URL-Filterdienst in Ihrem Netzwerk einrichten

Mit dem URL-Filterdienst können Sie den Traffic Ihrer Google Cloud Arbeitslast anhand der Domain- und SNI-Informationen (Server Name Indication) filtern, die in den ausgehenden HTTP- oder HTTPS-Nachrichten verfügbar sind. Der Dienst schützt Ihr Netzwerk vor Bedrohungen, indem er die Kommunikation mit einer konfigurierten Liste schädlicher URLs blockiert. Damit Sie diesen Dienst in Ihrem Netzwerk aktivieren können, müssen Sie mehrere Cloud Next Generation Firewall-Komponenten einrichten. In dieser Anleitung wird der End-to-End-Workflow beschrieben, mit dem Sie den Dienst zur URL-Filterung in Ihrem Netzwerk konfigurieren.

Ziele

In diesem Anleitung werden die folgenden Aufgaben erläutert:

  • VPC-Netzwerk (Virtual Private Cloud) mit zwei Subnetzen erstellen
  • Erstellen Sie eine Server-VM-Instanz im ersten Subnetz des VPC-Netzwerk und installieren Sie den Apache-Server auf der VM.
  • Erstellen Sie eine Client-VM-Instanz im zweiten Subnetz des VPC-Netzwerks.
  • Erstellen Sie ein Sicherheitsprofil für die URL-Filterung zusammen mit einer Sicherheitsprofilgruppe.
  • Erstellen Sie einen Firewall-Endpunkt und verknüpfen Sie ihn mit dem VPC-Netzwerk.
  • Fügen Sie eine globale Netzwerkfirewall-Richtlinie mit folgenden Firewallregeln hinzu:
    • Eine Firewallregel, um den Identity-Aware Proxy-Zugriff (IAP) auf die VM-Instanzen im VPC-Netzwerk zu ermöglichen.
    • Eine Firewallregel, um den gesamten ausgehenden Traffic für die Layer-7-Prüfung weiterzuleiten.
  • Prüfen Sie, ob Traffic zur Server-VM-Instanz zugelassen ist.
  • Bereinigen Sie die Ressourcen.

Das folgende Diagramm zeigt die allgemeine Architektur der Bereitstellungseinrichtung in dieser Anleitung. Die Firewallrichtlinie fw-policy-urlf für die VPC vpc-urlf leitet den gesamten ausgehenden Traffic an den Firewall-Endpunkt endpoint-urlf in der Zone asia-southeast1-a weiter. Der Endpunkt prüft die in den ausgehenden HTTP- oder HTTPS-Nachrichten verfügbaren Informationen zu Domain und SNI auf Übereinstimmung mit der im Sicherheitsprofil für die URL-Filterung sec-profile-urlf aufgeführten URL. Wenn der Endpunkt eine Übereinstimmung findet, wird der Traffic zugelassen. Andernfalls wird er abgelehnt.

URL-Filterdienst in einem benutzerdefinierten VPC-Netzwerk, um die Kommunikation mit schädlichen URLs zu verhindern.
URL-Filterdienst in einem benutzerdefinierten VPC-Netzwerk (zum Vergrößern klicken)

Kosten

Für das Erstellen der Firewall-Endpunkte fallen Kosten an. Weitere Informationen zu den Preisen finden Sie unter Cloud Next Generation Firewall – Preise.

Hinweis

  1. Melden Sie sich in Ihrem Google Cloud -Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. Aktivieren Sie die Compute Engine API für Ihr Projekt.
  7. Aktivieren Sie die Network Security API für Ihr Projekt.
  8. Aktivieren Sie die Identity-Aware Proxy API für Ihr Projekt.
  9. Sie benötigen die IAM-Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin) für Ihre Organisation.
  10. Wenn Sie lieber mit der Befehlszeile arbeiten möchten, installieren Sie das Google Cloud CLI. Informationen zum Konzept und zur Installation des Tools finden Sie in der gcloud-CLI-Übersicht.

    Hinweis: Wenn Sie die gloud CLI noch nicht ausgeführt haben, führen Sie zuerst gcloud init aus, um Ihr gcloud-CLI-Verzeichnis zu initialisieren.

Benutzerdefiniertes VPC-Netzwerk mit Subnetzen erstellen

In diesem Abschnitt erstellen Sie ein VPC-Netzwerk im benutzerdefinierten Modus mit zwei IPv4-Subnetzen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf VPC-Netzwerk erstellen.

