Nesta página, explicamos como criar e gerenciar perfis de segurança
do tipo url-filtering usando o console do Google Cloud e a Google Cloud CLI.
Antes de começar
- É necessário ativar a API Network Security no projeto.
- Instale a CLI gcloud se você quiser executar os exemplos de linhas de comando
gcloudneste guia.
Papéis
Para receber as permissões necessárias de criação, visualização, atualização ou exclusão de perfis de segurança, solicite ao administrador que conceda a você os papéis do IAM necessários na sua organização. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.
Criar um perfil de segurança de filtragem de URL
Ao criar um perfil de segurança de filtragem de URL (perfil de segurança do tipo
url-filtering), é possível especificar o nome dele como uma string ou um identificador de URL exclusivo.
Perfis de segurança no nível da organização
Para criar um perfil de segurança de filtragem de URL no nível da organização, use o console doGoogle Cloud ou a CLI gcloud.
O URL exclusivo de um perfil de segurança pode ser criado no seguinte formato:
organizations/ORGANIZATION_ID/locations/global/securityProfiles/SECURITY_PROFILE_NAME
Se você usar um identificador de URL exclusivo para o nome do perfil de segurança, a organização e o local do perfil de segurança já estarão incluídos no identificador de URL. No entanto, se você usar apenas o nome do perfil de segurança, será necessário especificar a organização e o local separadamente. Para mais informações sobre identificadores exclusivos de URL, consulte as especificações do perfil de segurança.
Console
No console do Google Cloud , acesse a página Perfis de segurança.
No menu do seletor de projetos, selecione a organização em que você quer criar o perfil de segurança.
Selecione a guia Perfis de segurança.
Clique em Criar perfil.
Digite um nome no campo Nome.
.Opcional: insira uma descrição no campo Descrição.
Para criar um perfil de segurança do Cloud Next Generation Firewall Enterprise, na seção Finalidade, selecione Cloud NGFW Enterprise.
Para criar um perfil de segurança de filtragem de URL, na seção Tipo, selecione Filtragem de URL.
Na seção Filtros de URL, clique no botão Criar filtro de URL.
No painel Criar um filtro de URL, especifique os seguintes detalhes:
- Prioridade: especifique a prioridade do filtro de URL.
- Ação: especifique a ação que o Cloud NGFW
executa no tráfego.
- Permitir: permite as conexões que correspondem a um URL.
- Negar: nega as conexões que correspondem a um URL.
- Lista de URLs: especifique uma lista de URLs ou strings de correspondência. Cada URL ou entrada de string de correspondência precisa aparecer na própria linha sem espaços ou delimitadores. Cada entrada pode consistir em apenas um domínio. Para mais informações sobre as strings de correspondência, consulte Strings de correspondência para URLs.
Clique em Criar.
gcloud
Crie um arquivo YAML com o seguinte conteúdo:
name: NAME type: PROFILE_TYPE urlFilteringProfile: urlFilters: - filteringAction: ACTION priority: PRIORITY urls: URL[,URL,...]Substitua:
.NAME: o nome do perfil de segurança de filtragem de URL; é possível especificar o nome como uma string ou um identificador de URL exclusivo.PROFILE_TYPE: especifique o tipo de perfil de segurança comourl-filtering.ACTION: especifique uma das seguintes ações:allow: permite conexões que correspondem a um URLdeny: nega conexões que correspondem a um URL
PRIORITY: prioridade de um filtro de URL, que varia de 0 a 2147483647.URLs: uma lista separada por vírgulas de strings de correspondência. Por exemplo,www.example.comewww.examplepetstore.com.
Para criar o perfil de segurança de filtragem de URL, execute o comando
gcloud network-security security-profiles import:gcloud network-security security-profiles import NAME \ --location LOCATION \ --source FILE_NAME \ --organization ORGANIZATION_IDComo alternativa, é possível criar um perfil de segurança de filtragem de URL sem um arquivo YAML usando o comando
gcloud network-security security-profiles url-filtering create:gcloud network-security security-profiles url-filtering create NAME \ --location LOCATION \ --organization ORGANIZATION_ID \ --description DESCRIPTIONSubstitua:
.NAME: o nome do perfil de segurança de filtragem de URL; é possível especificar o nome como uma string ou um identificador de URL exclusivo.Se você usar um identificador de URL exclusivo para a variável
NAME, poderá omitir as flags--locatione--organization.LOCATION: o local do perfil de segurança de filtragem de URL.O local está sempre definido como
global. Se você usar um identificador de URL exclusivo para a variávelNAME, omita a sinalização--location.FILE_NAME: o nome do arquivo YAML. Por exemplo,url-filtering-sp.yaml.ORGANIZATION_ID: a organização em que o perfil de segurança de filtragem de URL é criado. Se você usar um identificador de URL exclusivo para a variávelNAME, será possível omitir a sinalização--organization.DESCRIPTION: uma descrição opcional para o perfil de segurança de filtragem de URL.
