נמוכה מכילה רק כוכבית (*) ויש לה פעולה
ALLOWשמבטלת את פעולת ברירת המחדלDENY. זה קורה כי מסנן כתובות ה-URL של דחייה משתמעת אוכף את ברירת המחדלDENYלכל הבקשות שלא תואמות למסנני כתובות URL בעדיפות גבוהה יותר.מסנן כתובות ה-URL עם העדיפות הכי גבוהה – שהוא או
ALLOWמפורש אוDENYמשתמע – קובע אם Cloud NGFW מאפשר או דוחה חיבורים כשחסר לו מידע על SNI או על דומיין. זה יכול לקרות בתעבורת HTTP לא מוצפנת, או כשבדיקת TLS מושבתת בכותרות של הודעות מוצפנות.urlFilteringProfile: urlFilters: # user-specified filters - filteringAction: DENY priority: 1000 urls: ['www.example.com','www.examplepetstore.com'] # explicit allow URL filter that you can add - filteringAction: ALLOW priority: 2000 urls: ['*'] # implicit deny URL filter that will be processed last - filteringAction: DENY priority: 2147483647 urls: ['*']
מגבלות
- מחרוזות של התאמה מייצגות דומיינים או תת-דומיינים.
- מחרוזות של התאמה לא תומכות בתו הלוכסן (/). לדוגמה:
www.example.com/images. - מחרוזות של התאמה לא תומכות בסכימות או בשמות פרוטוקולים. לדוגמה:
http://www.example.com. - מחרוזות של התאמה לא תומכות במספרי יציאות. לדוגמה:
www.example.com:80. - מחרוזות של התאמה תומכות רק באותיות, במספרים ובתווים מיוחדים של ASCII: מקף (-), נקודה (.) וכוכבית (*).
חובה להשתמש ב-Punycode כדי להמיר שמות דומיין שמכילים תווים שאינם אותיות ASCII, מספרים, מקפים (-), נקודות (.) או כוכביות (*). Punycode הוא תקן קידוד שממיר שמות דומיין ב-Unicode לפורמט שתואם ל-ASCII.
אם יש לכם שתי תוויות או יותר, צריך להשתמש בנקודות (.) כדי להפריד ביניהן. תווית יכולה להכיל מקף אחד או יותר (-), אבל היא לא יכולה להתחיל או להסתיים במקף. כל תווית יכולה לכלול עד 63 תווים.
מסנן כתובות URL לא תומך בשימוש בנקודה בתחילת שם דומיין או בנקודות עוקבות במחרוזת התאמה. מסנן כתובות URL מאפשר נקודות בסוף, אבל Cloud NGFW מסיר אותן לפני שמירת מסנן כתובות URL.
Cloud NGFW ממיר את מחרוזות ההתאמה לאותיות קטנות לפני שהוא שומר את מסנן כתובות ה-URL. Cloud NGFW לא מבצע נורמליזציה אחרת.
כל שם דומיין יכול לכלול עד 255 תווים.
מסנני כתובות URL לתת-דומיינים ברמות מרובות
אתם יכולים להשתמש במסנני כתובות URL עם עדיפויות ופעולות שונות כדי לשלוט בתעבורת הרשת לתת-דומיינים מרובי רמות. אפשר גם להשתמש בתו הכללי לחיפוש (*) במחרוזות של כלי ההתאמה כדי לציין דומיינים ותת-דומיינים.