  3. Geben Sie für Name vpc-urlf ein.

  4. Geben Sie unter Beschreibung VPC network to set up URL filtering service ein.

  5. Wählen Sie unter Modus für Subnetzerstellung die Option Benutzerdefiniert aus.

  6. Legen Sie im Abschnitt Neues Subnetz folgende Konfigurationsparameter für das Subnetz fest:

    • Name: subnet-server-urlf
    • Region: asia-southeast1
    • IPv4-Bereich: 10.0.0.0/24

  7. Klicken Sie auf Fertig.

  8. Klicken Sie auf Subnetz hinzufügen und geben Sie folgende Konfigurationsparameter an:

    • Name: subnet-client-urlf
    • Region: us-central1
    • IPv4-Bereich: 192.168.10.0/24

  9. Klicken Sie auf Fertig.

  10. Klicken Sie auf Erstellen.

gcloud

  1. Führen Sie den folgenden Befehl aus, um ein VPC-Netzwerk zu erstellen:

    gcloud compute networks create vpc-urlf \
  --subnet-mode custom \
  --description "VPC network to set up URL filtering service."

  2. Klicken Sie im Dialogfeld Cloud Shell autorisieren auf Autorisieren.

  3. Führen Sie folgenden Befehl aus, um ein Subnetz zu erstellen:

    gcloud compute networks subnets create subnet-server-urlf \
  --network vpc-urlf \
  --region asia-southeast1 \
  --range 10.0.0.0/24

  4. Führen Sie folgenden Befehl aus, um ein weiteres Subnetz zu erstellen:

    gcloud compute networks subnets create subnet-client-urlf \
  --network vpc-urlf \
  --region us-central1 \
  --range 192.168.10.0/24

Cloud Router und Cloud NAT-Gateway erstellen

Bevor Sie im nächsten Abschnitt Client- und Server-Linux-VM-Instanzen ohne öffentliche IPv4-Adressen erstellen, müssen Sie einen Cloud Router und ein Cloud NAT-Gateway erstellen, damit diese VMs auf das öffentliche Internet zugreifen können.

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite „Cloud NAT”

  2. Klicken Sie auf Erste Schritte oder NAT-Gateway erstellen.

  3. Geben Sie als Gatewayname gateway-urlf ein.

  4. Wählen Sie als NAT-Typ Öffentlich aus.

  5. Geben Sie im Bereich Cloud Router wählen folgende Konfigurationsparameter an:

    • Netz: vpc-urlf
    • Region: asia-southeast1
    • Cloud Router: Neuen Router erstellen.
      1. Geben Sie für Name router-urlf ein.
      2. Klicken Sie auf Erstellen.

  6. Klicken Sie auf Erstellen.

gcloud

  1. Führen Sie den folgenden Befehl aus, um einen Cloud Router zu erstellen:

    gcloud compute routers create router-urlf \
  --network=vpc-urlf \
  --region=asia-southeast1

  2. Führen Sie folgenden Befehl aus, um ein Cloud NAT-Gateway zu erstellen:

    gcloud compute routers nats create gateway-urlf \
  --router=router-urlf \
  --region=asia-southeast1 \
  --auto-allocate-nat-external-ips \
  --nat-all-subnet-ip-ranges

VM-Instanzen erstellen

In diesem Abschnitt erstellen Sie Server- und Client-VM-Instanzen. Informationen zu den Berechtigungen und Rollen, die zum Erstellen von VM-Instanzen erforderlich sind, finden Sie unter Erforderliche Rollen.

Server-VM-Instanz erstellen

In diesem Abschnitt erstellen Sie eine VM-Instanz im Subnetz subnet-server-urlf und installieren den Apache-Server darauf.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Instanz erstellen auf.

    Zur Seite „Instanz erstellen“

  2. Führen Sie im Bereich Maschinenkonfiguration die folgenden Schritte aus:

    1. Geben Sie für Name vm-server-urlf ein.
    2. Wählen Sie bei Region die Option asia-southeast1 (Singapore) aus.
    3. Wählen Sie bei Zone die Option asia-southeast1-a aus.