Por exemplo, o snippet de código a seguir mostra um perfil de segurança de filtragem de URL que permite solicitações para
www.example.comewww.examplepetstore.com, mas nega solicitações para todos os outros domínios:urlFilteringProfile: urlFilters: - filteringAction: ALLOW priority: 1000 urls: ['www.example.com', 'www.examplepetstore.com'] # the following URL filter is implicit and will be processed last - filteringAction: DENY priority: 2147483647 urls: ['*']
Perfis de segurança para envolvidos no projeto
Para criar um perfil de segurança de filtragem de URL para envolvidos no projeto, use a CLI gcloud.
O URL exclusivo de um perfil de segurança pode ser criado no seguinte formato:
projects/PROJECT_ID/locations/global/securityProfiles/SECURITY_PROFILE_NAME
Se você usar um identificador de URL exclusivo para o nome do perfil de segurança, o projeto e o local do perfil já estarão incluídos no identificador de URL. No entanto, se você usar apenas o nome do perfil de segurança, será necessário especificar o projeto e o local separadamente. Para mais informações sobre identificadores exclusivos de URL, consulte as especificações do perfil de segurança.
gcloud
Crie um arquivo YAML com o seguinte conteúdo:
name: NAME type: PROFILE_TYPE urlFilteringProfile: urlFilters: - filteringAction: ACTION priority: PRIORITY urls: URL[,URL,...]Substitua:
.NAME: o nome do perfil de segurança de filtragem de URL; é possível especificar o nome como uma string ou um identificador de URL exclusivo.PROFILE_TYPE: especifique o tipo de perfil de segurança comourl-filtering.ACTION: especifique uma das seguintes ações:allow: permite conexões que correspondem a um URLdeny: nega conexões que correspondem a um URL
PRIORITY: prioridade de um filtro de URL, que varia de 0 a 2147483647.URLs: uma lista separada por vírgulas de strings de correspondência. Por exemplo,www.example.comewww.examplepetstore.com.
Para criar o perfil de segurança de filtragem de URL, execute o comando
gcloud beta network-security security-profiles import:gcloud beta network-security security-profiles import NAME \ --location LOCATION \ --source FILE_NAME \ --project PROJECT_IDComo alternativa, é possível criar um perfil de segurança de filtragem de URL sem um arquivo YAML usando o comando
gcloud beta network-security security-profiles url-filtering create:gcloud beta network-security security-profiles url-filtering create NAME \ --location LOCATION \ --project PROJECT_ID \ --description DESCRIPTIONSubstitua:
.NAME: o nome do perfil de segurança de filtragem de URL; é possível especificar o nome como uma string ou um identificador de URL exclusivo.Se você usar um identificador de URL exclusivo para a variável
NAME, poderá omitir as flags--locatione--project.LOCATION: o local do perfil de segurança de filtragem de URL.O local está sempre definido como
global. Se você usar um identificador de URL exclusivo para a variávelNAME, omita a sinalização--location.FILE_NAME: o nome do arquivo YAML. Por exemplo,url-filtering-sp.yaml.PROJECT_ID: o projeto em que o perfil de segurança de filtragem de URL é criado. Se você usar um identificador de URL exclusivo para a variávelNAME, será possível omitir a sinalização--project.DESCRIPTION: uma descrição opcional para o perfil de segurança de filtragem de URL.