לדוגמה, נניח שאתם מטמיעים את ההתנהגות הבאה:
- הרשאה להפעיל את
a.b.c.example.com - דחיית הבקשה של
*.b.c.example.com(דחיית הבקשות של כל שאר תת-הדומיינים שלb.c.example.com) - מתן הרשאה ל-
*.c.example.com(מתן הרשאה לכל שאר תתי-הדומיין שלc.example.com) - דחיית הבקשה של
*.example.com(דחיית הבקשות של כל שאר תת-הדומיינים שלexample.com) - הרשאה להפעיל את
example.com - אישור של כל השאר
קטע הקוד הבא מטמיע את התרחיש הזה:
urlFilteringProfile:
urlFilters:
# Allow 'a.b.c.example.com'
- filteringAction: ALLOW
priority: 1000
urls: ['a.b.c.example.com']
# Deny all subdomains of 'b.c.example.com'
- filteringAction: DENY
priority: 2000
urls: ['*.b.c.example.com']
# Allow all subdomains of 'c.example.com'
- filteringAction: ALLOW
priority: 3000
urls: ['*.c.example.com']
# Deny all subdomains of 'example.com'
- filteringAction: DENY
priority: 4000
urls: ['*.example.com']
# explicit allow URL filter
- filteringAction: ALLOW
priority: 5000
urls: ['*']
# implicit deny URL filter that will be processed last
- filteringAction: DENY
priority: 2147483647
urls: ['*']
הצגת פרופיל אבטחה לסינון כתובות URL
אתם יכולים לראות את הפרטים של פרופיל אבטחה ספציפי לסינון כתובות URL בארגון או בפרויקט.
פרופילי אבטחה ברמת הארגון
כדי לראות פרופיל אבטחה לסינון כתובות URL ברמת הארגון, משתמשים במסוףGoogle Cloud או ב-CLI של gcloud.
המסוף
נכנסים לדף Security profiles במסוף Google Cloud .
לוחצים על הכרטיסייה פרופילי אבטחה. בכרטיסייה מוצגת רשימה של פרופילי אבטחה שהוגדרו.
לוחצים על פרופיל אבטחה מסוג סינון כתובות URL כדי להציג את פרטי הפרופיל.
gcloud
כדי לראות את הפרטים של פרופיל אבטחה לסינון כתובות URL, משתמשים בפקודה gcloud network-security security-profiles url-filtering describe:
gcloud network-security security-profiles url-filtering describe NAME \
--organization ORGANIZATION_ID \
--location LOCATION
מחליפים את מה שכתוב בשדות הבאים:
NAME: השם של פרופיל האבטחה מהסוגurl-filteringשרוצים לתאר. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.
ORGANIZATION_ID: הארגון שבו קיים פרופיל האבטחה של סינון כתובות URL. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנהNAME, אפשר להשמיט את הדגל--organization.
LOCATION: המיקום של פרופיל האבטחה של סינון כתובות URL. המיקום תמיד מוגדר לערךglobal. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנהNAME, אפשר להשמיט את הדגל--location.
פרופילי אבטחה ברמת הפרויקט
כדי לראות פרופיל אבטחה של סינון כתובות URL ברמת הפרויקט, משתמשים במסוףGoogle Cloud או ב-CLI של gcloud.
המסוף
נכנסים לדף Security profiles במסוף Google Cloud .
בתפריט לבחירת פרויקטים, בוחרים את הפרויקט הרצוי.
לוחצים על הכרטיסייה פרופילי אבטחה. בכרטיסייה מוצגת רשימה של פרופילי אבטחה שהוגדרו.
לוחצים על פרופיל אבטחה מסוג סינון כתובות URL כדי להציג את פרטי הפרופיל.
gcloud
כדי לראות את הפרטים של פרופיל אבטחה לסינון כתובות URL, משתמשים בפקודה gcloud beta network-security security-profiles url-filtering describe:
gcloud beta network-security security-profiles url-filtering describe NAME \
--project PROJECT_ID \
--location LOCATION
מחליפים את מה שכתוב בשדות הבאים:
NAME: השם של פרופיל האבטחה מהסוגurl-filteringשרוצים לתאר. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.
PROJECT_ID: הפרויקט שבו קיים פרופיל האבטחה של סינון כתובות ה-URL. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנהNAME, אפשר להשמיט את הדגל--project.
LOCATION: המיקום של פרופיל האבטחה של סינון כתובות URL. המיקום תמיד מוגדר לערךglobal. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנהNAME, אפשר להשמיט את הדגל--location.
הצגת רשימה של פרופילי אבטחה לסינון כתובות URL
אתם יכולים להציג רשימה של כל פרופילי האבטחה של סינון כתובות URL בארגון או בפרויקט.