  3. Klicken Sie im Navigationsmenü auf Betriebssystem und Speicher.

    Prüfen Sie im Abschnitt Betriebssystem und Speicher, ob Image auf Debian GNU/Linux 12 (Bookworm) festgelegt ist. Wenn nicht, klicken Sie auf Ändern und legen Sie für das Feld Betriebssystem die Option Debian und für das Feld Version die Option Debian GNU/Linux 12 (Bookworm) fest.

  4. Klicken Sie im Navigationsmenü auf Netzwerk.

    1. Geben Sie im Bereich Netzwerkschnittstellen folgende Konfigurationsparameter an:
      • Netz: vpc-urlf
      • Subnetzwerk: subnet-server-urlf IPv4 (10.0.0.0/24)
      • Externe IPv4-Adresse: None
    2. Klicken Sie auf Fertig.

  5. Klicken Sie im Navigationsmenü auf Erweitert und geben Sie das folgende Skript im Feld Startskript ein, das im Abschnitt Automatisierung verfügbar ist:

      #! /bin/bash
  apt update
  apt -y install apache2
  cat <<EOF > /var/www/html/index.html
  <html><body><p>Hello world.</p></body></html>
  EOF

  6. Klicken Sie auf Erstellen.

gcloud

Führen Sie den folgenden Befehl aus, um die Server-VM zu erstellen:

gcloud compute instances create vm-server-urlf \
    --network vpc-urlf \
    --zone asia-southeast1-a \
    --network-interface=stack-type=IPV4_ONLY,subnet=subnet-server-urlf,no-address \
    --image-project debian-cloud \
    --image-family debian-12 \
    --metadata=startup-script='#! /bin/bash
     apt update
     apt -y install apache2
     cat <<EOF > /var/www/html/index.html
     <html><body><p>Hello World.</p></body></html>
     EOF'

So verwenden Sie eine Domain-URL für die Server-VM:

Client-VM-Instanz erstellen

In diesem Abschnitt erstellen Sie eine VM-Instanz im Subnetz subnet-client-urlf.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Instanz erstellen auf.

    Zur Seite „Instanz erstellen“

  2. Führen Sie im Bereich Maschinenkonfiguration die folgenden Schritte aus:

    1. Geben Sie für Name vm-client-urlf ein.
    2. Wählen Sie bei Region die Option us-central1 (Iowa) aus.
    3. Wählen Sie bei Zone die Option us-central1-a aus.

  3. Klicken Sie im Navigationsmenü auf Netzwerk.

    1. Geben Sie im Bereich Netzwerkschnittstellen folgende Konfigurationsparameter an:
      • Netz: vpc-urlf
      • Subnetzwerk: subnet-client-urlf IPv4 (192.168.10.0/24)
      • Externe IPv4-Adresse: None
    2. Klicken Sie auf Fertig.

  4. Klicken Sie auf Erstellen.

gcloud

Führen Sie den folgenden Befehl aus, um die Client-VM zu erstellen:

gcloud compute instances create vm-client-urlf \
    --network vpc-urlf \
    --zone us-central1-a \
    --network-interface=stack-type=IPV4_ONLY,subnet=subnet-client-urlf,no-address \

Sicherheitsprofil für URL-Filterung erstellen

In diesem Abschnitt erstellen Sie ein Sicherheitsprofil vom Typ url-filtering in Ihrer Organisation. Informationen zu den Berechtigungen und Rollen, die zum Erstellen eines Sicherheitsprofils für die URL-Filterung erforderlich sind, finden Sie unter Sicherheitsprofil für die URL-Filterung erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.

    Zu „Sicherheitsprofile“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.

  3. Wählen Sie den Tab Sicherheitsprofile aus.

  4. Klicken Sie auf Profil erstellen.

  5. Geben Sie für Name sec-profile-urlf ein.

  6. Geben Sie unter Beschreibung Security profile to set up URL filtering service ein.

  7. Wählen Sie im Abschnitt Zweck die Option Cloud NGFW Enterprise aus, um anzugeben, dass Sie ein mit der Firewall verknüpftes Sicherheitsprofil erstellen möchten.

  8. Wählen Sie im Bereich Typ die Option URL-Filterung aus, um anzugeben, dass Sie ein Sicherheitsprofil vom Typ url-filtering erstellen möchten.

