הגדרת שירות סינון כתובות URL ברשת

שירות סינון כתובות URL מאפשר לכם לסנן את תנועת העומס שלכם באמצעות מידע על הדומיין ועל Server Name Indication ‏ (SNI) שזמין בהודעות HTTP או HTTPS יוצאות. Google Cloud השירות מגן על הרשת מפני איומים על ידי חסימת תקשורת עם רשימה מוגדרת של כתובות URL זדוניות. כדי להפעיל את השירות הזה ברשת, צריך להגדיר כמה רכיבים של Cloud Next Generation Firewall. במדריך הזה מתואר תהליך העבודה מקצה לקצה להגדרת שירות סינון כתובות URL ברשת.

מטרות

במדריך הזה מוסבר איך לבצע את הפעולות הבאות:

  • יוצרים רשת של ענן וירטואלי פרטי (VPC) עם שתי תת-רשתות.
  • יוצרים מכונה וירטואלית (VM) של שרת ברשת המשנה הראשונה של רשת ה-VPC ומתקינים את שרת Apache במכונה הווירטואלית.
  • יוצרים מופע של מכונה וירטואלית של לקוח ברשת המשנה השנייה של רשת ה-VPC.
  • יוצרים פרופיל אבטחה לסינון כתובות URL וקבוצת פרופילי אבטחה.
  • יוצרים נקודת קצה (endpoint) לחומת האש ומשייכים אותה לרשת ה-VPC.
  • מוסיפים מדיניות חומת אש בין רשתות גלובלית עם הכללים הבאים של חומת האש:
    • כלל חומת אש שמאפשר גישה לשרת proxy לאימות זהויות (IAP) למכונות וירטואליות ברשת VPC.
    • כלל חומת אש להפניית כל תעבורת הנתונים היוצאת לבדיקה של Layer 7.
  • בודקים אם תעבורת הנתונים למכונה הווירטואלית של השרת מותרת.
  • לפנות את המשאבים.

התרשים הבא מציג את הארכיטקטורה הכללית של הגדרת הפריסה במדריך הזה. מדיניות חומת האש fw-policy-urlf ב-VPC vpc-urlf, מפנה את כל תעבורת הנתונים היוצאת לנקודת הקצה של חומת האש endpoint-urlf בתחום (zone) asia-southeast1-a. נקודת הקצה בודקת את הדומיין ואת פרטי ה-SNI שזמינים בהודעות HTTP או HTTPS יוצאות, כדי למצוא התאמה לכתובת ה-URL שמופיעה בפרופיל האבטחה של סינון כתובות ה-URL sec-profile-urlf. אם נקודת הקצה מוצאת התאמה, היא מאפשרת את התנועה. אחרת, היא דוחה אותה.

שירות סינון כתובות URL ברשת VPC בהתאמה אישית כדי למנוע תקשורת עם כתובות URL זדוניות.
שירות סינון כתובות URL ברשת VPC מותאמת אישית (לחצו כדי להגדיל).

עלויות

יצירת נקודות הקצה של חומת האש כרוכה בעלות. פרטים על התמחור זמינים במאמר תמחור של Cloud Next Generation Firewall.

לפני שמתחילים

  1. נכנסים לחשבון Google Cloud . אם אתם משתמשים חדשים ב- Google Cloud, צרו חשבון כדי שתוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. מפעילים את Compute Engine API בפרויקט.
  7. מפעילים את Network Security API בפרויקט.
  8. מפעילים את Identity-Aware Proxy API בפרויקט.
  9. התפקיד שלכם בארגון צריך להיות אדמין של רשת מחשוב (roles/compute.networkAdmin) ב-IAM.
  10. אם אתם מעדיפים לעבוד משורת הפקודה, אתם יכולים להתקין את Google Cloud CLI. מידע על המושגים ועל ההתקנה של הכלי זמין במאמר סקירה כללית של ה-CLI של gcloud.

    הערה: אם לא הפעלתם את ה-CLI של gcloud בעבר, קודם מריצים את הפקודה gcloud init כדי לאתחל את ספריית ה-CLI של gcloud.

יצירת רשת VPC מותאמת אישית עם רשתות משנה

בקטע הזה, יוצרים רשת VPC במצב מותאם אישית עם שתי תת-רשתות IPv4.