פרופילי אבטחה ברמת הארגון
כדי להציג רשימה של כל פרופילי האבטחה של סינון כתובות URL ברמת הארגון, משתמשים במסוףGoogle Cloud או ב-CLI של gcloud.
המסוף
נכנסים לדף Security profiles במסוף Google Cloud .
לוחצים על הכרטיסייה פרופילי אבטחה. בכרטיסייה מוצגת רשימה של פרופילי אבטחה שהוגדרו.
gcloud
כדי לראות את כל פרופילי האבטחה של סינון כתובות URL, משתמשים בפקודה gcloud network-security security-profiles url-filtering list:
gcloud network-security security-profiles url-filtering list \
--organization ORGANIZATION_ID \
--location LOCATION
מחליפים את מה שכתוב בשדות הבאים:
ORGANIZATION_ID: הארגון שבו קיימים פרופילי האבטחה של סינון כתובות ה-URL.
LOCATION: המיקום של פרופילי האבטחה של סינון כתובות ה-URL. המיקום תמיד מוגדר לערךglobal.
פרופילי אבטחה ברמת הפרויקט
כדי להציג רשימה של כל פרופילי האבטחה של סינון כתובות URL ברמת הפרויקט, משתמשים במסוףGoogle Cloud או ב-CLI של gcloud.
המסוף
נכנסים לדף Security profiles במסוף Google Cloud .
בתפריט לבחירת פרויקטים, בוחרים את הפרויקט הרצוי.
לוחצים על הכרטיסייה פרופילי אבטחה. בכרטיסייה מוצגת רשימה של פרופילי אבטחה שהוגדרו.
gcloud
כדי להציג את כל פרופילי האבטחה של סינון כתובות URL, משתמשים בפקודה gcloud beta network-security security-profiles url-filtering list:
gcloud beta network-security security-profiles url-filtering list \
--project PROJECT_ID \
--location LOCATION
מחליפים את מה שכתוב בשדות הבאים:
PROJECT_ID: הפרויקט שבו נמצאים פרופילי האבטחה של סינון כתובות ה-URL.
LOCATION: המיקום של פרופילי האבטחה של סינון כתובות ה-URL. המיקום תמיד מוגדר לערךglobal.
מחיקת פרופיל אבטחה לסינון כתובות URL
כדי למחוק פרופיל אבטחה לסינון כתובות URL, צריך לציין את השם, המיקום והארגון או הפרויקט שלו. עם זאת, אם פרופיל אבטחה מפנה לקבוצת פרופילי אבטחה, אי אפשר למחוק את פרופיל האבטחה הזה.
פרופילי אבטחה ברמת הארגון
כדי למחוק פרופיל אבטחה לסינון כתובות URL ברמת הארגון, משתמשים במסוףGoogle Cloud או ב-CLI של gcloud.
המסוף
נכנסים לדף Security profiles במסוף Google Cloud .
לוחצים על הכרטיסייה פרופילי אבטחה. בכרטיסייה מוצגת רשימה של פרופילי אבטחה שהוגדרו.
בוחרים את פרופיל האבטחה שרוצים למחוק ולוחצים על מחיקה.
כדי לאשר, לוחצים שוב על מחיקה.
gcloud
כדי למחוק פרופיל אבטחה של סינון כתובות URL, משתמשים בפקודה gcloud network-security security-profiles url-filtering delete:
gcloud network-security security-profiles url-filtering delete NAME \
--organization ORGANIZATION_ID \
--location LOCATION
מחליפים את מה שכתוב בשדות הבאים:
NAME: השם של פרופיל האבטחה של סינון כתובות ה-URL שרוצים למחוק. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.
ORGANIZATION_ID: הארגון שבו קיים פרופיל האבטחה של סינון כתובות URL. אם אתם משתמשים במזהה ייחודי של כתובת URL עבור המשתנהNAME, אתם יכולים להשמיט את הדגל--organization.
LOCATION: המיקום של פרופיל האבטחה של סינון כתובות URL.המיקום תמיד מוגדר לערך
global. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנהNAME, אפשר להשמיט את הדגל--location.