  9. Klicken Sie im Abschnitt URL-Filter auf die Schaltfläche URL-Filter erstellen, um einen neuen URL-Filter zu erstellen. Geben Sie im Bereich URL-Filter erstellen die folgenden Details an:

    • Priorität: Geben Sie die Priorität des URL-Filters an. Beispiel: 1000.
    • Aktion: Geben Sie Zulassen an, um Traffic zur Server-VM-Instanz zuzulassen.
    • URL-Liste: Geben Sie die Domain-URL der Server-VM-Instanz an. Beispiel: www.example.com.

  10. Klicken Sie auf Erstellen.

gcloud

Erstellen Sie eine YAML-Datei mit dem folgenden Inhalt für das Sicherheitsprofil:

name: sec-profile-urlf
type: url-filtering
urlFilteringProfile:
  urlFilters:
    - filteringAction: ALLOW
      priority: 1000
      urls: URL

Führen Sie den folgenden Befehl aus, um ein Sicherheitsprofil mit der YAML-Datei zu erstellen:

gcloud network-security security-profiles import sec-profile-urlf \
    --location global \
    --source FILE_NAME \
    --organization ORGANIZATION_ID \

Ersetzen Sie Folgendes:

  • URL: die Domain-URL der Server-VM-Instanz. Beispiel: www.example.com.
  • FILE_NAME: der Name der YAML-Datei, die Sie erstellt haben.
  • ORGANIZATION_ID: die Organisation, in der das Sicherheitsprofil erstellt wird.

Sicherheitsprofilgruppe erstellen

In diesem Abschnitt erstellen Sie eine Sicherheitsprofilgruppe, die das im vorherigen Abschnitt erstellte Sicherheitsprofil für die URL-Filterung enthält. Informationen zu den Berechtigungen und Rollen, die zum Erstellen einer Sicherheitsprofilgruppe erforderlich sind, finden Sie unter Sicherheitsprofilgruppe erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.

    Zu „Sicherheitsprofile“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.

  3. Wählen Sie den Tab Sicherheitsprofilgruppen aus.

  4. Klicken Sie auf Profilgruppe erstellen.

  5. Geben Sie für Name sec-profile-group-urlf ein.

  6. Geben Sie unter Beschreibung Security profile group to set up URL filtering service ein.

  7. Wenn Sie eine Sicherheitsprofilgruppe für Cloud Next Generation Firewall Enterprise erstellen möchten, wählen Sie im Abschnitt Zweck die Option Cloud NGFW Enterprise aus.

  8. Wählen Sie in der Liste URL-Filterprofil die Option sec-profile-urlf aus.

  9. Klicken Sie auf Erstellen.

gcloud

Führen Sie den folgenden Befehl aus, um eine Sicherheitsprofilgruppe zu erstellen:

gcloud network-security security-profile-groups \
    create sec-profile-group-urlf \
    --organization ORGANIZATION_ID \
    --location global \
    --project PROJECT_ID \
    --url-filtering-profile  \
    organizations/ORGANIZATION_ID/locations/global/securityProfiles/sec-profile-urlf \
    --description "Security profile group to set up URL filtering service."

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: die Organisation, in der die Sicherheitsprofilgruppe erstellt wird.
  • PROJECT_ID: Projekt-ID, die für Kontingente und Zugriffsbeschränkungen für die Sicherheitsprofilgruppe verwendet wird.

Firewall-Endpunkt erstellen

In diesem Abschnitt erstellen Sie einen Firewall-Endpunkt in einer bestimmten Zone. Informationen zu den Berechtigungen und Rollen, die zum Erstellen eines Firewall-Endpunkts erforderlich sind, finden Sie unter Firewall-Endpunkt erstellen.

Hinweis: Wenn Sie einen Firewall-Endpunkt erstellen, wird der Status des Firewall-Endpunkts auf Creating festgelegt. Wenn der Firewall-Endpunkt bereit ist, ändert sich der Status in Active. Sie können sich einen Endpunkt ansehen, um seinen Status zu prüfen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.

  3. Klicken Sie auf Erstellen.

  4. Wählen Sie in der Liste Region asia-southeast1 (Singapore) aus.

  5. Wählen Sie in der Liste Zone asia-southeast1-a aus.

  6. Geben Sie für Name endpoint-urlf ein.

  7. Wählen Sie in der Liste Abrechnungsprojekt das Projekt aus, das Sie für die Abrechnung des Firewall-Endpunkts verwenden möchten, und klicken Sie dann auf Weiter. Google Cloud

  8. Klicken Sie auf Erstellen.

gcloud

Führen Sie folgenden Befehl aus, um eine Firewallr-Endpunkt zu erstellen:

gcloud network-security firewall-endpoints \
    create endpoint-urlf \
    --organization ORGANIZATION_ID \
    --zone asia-southeast1-a \
    --billing-project PROJECT_ID

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: Organisation, in der der Firewall-Endpunkt erstellt wird.
  • PROJECT_ID: Projekt-ID, die für die Abrechnung des Firewall-Endpunkts verwendet werden soll.