Por exemplo, o snippet de código a seguir mostra um perfil de segurança de filtragem de URL que permite solicitações para
www.example.comewww.examplepetstore.com, mas nega solicitações para todos os outros domínios:url_filtering_profile: url_filters: - filtering_action: ALLOW priority: 1000 urls: ['www.example.com', 'www.examplepetstore.com'] # the following URL filter is implicit and will be processed last - filtering_action: DENY priority: 2147483647 urls: ['*']
Filtro de URL de negação implícita
O perfil de segurança de filtragem de URL sempre inclui um filtro de URL padrão com a menor prioridade (2147483647), que nega todas as conexões que não correspondem aos filtros de URL de maior prioridade. O snippet de código a seguir mostra um exemplo do filtro de URL de negação implícita:
urlFilteringProfile:
urlFilters:
# user-specified URL filters
- filteringAction: DENY
priority: 1000
urls: ['www.example.com','www.examplepetstore.com']
- filteringAction: ALLOW
priority: 2000
urls: ['www.example.org','www.example.net']
# implicit deny URL filter that will be processed last
- filteringAction: DENY
priority: 2147483647
urls: ['*']
É possível ver o filtro de URL de negação implícita ao visualizar ou exportar um perfil de segurança de filtragem de URL. Não é possível modificar ou remover o filtro implícito.
Por exemplo, se você quiser mudar a ação padrão de um perfil de DENY (aplicada por um filtro implícito) para ALLOW, adicione um filtro explícito que o Cloud NGFW processe antes do filtro implícito.
urlFilteringProfile:
urlFilters:
# user-specified filters
- filteringAction: DENY
priority: 1000
urls: ['www.example.com','www.examplepetstore.com']
# explicit allow URL filter that you can add
- filteringAction: ALLOW
priority: 2000
urls: ['*']
# implicit deny URL filter that will be processed last
- filteringAction: DENY
priority: 2147483647
urls: ['*']
Strings de correspondência para URLs
As strings de correspondência são os valores especificados no campo urls de um filtro de URL. É possível especificar uma ou mais strings de correspondência em um filtro de URL.
Caracteres curinga
Cada string de correspondência de uma lista de URLs aceita um caractere curinga (*) de forma limitada.
- Cada string de correspondência pode aceitar apenas um asterisco (*), que pode ser o primeiro ou o único caractere.
O asterisco (*) pode ter as seguintes interpretações:
Um asterisco (*) antes de um ponto (.) indica todos os subdomínios do domínio.
Por exemplo, a string de correspondência
*.example.comcorresponde aa.example.comea.b.c.example.com, mas não aexample.com.urlFilteringProfile: urlFilters: # user-specified filters - filteringAction: ALLOW priority: 1000 urls: ['*.example.com'] # implicit deny URL filter that will be processed last - filteringAction: DENY priority: 2147483647 urls: ['*']No exemplo anterior, o Cloud NGFW permite o tráfego para os subdomínios de
example.com, mas nega o restante do tráfego de saída.Um asterisco (*) antes de um rótulo indica o domínio e todos os subdomínios.
Por exemplo, a string de correspondência
*example.comcorresponde aa.example.com,a.b.c.example.comeexample.com.urlFilteringProfile: urlFilters: # user-specified filters - filteringAction: ALLOW priority: 1000 urls: ['*example.com'] # implicit deny URL filter that will be processed last - filteringAction: DENY priority: 2147483647 urls: ['*']No exemplo anterior, o Cloud NGFW permite o tráfego para
example.come os subdomínios deexample.com, mas nega o restante do tráfego de saída.Um asterisco (*) antes de uma extensão de domínio (como
.com) indica todos os domínios (e subdomínios) que usam a extensão.Por exemplo, a string de correspondência
*.comcorresponde aexample.comeexamplepetstore.come todos os subdomínios deles.O snippet de código a seguir demonstra como permitir todos os domínios (e subdomínios) que terminam em
.com, mas negar o restante do tráfego.urlFilteringProfile: urlFilters: # Allow all domains (and their subdomains) that end in '.com' - filteringAction: ALLOW priority: 2000 urls: ['*.com'] # implicit deny URL filter that will be processed last - filteringAction: DENY priority: 2147483647 urls: ['*']O snippet de código a seguir demonstra como negar todos os subdomínios de
example.comeexamplepetstore.com, mas permitir esses domínios e todos os outros domínios (e subdomínios) que terminam em.com.urlFilteringProfile: urlFilters: # Deny all subdomains of example.com - filteringAction: DENY priority: 1000 urls: ['*.example.com'] # Deny all subdomains of examplepetstore.com - filteringAction: DENY priority: 1500 urls: ['*.examplepetstore.com'] # Allow all domains (and their subdomains) that end in '.com' - filteringAction: ALLOW priority: 2000 urls: ['*.com'] # implicit deny URL filter that will be processed last - filteringAction: DENY priority: 2147483647 urls: ['*']O Cloud NGFW não interpreta o asterisco (*) como um caractere curinga de expressão regular.