המסוף

  1. נכנסים לדף VPC networks במסוף Google Cloud .

    מעבר לרשתות VPC

  2. לוחצים על יצירת רשת VPC.

  3. בשדה Name (שם), מזינים vpc-urlf.

  4. בשדה תיאור, מזינים VPC network to set up URL filtering service.

  5. בקטע Subnet creation mode (מצב יצירת רשת משנה), בוחרים באפשרות Custom (בהתאמה אישית).

  6. בקטע New subnet (רשת משנה חדשה), מציינים את פרמטרי ההגדרה הבאים של רשת משנה:

    • Name (שם): subnet-server-urlf
    • אזור: asia-southeast1
    • טווח IPv4: 10.0.0.0/24

  7. לוחצים על סיום.

  8. לוחצים על הוספת רשת משנה ומציינים את פרמטרי ההגדרה הבאים:

    • Name (שם): subnet-client-urlf
    • אזור: us-central1
    • טווח IPv4: 192.168.10.0/24

  9. לוחצים על סיום.

  10. לוחצים על יצירה.

gcloud

  1. כדי ליצור רשת VPC, מריצים את הפקודה הבאה:

    gcloud compute networks create vpc-urlf \
  --subnet-mode custom \
  --description "VPC network to set up URL filtering service."

  2. בתיבת הדו-שיח Authorize cloud shell (אישור Cloud Shell), לוחצים על Authorize (אישור).

  3. כדי ליצור רשת משנה, מריצים את הפקודה הבאה:

    gcloud compute networks subnets create subnet-server-urlf \
  --network vpc-urlf \
  --region asia-southeast1 \
  --range 10.0.0.0/24

  4. כדי ליצור רשת משנה נוספת, מריצים את הפקודה הבאה:

    gcloud compute networks subnets create subnet-client-urlf \
  --network vpc-urlf \
  --region us-central1 \
  --range 192.168.10.0/24

יצירת Cloud Router ושער Cloud NAT

לפני שיוצרים מכונות וירטואליות של לקוח ושרת Linux ללא כתובות IPv4 ציבוריות בקטע הבא, צריך ליצור Cloud Router ושער Cloud NAT, שמאפשרים למכונות הווירטואליות האלה לגשת לאינטרנט הציבורי.

המסוף

  1. נכנסים לדף Cloud NAT במסוף Google Cloud .

    כניסה ל-Cloud NAT

  2. לוחצים על Get started (תחילת העבודה) או על Create Cloud NAT gateway (יצירת שער Cloud NAT).

  3. בשדה שם השער, מזינים gateway-urlf.

  4. בקטע NAT type (סוג NAT), בוחרים באפשרות Public (ציבורי).

  5. בקטע Select Cloud Router, מציינים את פרמטרי ההגדרה הבאים:

    • רשת: vpc-urlf
    • אזור: asia-southeast1
    • Cloud Router: יצירת נתב חדש.
      1. בשדה Name (שם), מזינים router-urlf.
      2. לוחצים על יצירה.

  6. לוחצים על יצירה.

gcloud

  1. כדי ליצור Cloud Router, מריצים את הפקודה הבאה:

    gcloud compute routers create router-urlf \
  --network=vpc-urlf \
  --region=asia-southeast1

  2. כדי ליצור שער Cloud NAT, מריצים את הפקודה הבאה:

    gcloud compute routers nats create gateway-urlf \
  --router=router-urlf \
  --region=asia-southeast1 \
  --auto-allocate-nat-external-ips \
  --nat-all-subnet-ip-ranges

יצירת מכונות וירטואליות

בקטע הזה יוצרים מכונות וירטואליות של שרת ושל לקוח. כדי לראות את ההרשאות והתפקידים שנדרשים ליצירת מכונות וירטואליות, אפשר לעיין במאמר בנושא תפקידים נדרשים.

יצירת מופע של מכונה וירטואלית של השרת

בקטע הזה, יוצרים מופע של מכונה וירטואלית בתת-הרשת subnet-server-urlf ומתקינים בו את שרת Apache.

המסוף

  1. נכנסים לדף Create an instance במסוף Google Cloud .