Firewall-Endpunktverknüpfung erstellen

In diesem Abschnitt verknüpfen Sie den Firewall-Endpunkt mit dem VPC-Netzwerk, das Sie zuvor erstellt haben. Informationen zu den Berechtigungen und Rollen, die zum Erstellen einer Firewall-Endpunktverknüpfung erforderlich sind, finden Sie unter Firewall-Endpunktverknüpfungen erstellen.

Hinweis: Wenn Sie eine Firewall-Endpunktverknüpfung erstellen, wird ihr Status auf Creating gesetzt. Wenn die Firewall-Endpunktverknüpfung bereit ist, ändert sich der Status in Active. Sie können eine Endpunktzuordnung aufrufen, um ihren Status zu prüfen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf das vpc-urlf-Netzwerk, um dessen Seite VPC-Netzwerkdetails aufzurufen.

  3. Wählen Sie den Tab Firewall-Endpunkte aus.

  4. Klicken Sie auf Endpunktverknüpfung erstellen.

  5. Wählen Sie in der Liste Region asia-southeast1 aus.

  6. Wählen Sie in der Liste Zone asia-southeast1-a aus.

  7. Wählen Sie in der Liste Firewall-Endpunkt die Option endpoint-urlf aus.

  8. Klicken Sie auf Erstellen.

gcloud

Führen Sie folgenden Befehl aus, um eine Firewall-Endpunktverknüpfung zu erstellen:

gcloud network-security firewall-endpoint-associations \
    create endpoint-association-urlf \
    --endpoint  organizations/ORGANIZATION_ID/locations/asia-southeast1-a/firewallEndpoints/endpoint-urlf \
    --network vpc-urlf \
    --zone asia-southeast1-a \
    --project PROJECT_ID

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: Organisation, in der der Firewall-Endpunkt erstellt wird.
  • PROJECT_ID: Projekt-ID, in der die Verknüpfung erstellt wird.

Globale Netzwerk-Firewall-richtlinie erstellen

In diesem Abschnitt erstellen Sie eine globale Netzwerkfirewall-Richtlinie mit den folgenden zwei Firewallregeln:

  1. Eine Firewallregel für eingehenden Traffic mit der Priorität 100, die TCP-Traffic an Port 22 erlaubt. Diese Regel ermöglicht den IAP-Zugriff auf die VM-Instanzen im VPC-Netzwerk.
  2. Eine Ausgangs-Firewallregel mit der Priorität 200, um die Layer-7-Prüfung für den ausgehenden Traffic zur Server-VM in einer bestimmten Zone durchzuführen.

Informationen zu den Berechtigungen und Rollen, die zum Erstellen einer globalen Netzwerk-Firewallrichtlinie und ihrer Regeln erforderlich sind, finden Sie unter Globale Netzwerk-Firewallrichtlinie erstellen, Eingangsregel für VM-Ziele erstellen und Ausgangsregel für VM-Ziele erstellen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie in der Liste zur Projektauswahl Ihr Projekt in Ihrer Organisation aus.