פרופילי אבטחה ברמת הפרויקט
כדי למחוק פרופיל אבטחה של סינון כתובות URL ברמת הפרויקט, משתמשים ב-CLI של gcloud.
gcloud
כדי למחוק פרופיל אבטחה לסינון כתובות URL, משתמשים בפקודה gcloud beta network-security security-profiles url-filtering delete:
gcloud beta network-security security-profiles url-filtering delete NAME \
--project PROJECT_ID \
--location LOCATION
מחליפים את מה שכתוב בשדות הבאים:
NAME: השם של פרופיל האבטחה של סינון כתובות ה-URL שרוצים למחוק. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.
PROJECT_ID: הפרויקט שבו קיים פרופיל האבטחה של סינון כתובות ה-URL. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנהNAME, אפשר להשמיט את הדגל--project.
LOCATION: המיקום של פרופיל האבטחה של סינון כתובות URL.המיקום תמיד מוגדר לערך
global. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנהNAME, אפשר להשמיט את הדגל--location.
ייבוא פרופיל אבטחה לסינון כתובות URL
אתם יכולים לייבא פרופיל אבטחה לסינון כתובות URL (שנוצר בהתאמה אישית או יוצא בעבר) מקובץ YAML. כשמייבאים פרופיל אבטחה לסינון כתובות URL, אם כבר קיים פרופיל עם אותו שם, Cloud NGFW מעדכן את הפרופיל הקיים.
פרופילי אבטחה ברמת הארגון
כדי לייבא פרופיל אבטחה לסינון כתובות URL ברמת הארגון, משתמשים ב-CLI של gcloud.
gcloud
כדי לייבא פרופיל אבטחה של סינון כתובות URL מקובץ YAML, משתמשים בפקודה gcloud beta network-security security-profiles import:
gcloud network-security security-profiles import NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--source FILE_NAME
מחליפים את מה שכתוב בשדות הבאים:
NAME: השם של פרופיל האבטחה מהסוגurl-filteringשרוצים לייבא. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.אם משתמשים במזהה ייחודי של כתובת URL למשתנה
NAME, אפשר להשמיט את הדגליםORGANIZATION_IDו-LOCATION.
ORGANIZATION_ID: הארגון שבו קיים פרופיל האבטחה של סינון כתובות URL. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנהNAME, אפשר להשמיט את הדגל--organization.
LOCATION: המיקום של פרופיל האבטחה של סינון כתובות URL. המיקום תמיד מוגדר לערךglobal. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנהNAME, אפשר להשמיט את הדגל--location.
FILE_NAME: הנתיב לקובץ ה-YAML שמכיל את נתוני הייצוא של ההגדרות לפרופיל האבטחה של סינון כתובות URL. לדוגמה,url-filtering-sp.yaml.קובץ ה-YAML לא יכול להכיל שדות שהם רק לפלט. לחלופין, אפשר להשמיט את הדגל
sourceכדי לקרוא מהקלט הרגיל.
פרופילי אבטחה ברמת הפרויקט
כדי לייבא פרופיל אבטחה לסינון כתובות URL ברמת הפרויקט, משתמשים ב-CLI של gcloud.
gcloud
כדי לייבא פרופיל אבטחה לסינון כתובות URL מקובץ YAML, משתמשים בפקודה gcloud beta network-security security-profiles import:
gcloud beta network-security security-profiles import NAME \
--project PROJECT_ID \
--location LOCATION \
--source FILE_NAME
מחליפים את מה שכתוב בשדות הבאים:
NAME: השם של פרופיל האבטחה מהסוגurl-filteringשרוצים לייבא. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.אם משתמשים במזהה ייחודי של כתובת URL למשתנה
NAME, אפשר להשמיט את הדגליםPROJECT_IDו-LOCATION.
PROJECT_ID: הפרויקט שבו נוצר פרופיל האבטחה של סינון כתובות URL. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנהNAME, אפשר להשמיט את הדגל--project.
LOCATION: המיקום של פרופיל האבטחה של סינון כתובות URL. המיקום תמיד מוגדר לערךglobal. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנהNAME, אפשר להשמיט את הדגל--location.