    כניסה לדף Create an instance

  2. בחלונית Machine configuration:

    1. בשדה Name (שם), מזינים vm-server-urlf.
    2. בשדה אזור, בוחרים באפשרות asia-southeast1 (Singapore).
    3. בשדה Zone, בוחרים באפשרות asia-southeast1-a.

  3. בתפריט הניווט, לוחצים על מערכת הפעלה ואחסון.

    בקטע מערכת הפעלה ואחסון, מוודאים שהאפשרות תמונה היא Debian GNU/Linux 12 (bookworm)‎. אם לא, לוחצים על Change, מגדירים את השדה Operating system ל-Debian ואת השדה Version ל-Debian GNU/Linux 12 (bookworm).

  4. בתפריט הניווט, לוחצים על Networking (רשת).

    1. בקטע Network interfaces (ממשקי רשת), מציינים את פרמטרי ההגדרה הבאים:
      • רשת: vpc-urlf
      • Subnetwork: subnet-server-urlf IPv4 (10.0.0.0/24)
      • כתובת IPv4 חיצונית: None
    2. לוחצים על סיום.

  5. בתפריט הניווט, לוחצים על מתקדם ומזינים את הסקריפט הבא בשדה סקריפט הפעלה שזמין בקטע אוטומציה:

      #! /bin/bash
  apt update
  apt -y install apache2
  cat <<EOF > /var/www/html/index.html
  <html><body><p>Hello world.</p></body></html>
  EOF

  6. לוחצים על יצירה.

gcloud

כדי ליצור את המכונה הווירטואלית של השרת, מריצים את הפקודה הבאה:

gcloud compute instances create vm-server-urlf \
    --network vpc-urlf \
    --zone asia-southeast1-a \
    --network-interface=stack-type=IPV4_ONLY,subnet=subnet-server-urlf,no-address \
    --image-project debian-cloud \
    --image-family debian-12 \
    --metadata=startup-script='#! /bin/bash
     apt update
     apt -y install apache2
     cat <<EOF > /var/www/html/index.html
     <html><body><p>Hello World.</p></body></html>
     EOF'

כדי להשתמש בכתובת URL של דומיין למכונה הווירטואלית של השרת, פועלים לפי השלבים הבאים:

יצירת מופע של מכונה וירטואלית של לקוח

בקטע הזה, יוצרים מכונה וירטואלית בתת-הרשת subnet-client-urlf.

המסוף

  1. נכנסים לדף Create an instance במסוף Google Cloud .

    כניסה לדף Create an instance

  2. בחלונית Machine configuration:

    1. בשדה Name (שם), מזינים vm-client-urlf.
    2. בשדה אזור, בוחרים באפשרות us-central1 (Iowa).
    3. בשדה Zone, בוחרים באפשרות us-central1-a.

  3. בתפריט הניווט, לוחצים על Networking (רשת).

    1. בקטע Network interfaces (ממשקי רשת), מציינים את פרמטרי ההגדרה הבאים:
      • רשת: vpc-urlf
      • Subnetwork: subnet-client-urlf IPv4 (192.168.10.0/24)
      • כתובת IPv4 חיצונית: None
    2. לוחצים על סיום.

  4. לוחצים על יצירה.

gcloud

כדי ליצור את מכונת הלקוח הווירטואלית, מריצים את הפקודה הבאה:

gcloud compute instances create vm-client-urlf \
    --network vpc-urlf \
    --zone us-central1-a \
    --network-interface=stack-type=IPV4_ONLY,subnet=subnet-client-urlf,no-address \

יצירת פרופיל אבטחה לסינון כתובות URL

בקטע הזה יוצרים פרופיל אבטחה מסוג url-filtering בארגון. במאמר יצירת פרופיל אבטחה לסינון כתובות URL מפורטות ההרשאות והתפקידים שנדרשים ליצירת פרופיל אבטחה לסינון כתובות URL.

המסוף

  1. נכנסים לדף Security profiles במסוף Google Cloud .

    מעבר לפרופילי אבטחה

  2. בתפריט לבחירת פרויקטים, בוחרים את הארגון.

  3. לוחצים על הכרטיסייה פרופילי אבטחה.

  4. לוחצים על יצירת פרופיל.

  5. בשדה Name (שם), מזינים sec-profile-urlf.

  6. בשדה תיאור, מזינים Security profile to set up URL filtering service.