  3. Klicken Sie auf Firewallrichtlinie erstellen.

  4. Geben Sie für Policy Name (Richtlinienname) fw-policy-urlf ein.

  5. Wählen Sie für Richtlinientyp die Option VPC-Richtlinie aus.

  6. Wählen Sie unter Bereitstellungsbereich die Option Global aus.

  7. Klicken Sie auf Weiter und dann auf Firewallregel erstellen.

  8. Geben Sie in das Feld für die Priorität den Wert 100 ein.

  9. Wählen Sie für Traffic-Richtung die Option Eingehend aus.

  10. Wählen Sie für Aktion bei Übereinstimmung die Option Zulassen aus.

  11. Wählen Sie für Logs die Option Aktiviert aus.

  12. Wählen Sie für den Filter Quelle die Option IPv4 aus und geben Sie dann im Feld IP-Bereiche 35.235.240.0/20 ein.

  13. Wählen Sie im Bereich Protokolle und Ports Angegebene Protokolle und Ports aus.

  14. Wählen Sie TCP aus und geben Sie unter Ports 22 ein.

  15. Klicken Sie auf Erstellen.

  16. Klicken Sie auf Firewallregel erstellen.

  17. Geben Sie in das Feld für die Priorität den Wert 200 ein.

  18. Wählen Sie unter Traffic-Richtung Ausgehend aus.

  19. Wählen Sie für Aktion bei Übereinstimmung die Option Sicherheitsprofilgruppe anwenden aus.

  20. Wählen Sie in der Liste Sicherheitsprofilgruppe die Option sec-profile-group-urlf aus.

  21. Wählen Sie für Logs die Option Aktiviert aus.

  22. Wählen Sie im Filter Ziel die Option IPv4 aus und geben Sie dann 0.0.0.0/0 in das Feld IP-Bereiche ein.

  23. Wählen Sie im Bereich Protokolle und Ports Angegebene Protokolle und Ports aus.

  24. Wählen Sie TCP aus und geben Sie unter Ports 80, 443 ein.

  25. Klicken Sie auf Erstellen.

  26. Klicken Sie auf Weiter, um zum Abschnitt Spiegelungsregeln hinzufügen zu gelangen.

  27. Klicken Sie noch einmal auf Weiter, um den Abschnitt Richtlinie mit Netzwerken verknüpfen zu öffnen.

  28. Wählen Sie das vpc-urlf-Netzwerk.

  29. Klicken Sie auf Verknüpfen.

  30. Klicken Sie auf Erstellen.

gcloud

  1. Führen Sie folgenden Befehl aus, um eine globale Netzwerkfirewall-Richtlinie zu erstellen:

    gcloud compute network-firewall-policies \
  create fw-policy-urlf \
  --global \
  --project PROJECT_ID

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Eine Projekt-ID, in der die globale Richtlinie für Netzwerkfirewalls erstellt wird.

  2. Führen Sie den folgenden Befehl aus, um die Firewallregel hinzuzufügen und den IAP-Zugriff zu aktivieren:

    gcloud compute network-firewall-policies rules create 100 \
  --firewall-policy fw-policy-urlf \
  --direction INGRESS \
  --action ALLOW \
  --src-ip-ranges 35.235.240.0/20 \
  --layer4-configs tcp:22 \
  --global-firewall-policy \
  --enable-logging

  3. Führen Sie den folgenden Befehl aus, um die Firewallregel hinzuzufügen und die Layer-7-Prüfung für die URL-Filterung zu aktivieren:

    gcloud compute network-firewall-policies rules create 200 \
  --direction EGRESS \
  --firewall-policy fw-policy-urlf \
  --action apply_security_profile_group \
  --dest-ip-ranges 0.0.0.0/0 \
  --layer4-configs tcp:80, tcp:443 \
  --global-firewall-policy \
  --security-profile-group \
  //networksecurity.googleapis.com/organizations/ORGANIZATION_ID \
  /locations/global/securityProfileGroups/sec-profile-group-urlf \
  --enable-logging

    Ersetzen Sie Folgendes:

    • ORGANIZATION_ID: Organisation, in der die Sicherheitsprofilgruppe erstellt wird.

  4. Führen Sie folgenden Befehl aus, um die Firewallrichtlinie mit dem VPC-Netzwerk zu verknüpfen:

    gcloud compute network-firewall-policies associations create \
 --firewall-policy fw-policy-urlf \
 --network vpc-urlf \
 --name fw-pol-association-urlf \
 --global-firewall-policy \
 --project PROJECT_ID

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Projekt-ID, in der die VPC-Verknüpfung erstellt wird.

Einrichtung testen

In diesem Abschnitt testen Sie die Einrichtung, indem Sie Traffic generieren, der vom Endpunkt abgefangen wird. Dann wird die globale Netzwerk-Firewallrichtlinie angewendet und die Layer-7-Prüfung durchgeführt.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Zur Seite „VM-Instanzen“

  2. Klicken Sie in der Spalte Verbinden der vm-client-urlf-VM auf SSH.

  3. Klicken Sie im Dialogfeld SSH im Browser auf Autorisieren und warten Sie, bis die Verbindung hergestellt wurde.

  4. Führen Sie den folgenden Befehl aus, um zu prüfen, ob eine Anfrage an die Server-VM-Instanz zulässig ist: 

    curl URL -m 2

    Ersetzen Sie URL durch die Domain-URL der vm-server-urlf-Server-VM-Instanz. Beispiel: www.example.com

    Die Anfrage ist erfolgreich, da der Paketfilter (mit Priorität 1000) das Paket zulässt.