Por exemplo,
*example.testnão corresponde anewexample.testoua.newexample.test. Ela só corresponde aexample.teste aos subdomínios deexample.test.Um único asterisco (*) sem outros caracteres indica uma correspondência para todas as solicitações.
Por exemplo, a string de correspondência no filtro de permissão explícita de URL de menor prioridade contém apenas um asterisco (*) e tem uma ação
ALLOWque substitui a ação padrão deDENY. Isso acontece porque o filtro de URL de negação implícita aplica oDENYpadrão a todas as solicitações que não correspondem a filtros de URL de maior prioridade.O filtro de URL de maior prioridade, que é um
ALLOWexplícito ou umDENYimplícito, determina se o Cloud NGFW permite ou nega conexões quando não tem informações de SNI ou domínio. Isso pode acontecer com tráfego HTTP não criptografado ou quando a inspeção TLS está desativada para cabeçalhos de mensagens criptografadas.urlFilteringProfile: urlFilters: # user-specified filters - filteringAction: DENY priority: 1000 urls: ['www.example.com','www.examplepetstore.com'] # explicit allow URL filter that you can add - filteringAction: ALLOW priority: 2000 urls: ['*'] # implicit deny URL filter that will be processed last - filteringAction: DENY priority: 2147483647 urls: ['*']
Limitações
- As strings de correspondência representam domínios ou subdomínios.
- As strings de correspondência não são compatíveis com o caractere de barra (/). Por exemplo:
www.example.com/images. - As strings de correspondência não são compatíveis com esquemas ou nomes de protocolo. Por exemplo,
http://www.example.com. - As strings de correspondência não aceitam números de porta. Por exemplo,
www.example.com:80. - As strings de correspondência aceitam apenas letras ASCII, números e caracteres especiais: hífen (-), ponto (.) e asterisco (*).
Use o Punycode para converter nomes de domínio que contenham caracteres diferentes de letras ASCII, números, hifens (-), pontos (.) ou asteriscos (*). O Punycode é um padrão de codificação que transforma nomes de domínio Unicode em um formato compatível com ASCII.
Se você tiver dois ou mais rótulos, use pontos (.) para separá-los. Um rótulo pode conter um ou mais hífens (-), mas não pode começar ou terminar com um hífen. Cada rótulo pode incluir no máximo 63 caracteres.
Um filtro de URL não aceita o uso de um ponto no início de um nome de domínio ou pontos consecutivos em uma string de correspondência. Um filtro de URL permite pontos finais, mas o Cloud NGFW os remove antes de salvar um filtro de URL.
O Cloud NGFW converte as strings de correspondência em letras minúsculas antes de salvar o filtro de URL. O Cloud NGFW não realiza nenhuma outra normalização.
Cada nome de domínio pode incluir no máximo 255 caracteres.
Filtros de URL para subdomínios de vários níveis
É possível usar filtros de URL com diferentes prioridades e ações para controlar o tráfego de rede para subdomínios de vários níveis. Você também pode usar o caractere curinga (*) em strings de correspondência para especificar domínios e subdomínios.
Por exemplo, considere um cenário em que você implementa o seguinte comportamento:
- Permitir
a.b.c.example.com - Negar
*.b.c.example.com(negar todos os outros subdomínios deb.c.example.com) - Permitir
*.c.example.com(permitir todos os outros subdomínios dec.example.com) - Negar
*.example.com(negar todos os outros subdomínios deexample.com) - Permitir
example.com - Permitir todo o restante
O snippet de código a seguir implementa esse cenário:
urlFilteringProfile:
urlFilters:
# Allow 'a.b.c.example.com'
- filteringAction: ALLOW
priority: 1000
urls: ['a.b.c.example.com']
# Deny all subdomains of 'b.c.example.com'
- filteringAction: DENY
priority: 2000
urls: ['*.b.c.example.com']
# Allow all subdomains of 'c.example.com'
- filteringAction: ALLOW
priority: 3000
urls: ['*.c.example.com']
# Deny all subdomains of 'example.com'
- filteringAction: DENY
priority: 4000
urls: ['*.example.com']
# explicit allow URL filter
- filteringAction: ALLOW
priority: 5000
urls: ['*']
# implicit deny URL filter that will be processed last
- filteringAction: DENY
priority: 2147483647
urls: ['*']
Conferir um perfil de segurança de filtragem de URL
É possível conferir os detalhes de um perfil de segurança de filtragem de URL específico em uma organização ou um projeto.