  7. בקטע Purpose (מטרה), בוחרים באפשרות Cloud NGFW Enterprise כדי לציין שרוצים ליצור פרופיל אבטחה שמשויך לחומת האש.

  8. בקטע Type (סוג), בוחרים באפשרות URL Filtering (סינון כתובות URL) כדי לציין שרוצים ליצור פרופיל אבטחה מסוג url-filtering.

  9. בקטע מסנני כתובות URL, לוחצים על הלחצן יצירת מסנן כתובות URL כדי ליצור מסנן חדש של כתובות URL. בחלונית Create a URL filter, מציינים את הפרטים הבאים:

    • עדיפות: מציינים את העדיפות של מסנן כתובות ה-URL. לדוגמה, 1000.
    • פעולה: מציינים Allow כדי לאפשר תנועה לכיוון המכונה הווירטואלית של השרת.
    • רשימת כתובות URL: מציינים את כתובת ה-URL של הדומיין של מכונת ה-VM של השרת. לדוגמה, www.example.com.

  10. לוחצים על יצירה.

gcloud

יוצרים קובץ YAML עם התוכן הבא עבור פרופיל האבטחה:

name: sec-profile-urlf
type: url-filtering
urlFilteringProfile:
  urlFilters:
    - filteringAction: ALLOW
      priority: 1000
      urls: URL

כדי ליצור פרופיל אבטחה באמצעות קובץ ה-YAML, מריצים את הפקודה הבאה:

gcloud network-security security-profiles import sec-profile-urlf \
    --location global \
    --source FILE_NAME \
    --organization ORGANIZATION_ID \

מחליפים את מה שכתוב בשדות הבאים:

  • URL: כתובת ה-URL של הדומיין של מופע ה-VM של השרת. לדוגמה, www.example.com.
  • FILE_NAME: השם של קובץ ה-YAML שיצרתם.
  • ORGANIZATION_ID: הארגון שבו נוצר פרופיל האבטחה.

יצירה של קבוצת פרופילי אבטחה

בקטע הזה יוצרים קבוצת פרופילים של אבטחה כדי לכלול את פרופיל האבטחה של סינון כתובות ה-URL שיצרתם בקטע הקודם. כדי לראות את ההרשאות והתפקידים שנדרשים ליצירת קבוצת פרופילים של אבטחה, אפשר לעיין במאמר בנושא יצירת קבוצת פרופילים של אבטחה.

המסוף

  1. נכנסים לדף Security profiles במסוף Google Cloud .

    מעבר לפרופילי אבטחה

  2. בתפריט לבחירת פרויקטים, בוחרים את הארגון.

  3. לוחצים על הכרטיסייה קבוצות של פרופילי אבטחה.

  4. לוחצים על יצירת קבוצת פרופילים.

  5. בשדה Name (שם), מזינים sec-profile-group-urlf.

  6. בשדה תיאור, מזינים Security profile group to set up URL filtering service.

  7. כדי ליצור קבוצת פרופילים לאבטחה עבור Cloud Next Generation Firewall Enterprise, בקטע Purpose (מטרה), בוחרים באפשרות Cloud NGFW Enterprise.

  8. ברשימה URL filtering profile (פרופיל סינון כתובות URL), בוחרים באפשרות sec-profile-urlf.

  9. לוחצים על יצירה.

gcloud

כדי ליצור קבוצה של פרופילי אבטחה, מריצים את הפקודה הבאה:

gcloud network-security security-profile-groups \
    create sec-profile-group-urlf \
    --organization ORGANIZATION_ID \
    --location global \
    --project PROJECT_ID \
    --url-filtering-profile  \
    organizations/ORGANIZATION_ID/locations/global/securityProfiles/sec-profile-urlf \
    --description "Security profile group to set up URL filtering service."

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: הארגון שבו נוצרה קבוצת פרופילי האבטחה.
  • PROJECT_ID: מזהה פרויקט שישמש למכסות ולהגבלות גישה בקבוצת פרופיל האבטחה.

יצירת נקודת קצה של חומת אש

בקטע הזה יוצרים נקודת קצה של חומת אש באזור ספציפי. כדי לראות את ההרשאות והתפקידים שנדרשים ליצירת נקודת קצה של חומת אש, אפשר לעיין במאמר יצירת נקודת קצה של חומת אש.