  5. Schließen Sie das Dialogfeld SSH-in-browser.

gcloud

  1. Führen Sie folgenden Befehl aus, um eine Verbindung zur vm-client-urlf-VM herzustellen:

    gcloud compute ssh vm-client-urlf \
   --zone=us-central1-a \
   --tunnel-through-iap

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

  2. Führen Sie den folgenden Befehl aus, um zu prüfen, ob eine Anfrage an die Server-VM-Instanz zulässig ist: 

    curl URL -m 2

    Ersetzen Sie URL durch die Domain-URL der vm-server-urlf-Server-VM-Instanz. Beispiel: www.example.com

    Die Anfrage ist erfolgreich, da der Paketfilter (mit Priorität 1000) das Paket zulässt.

  3. Geben Sie exit ein, um den SSH-in-Browser zu schließen.

Logs des URL-Filterdienstes ansehen

  1. Zum Log-Explorer

  2. Geben Sie die folgende Abfrage in den Bereich Abfrage ein. Ersetzen Sie PROJECT_ID durch die ID Ihres Projekts.

      resource.type="networksecurity.googleapis.com/FirewallEndpoint" logName="projects/PROJECT_ID/logs/networksecurity.googleapis.com%2Ffirewall_url_filter"

Bereinigen

Damit Ihrem Google Cloud -Konto die in dieser Anleitung verwendeten Ressourcen nicht in Rechnung gestellt werden, löschen Sie entweder das Projekt, das die Ressourcen enthält, oder Sie behalten das Projekt und löschen die einzelnen Ressourcen.

In diesem Abschnitt löschen Sie die in dieser Anleitung erstellten Ressourcen.

Firewall-Endpunktverknüpfung löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie auf das vpc-urlf-Netzwerk, um dessen Seite VPC-Netzwerkdetails aufzurufen.

  3. Wählen Sie den Tab Firewall-Endpunkte aus. Der Tab enthält eine Liste der konfigurierten Firewall-Endpunktverknüpfungen.

  4. Markieren Sie das Kästchen neben endpoint-association-urlf und klicken Sie dann auf Löschen.

  5. Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Führen Sie den folgenden Befehl aus, um die Firewall-Endpunktverknüpfung zu löschen:

gcloud network-security firewall-endpoint-associations \
    delete endpoint-association-urlf \
    --zone asia-southeast1-a

Firewall-Endpunkt löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewall-Endpunkte auf.

    Zu „Firewall-Endpunkte“

  2. Wählen Sie endpoint-urlf und klicken Sie dann auf Löschen.

  3. Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Führen Sie die folgenden Befehle aus, um den Firewall-Endpunkt zu löschen:

gcloud network-security firewall-endpoints delete endpoint-urlf \
    --organization ORGANIZATION_ID \
    --zone asia-southeast1-a

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: Organisation, in der der Endpunkt erstellt wurde.

Globale Netzwerk-Firewallrichtlinie löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

    Zu den Firewall-Richtlinien

  2. Wählen Sie im Menü „Projektauswahl“ das Projekt aus, das die Richtlinie enthält.

  3. Klicken Sie auf fw-policy-urlf.

  4. Klicken Sie auf den Tab Verknüpfungen.

  5. Wählen Sie alle Verknüpfungen aus.

  6. Klicken Sie auf Verknüpfungen entfernen.

  7. Nachdem Sie alle Verknüpfungen entfernt haben, klicken Sie auf Löschen.

gcloud

  1. Führen Sie den folgenden Befehl aus, um die Verknüpfung zwischen Firewallrichtlinie und VPC-Netzwerk zu entfernen:

    gcloud compute network-firewall-policies associations delete \
  --name fw-pol-association-urlf \
  --firewall-policy fw-policy-urlf \
  --global-firewall-policy

  2. Löschen Sie die Firewallrichtlinie.

    gcloud compute network-firewall-policies delete fw-policy-urlf --global

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

Sicherheitsprofilgruppe löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.