Perfis de segurança no nível da organização
Para conferir um perfil de segurança de filtragem de URL no nível da organização, use o consoleGoogle Cloud ou a CLI gcloud.
Console
No console do Google Cloud , acesse a página Perfis de segurança.
Selecione a guia Perfis de segurança. A guia mostra uma lista de perfis de segurança configurados.
Clique em um perfil de segurança do tipo Filtragem de URL para conferir os detalhes.
gcloud
Para conferir os detalhes de um perfil de segurança de filtragem de URL, use o
comando gcloud network-security security-profiles url-filtering describe:
gcloud network-security security-profiles url-filtering describe NAME \
--organization ORGANIZATION_ID \
--location LOCATION
Substitua:
NAME: o nome do perfil de segurança do tipourl-filteringque você quer descrever. É possível especificar o nome como uma string ou um identificador de URL exclusivo.ORGANIZATION_ID: a organização em que o perfil de segurança de filtragem de URL existe. Se você usar um identificador de URL exclusivo para a variávelNAME, omita a sinalização--organization.LOCATION: o local do perfil de segurança de filtragem de URL. O local está sempre definido comoglobal. Se você usar um identificador de URL exclusivo para a variávelNAME, omita a sinalização--location.
Perfis de segurança para envolvidos no projeto
Para conferir um perfil de segurança de filtragem de URL no nível do projeto, use a CLI gcloud.
gcloud
Para conferir os detalhes de um perfil de segurança de filtragem de URL, use o
comando gcloud beta network-security security-profiles url-filtering describe:
gcloud beta network-security security-profiles url-filtering describe NAME \
--project PROJECT_ID \
--location LOCATION
Substitua:
NAME: o nome do perfil de segurança do tipourl-filteringque você quer descrever. É possível especificar o nome como uma string ou um identificador de URL exclusivo.PROJECT_ID: o projeto em que o perfil de segurança de filtragem de URL está. Se você usar um identificador de URL exclusivo para a variávelNAME, omita a sinalização--project.LOCATION: o local do perfil de segurança de filtragem de URL. O local está sempre definido comoglobal. Se você usar um identificador de URL exclusivo para a variávelNAME, omita a sinalização--location.
Listar perfis de segurança de filtragem de URL
É possível listar todos os perfis de segurança de filtragem de URL em uma organização ou um projeto.
Perfis de segurança no nível da organização
Para listar todos os perfis de segurança de filtragem de URL no nível da organização, use o consoleGoogle Cloud ou a CLI gcloud.
Console
No console do Google Cloud , acesse a página Perfis de segurança.
Selecione a guia Perfis de segurança. A guia mostra uma lista de perfis de segurança configurados.
gcloud
Para listar todos os perfis de segurança de filtragem de URL, use o
comando gcloud network-security security-profiles url-filtering list:
gcloud network-security security-profiles url-filtering list \
--organization ORGANIZATION_ID \
--location LOCATION
Substitua:
ORGANIZATION_ID: a organização em que os perfis de segurança de filtragem de URL existem.LOCATION: o local dos perfis de segurança de filtragem de URL. O local está sempre definido comoglobal.
Perfis de segurança para envolvidos no projeto
Para listar todos os perfis de segurança de filtragem de URL para envolvidos no projeto, use a CLI gcloud.
gcloud
Para listar todos os perfis de segurança de filtragem de URL, use o
comando gcloud beta network-security security-profiles url-filtering list:
gcloud beta network-security security-profiles url-filtering list \
--project PROJECT_ID \
--location LOCATION
Substitua:
PROJECT_ID: o projeto em que os perfis de segurança de filtragem de URL estão.LOCATION: o local dos perfis de segurança de filtragem de URL. O local está sempre definido comoglobal.