FILE_NAME: הנתיב לקובץ ה-YAML שמכיל את נתוני הייצוא של ההגדרות לפרופיל האבטחה של סינון כתובות URL. לדוגמה,url-filtering-sp.yaml.קובץ ה-YAML לא יכול להכיל שדות שהם רק לפלט. לחלופין, אפשר להשמיט את הדגל
sourceכדי לקרוא מהקלט הרגיל.
ייצוא פרופיל אבטחה של סינון כתובות URL
אפשר לייצא פרופיל אבטחה של סינון כתובות URL לקובץ YAML. לדוגמה, במקום להשתמש בממשק המשתמש כדי לשנות פרופיל אבטחה גדול, אפשר להשתמש בפונקציונליות הזו כדי לייצא את פרופיל האבטחה, לשנות אותו במהירות ולייבא אותו בחזרה.
פרופילי אבטחה ברמת הארגון
כדי לייצא פרופיל אבטחה של סינון כתובות URL ברמת הארגון, משתמשים ב-CLI של gcloud.
gcloud
כדי לייצא פרופיל אבטחה של סינון כתובות URL לקובץ YAML, משתמשים בפקודה gcloud network-security security-profiles export:
gcloud network-security security-profiles export NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--destination FILE_NAME
מחליפים את מה שכתוב בשדות הבאים:
NAME: השם של פרופיל האבטחה מהסוגurl-filteringשרוצים לייצא. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.אם משתמשים במזהה ייחודי של כתובת URL למשתנה
NAME, אפשר להשמיט את הדגליםORGANIZATION_IDו-LOCATION.
ORGANIZATION_ID: הארגון שבו קיים פרופיל האבטחה של סינון כתובות URL. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנהNAME, אפשר להשמיט את הדגל--organization.
LOCATION: המיקום של פרופיל האבטחה של סינון כתובות URL. המיקום תמיד מוגדר לערךglobal. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנהNAME, אפשר להשמיט את הדגל--location.
FILE_NAME: הנתיב לקובץ ה-YAML שאליו Cloud NGFW ייצא את ההגדרה של פרופיל האבטחה לסינון כתובות URL. לדוגמה,url-filtering-sp.yaml.נתוני התצורה שמייצאים לא מכילים שדות שהם רק לפלט. אפשרות אחרת היא להשמיט את הדגל
destinationכדי לכתוב לפלט הרגיל.
פרופילי אבטחה ברמת הפרויקט
כדי לייצא פרופיל אבטחה של סינון כתובות URL ברמת הפרויקט, משתמשים ב-CLI של gcloud.
gcloud
כדי לייצא פרופיל אבטחה של סינון כתובות URL לקובץ YAML, משתמשים בפקודה gcloud beta network-security security-profiles export:
gcloud beta network-security security-profiles export NAME \
--project PROJECT_ID \
--location LOCATION \
--destination FILE_NAME
מחליפים את מה שכתוב בשדות הבאים:
NAME: השם של פרופיל האבטחה מהסוגurl-filteringשרוצים לייצא. אפשר לציין את השם כמחרוזת או כמזהה ייחודי של כתובת URL.אם משתמשים במזהה ייחודי של כתובת URL למשתנה
NAME, אפשר להשמיט את הדגליםPROJECT_IDו-LOCATION.
PROJECT_ID: הפרויקט שבו קיים פרופיל האבטחה של סינון כתובות ה-URL. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנהNAME, אפשר להשמיט את הדגל--project.
LOCATION: המיקום של פרופיל האבטחה של סינון כתובות URL. המיקום תמיד מוגדר לערךglobal. אם משתמשים במזהה ייחודי של כתובת URL עבור המשתנהNAME, אפשר להשמיט את הדגל--location.
FILE_NAME: הנתיב לקובץ ה-YAML שאליו Cloud NGFW ייצא את ההגדרה של פרופיל האבטחה לסינון כתובות URL. לדוגמה,url-filtering-sp.yaml.נתוני התצורה שמייצאים לא מכילים שדות שהם רק לפלט. אפשרות אחרת היא להשמיט את הדגל
destinationכדי לכתוב לפלט הרגיל.