    Zu „Sicherheitsprofile“

  2. Wählen Sie den Tab Sicherheitsprofilgruppen aus.

  3. Wählen Sie sec-profile-group-urlf und klicken Sie dann auf Löschen.

  4. Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Führen Sie den folgenden Befehl aus, um die Sicherheitsprofilgruppe zu löschen:

gcloud network-security security-profile-groups \
    delete sec-profile-group-urlf \
    --organization ORGANIZATION_ID \
    --location global

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: die Organisation, in der die Sicherheitsprofilgruppe erstellt wird.

URL-Filter-Sicherheitsprofil löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.

    Zu „Sicherheitsprofile“

  2. Wählen Sie den Tab Sicherheitsprofile aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofile.

  3. Wählen Sie sec-profile-urlf und klicken Sie dann auf Löschen.

  4. Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Führen Sie den folgenden Befehl aus, um das Sicherheitsprofil zu löschen:

gcloud network-security security-profiles url-filtering \
    delete sec-profile-urlf \
    --organization ORGANIZATION_ID \
    --location global

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: die Organisation, in der das Sicherheitsprofil erstellt wird.

VMs löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Zur Seite „VM-Instanzen“

  2. Markieren Sie die Kästchen für die VMs vm-client-urlf und vm-server-urlf.

  3. Klicken Sie auf Löschen.

  4. Klicken Sie im Dialogfeld 2 Instanzen löschen auf Löschen.

gcloud

  1. Führen Sie den folgenden Befehl aus, um die vm-client-urlf-VM zu löschen:

    gcloud compute instances delete vm-client-urlf \
  --zone us-central1-a

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

  2. Führen Sie den folgenden Befehl aus, um die vm-server-urlf-VM zu löschen:

    gcloud compute instances delete vm-server-urlf \
  --zone asia-southeast1-a

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

Cloud NAT-Gateway und Cloud Router löschen

Console

  1. Wechseln Sie in der Google Cloud Console zur Seite Cloud NAT.

    Zur Seite "Cloud NAT"

  2. Klicken Sie das Kästchen neben der Gatewaykonfiguration gateway-urlf an.

  3. Klicken Sie im Menü, auf Löschen.

  4. Wechseln Sie in der Google Cloud -Console zur Seite Cloud Router.

    Zu Cloud Routers

  5. Klicken Sie das Kästchen neben dem Router router-urlf an.

  6. Klicken Sie auf Löschen.

gcloud

  1. Führen Sie den folgenden Befehl aus, um das Cloud NAT-Gateway zu löschen:

    gcloud compute routers nats delete gateway-urlf \
  --router=router-urlf \
  --region=asia-southeast1

  2. Führen Sie den folgenden Befehl aus, um den Cloud Router zu löschen:

    gcloud compute routers delete router-urlf \
  --project=PROJECT_ID \
  --region=asia-southeast1

Ersetzen Sie Folgendes:

  • PROJECT_ID: die ID des Projekts, das den Cloud Router enthält.

VPC-Netzwerk und dessen Subnetze löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerke auf.

    Zur Seite VPC-Netzwerke

  2. Klicken Sie in der Spalte Name auf vpc-urlf.

  3. Klicken Sie auf VPC-Netzwerk löschen.

  4. Klicken Sie im Dialogfeld Netzwerk löschen auf Löschen.

Wenn Sie eine VPC löschen, werden auch deren Subnetze gelöscht.

gcloud

  1. Führen Sie folgenden Befehl aus, um das Subnetz subnet-client-urlf des VPC-Netzwerks vpc-urlf zu löschen:

    gcloud compute networks subnets delete subnet-client-urlf \
    --region us-central1

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

  2. Führen Sie folgenden Befehl aus, um das Subnetz subnet-server-urlf des VPC-Netzwerks vpc-urlf zu löschen:

    gcloud compute networks subnets delete subnet-server-urlf \
    --region=asia-southeast1

    Wenn Sie dazu aufgefordert werden, drücken Sie zur Bestätigung Y und dann die Eingabetaste.

  3. Führen Sie folgenden Befehl aus, um das VPC-Netzwerk vpc-urlf zu löschen:

    gcloud compute networks delete vpc-urlf

DNS-Zone löschen

Löschen Sie die DNS-Zone, die Sie für die Domain-URL der Server-VM erstellt haben.

Nächste Schritte