Excluir um perfil de segurança de filtragem de URL
É possível excluir um perfil de segurança de filtragem de URL especificando o nome, o local e a organização ou o projeto dele. No entanto, se um perfil de segurança for referenciado por um grupo de perfis de segurança, ele não poderá ser excluído.
Perfis de segurança no nível da organização
Para excluir um perfil de segurança de filtragem de URL no nível da organização, use o console doGoogle Cloud ou a CLI gcloud.
Console
No console do Google Cloud , acesse a página Perfis de segurança.
Selecione a guia Perfis de segurança. A guia mostra uma lista de perfis de segurança configurados.
Selecione o perfil de segurança que você quer excluir e clique em Excluir.
Clique em Excluir novamente para confirmar.
gcloud
Para excluir um perfil de segurança de filtragem de URL, use o
comando gcloud network-security security-profiles url-filtering delete:
gcloud network-security security-profiles url-filtering delete NAME \
--organization ORGANIZATION_ID \
--location LOCATION
Substitua:
NAME: o nome do perfil de segurança de filtragem de URL que você quer excluir. É possível especificar o nome como uma string ou um identificador de URL exclusivo.ORGANIZATION_ID: a organização em que o perfil de segurança de filtragem de URL existe. Se você usar um identificador de URL exclusivo para a variávelNAME, será possível omitir a sinalização--organization.LOCATION: o local do perfil de segurança de filtragem de URL.O local está sempre definido como
global. Se você usar um identificador de URL exclusivo para a variávelNAME, omita a sinalização--location.
Perfis de segurança para envolvidos no projeto
Para excluir um perfil de segurança de filtragem de URL no nível do projeto, use a CLI gcloud.
gcloud
Para excluir um perfil de segurança de filtragem de URL, use o
comando gcloud beta network-security security-profiles url-filtering delete:
gcloud beta network-security security-profiles url-filtering delete NAME \
--project PROJECT_ID \
--location LOCATION
Substitua:
NAME: o nome do perfil de segurança de filtragem de URL que você quer excluir. É possível especificar o nome como uma string ou um identificador de URL exclusivo.PROJECT_ID: o projeto em que o perfil de segurança de filtragem de URL está. Se você usar um identificador de URL exclusivo para a variávelNAME, omita a sinalização--project.LOCATION: o local do perfil de segurança de filtragem de URL.O local está sempre definido como
global. Se você usar um identificador de URL exclusivo para a variávelNAME, omita a sinalização--location.
Importar um perfil de segurança de filtragem de URL
É possível importar um perfil de segurança de filtragem de URL (criado de forma personalizada ou exportado anteriormente) de um arquivo YAML. Ao importar um perfil de segurança de filtragem de URL, se já existir um perfil com o mesmo nome, o Cloud NGFW vai atualizar o perfil atual.
Perfis de segurança no nível da organização
Para importar um perfil de segurança de filtragem de URL no nível da organização, use a CLI gcloud.
gcloud
Para importar um perfil de segurança de filtragem de URL de um arquivo YAML, use o
comando gcloud beta network-security security-profiles import:
gcloud network-security security-profiles import NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--source FILE_NAME
Substitua:
NAME: o nome do perfil de segurança do tipourl-filteringque você quer importar. É possível especificar o nome como uma string ou um identificador de URL exclusivo.Se você usar um identificador de URL exclusivo para a variável
NAME, poderá omitir as flagsORGANIZATION_IDeLOCATION.ORGANIZATION_ID: a organização em que o perfil de segurança de filtragem de URL existe. Se você usar um identificador de URL exclusivo para a variávelNAME, omita a sinalização--organization.LOCATION: o local do perfil de segurança de filtragem de URL. O local está sempre definido comoglobal. Se você usar um identificador de URL exclusivo para a variávelNAME, omita a sinalização--location.FILE_NAME: o caminho para o arquivo YAML que contém os dados de exportação de configuração do perfil de segurança de filtragem de URL. Por exemplo,url-filtering-sp.yaml.O arquivo YAML não pode conter campos somente saída. Como alternativa, omita a flag
sourcepara ler da entrada padrão.
Perfis de segurança para envolvidos no projeto
Para importar um perfil de segurança de filtragem de URL no nível do projeto, use a CLI gcloud.
gcloud
Para importar um perfil de segurança de filtragem de URL de um arquivo YAML, use o comando
gcloud beta network-security security-profiles import:
gcloud beta network-security security-profiles import NAME \
--project PROJECT_ID \
--location LOCATION \
--source FILE_NAME
Substitua:
NAME: o nome do perfil de segurança do tipourl-filteringque você quer importar. É possível especificar o nome como uma string ou um identificador de URL exclusivo.Se você usar um identificador de URL exclusivo para a variável
NAME, poderá omitir as flagsPROJECT_IDeLOCATION.PROJECT_ID: o projeto em que o perfil de segurança de filtragem de URL é criado. Se você usar um identificador de URL exclusivo para a variávelNAME, omita a sinalização--project.LOCATION: o local do perfil de segurança de filtragem de URL. O local está sempre definido comoglobal. Se você usar um identificador de URL exclusivo para a variávelNAME, omita a sinalização--location.FILE_NAME: o caminho para o arquivo YAML que contém os dados de exportação de configuração do perfil de segurança de filtragem de URL. Por exemplo,url-filtering-sp.yaml.O arquivo YAML não pode conter campos somente saída. Como alternativa, omita a flag
sourcepara ler da entrada padrão.
Exportar um perfil de segurança de filtragem de URL
É possível exportar um perfil de segurança de filtragem de URL para um arquivo YAML. Por exemplo, em vez de usar a interface do usuário para modificar um perfil de segurança grande, é possível usar essa funcionalidade para exportar, modificar rapidamente e importar de volta o perfil.
Perfis de segurança no nível da organização
Para exportar um perfil de segurança de filtragem de URL no nível da organização, use a CLI gcloud.
gcloud
Para exportar um perfil de segurança de filtragem de URL para um arquivo YAML, use o
comando gcloud network-security security-profiles export:
gcloud network-security security-profiles export NAME \
--organization ORGANIZATION_ID \
--location LOCATION \
--destination FILE_NAME
Substitua:
NAME: o nome do perfil de segurança do tipourl-filteringque você quer exportar. É possível especificar o nome como uma string ou um identificador de URL exclusivo.Se você usar um identificador de URL exclusivo para a variável
NAME, poderá omitir as flagsORGANIZATION_IDeLOCATION.ORGANIZATION_ID: a organização em que o perfil de segurança de filtragem de URL existe. Se você usar um identificador de URL exclusivo para a variávelNAME, omita a sinalização--organization.LOCATION: o local do perfil de segurança de filtragem de URL. O local está sempre definido comoglobal. Se você usar um identificador de URL exclusivo para a variávelNAME, omita a sinalização--location.FILE_NAME: o caminho para o arquivo YAML em que o Cloud NGFW vai exportar a configuração do perfil de segurança de filtragem de URL. Por exemplo,url-filtering-sp.yaml.Os dados de configuração exportados não contêm campos somente de saída. Como alternativa, omita a flag
destinationpara gravar na saída padrão.
Perfis de segurança para envolvidos no projeto
Para exportar um perfil de segurança de filtragem de URL no nível do projeto, use a CLI gcloud.
gcloud
Para exportar um perfil de segurança de filtragem de URL para um arquivo YAML, use o comando
gcloud beta network-security security-profiles export:
gcloud beta network-security security-profiles export NAME \
--project PROJECT_ID \
--location LOCATION \
--destination FILE_NAME
Substitua:
NAME: o nome do perfil de segurança do tipourl-filteringque você quer exportar. É possível especificar o nome como uma string ou um identificador de URL exclusivo.Se você usar um identificador de URL exclusivo para a variável
NAME, poderá omitir as flagsPROJECT_IDeLOCATION.PROJECT_ID: o projeto em que o perfil de segurança de filtragem de URL está. Se você usar um identificador de URL exclusivo para a variávelNAME, omita a sinalização--project.LOCATION: o local do perfil de segurança de filtragem de URL. O local está sempre definido comoglobal. Se você usar um identificador de URL exclusivo para a variávelNAME, omita a sinalização--location.FILE_NAME: o caminho para o arquivo YAML em que o Cloud NGFW vai exportar a configuração do perfil de segurança de filtragem de URL. Por exemplo,url-filtering-sp.yaml.Os dados de configuração exportados não contêm campos somente de saída. Como alternativa, omita a flag
destinationpara gravar na saída padrão.