הערה: כשיוצרים נקודת קצה של חומת אש, המצב של נקודת הקצה של חומת האש מוגדר ל-Creating. אחרי שנקודת הקצה של חומת האש מוכנה, המצב משתנה ל-Active. אפשר לראות נקודת קצה כדי לוודא מה המצב שלה.

המסוף

  1. נכנסים לדף Firewall endpoints במסוף Google Cloud .

    לדף Firewall endpoints

  2. בתפריט לבחירת פרויקטים, בוחרים את הארגון.

  3. לוחצים על יצירה.

  4. ברשימה Region בוחרים באזור asia-southeast1 (Singapore).

  5. ברשימה Zone בוחרים באפשרות asia-southeast1-a.

  6. בשדה Name (שם), מזינים endpoint-urlf.

  7. ברשימה Billing project, בוחרים את הפרויקט שרוצים להשתמש בו לחיוב של נקודת הקצה של חומת האש ולוחצים על Continue. Google Cloud

  8. לוחצים על יצירה.

gcloud

כדי ליצור נקודת קצה של חומת אש, מריצים את הפקודה הבאה:

gcloud network-security firewall-endpoints \
    create endpoint-urlf \
    --organization ORGANIZATION_ID \
    --zone asia-southeast1-a \
    --billing-project PROJECT_ID

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: הארגון שבו נוצרה נקודת הקצה של חומת האש.
  • PROJECT_ID: מזהה פרויקט שישמש לחיוב של נקודת הקצה של חומת האש.

יצירת שיוך של נקודת קצה לחומת אש

בקטע הזה, משייכים את נקודת הקצה של חומת האש לרשת ה-VPC שיצרתם קודם. כדי לראות את ההרשאות והתפקידים שנדרשים ליצירת שיוך של נקודת קצה לחומת אש, אפשר לעיין במאמר בנושא יצירת שיוכים של נקודות קצה לחומת אש.

הערה: כשיוצרים שיוך של נקודת קצה לחומת אש, המצב שלה מוגדר ל-Creating. אחרי שמוכנה ההתאמה של נקודת הקצה של חומת האש, הסטטוס משתנה ל-Active. אפשר לראות את השיוך של נקודת קצה כדי לוודא מה המצב שלה.

המסוף

  1. נכנסים לדף VPC networks במסוף Google Cloud .

    מעבר לרשתות VPC

  2. לוחצים על הרשת vpc-urlf כדי להציג את הדף פרטי רשת VPC.

  3. לוחצים על הכרטיסייה נקודות קצה של חומת אש.

  4. לוחצים על Create endpoint association.

  5. ברשימה Region בוחרים באזור asia-southeast1.

  6. ברשימה Zone בוחרים באפשרות asia-southeast1-a.

  7. ברשימה Firewall endpoint בוחרים באפשרות endpoint-urlf.

  8. לוחצים על יצירה.

gcloud

כדי ליצור שיוך של נקודת קצה לחומת אש, מריצים את הפקודה הבאה:

gcloud network-security firewall-endpoint-associations \
    create endpoint-association-urlf \
    --endpoint  organizations/ORGANIZATION_ID/locations/asia-southeast1-a/firewallEndpoints/endpoint-urlf \
    --network vpc-urlf \
    --zone asia-southeast1-a \
    --project PROJECT_ID

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: הארגון שבו נוצרה נקודת הקצה של חומת האש.
  • PROJECT_ID: מזהה הפרויקט שבו נוצר השיוך.

יצירה של מדיניות חומת אש בין רשתות גלובלית

בקטע הזה יוצרים מדיניות גלובלית של חומת אש ברשת, שמכילה את שני הכללים הבאים של חומת האש:

  1. כלל חומת אש לתעבורת נתונים נכנסת (ingress) עם עדיפות 100 שמאפשר תעבורת TCP ליציאה 100.22 הכלל הזה מאפשר גישה ל-IAP למכונות וירטואליות ברשת ה-VPC.
  2. כלל חומת אש ליציאה עם עדיפות 200 לביצוע בדיקה של Layer 7 בתעבורת הנתונים היוצאת למכונה הווירטואלית של השרת באזור ספציפי.

כדי לראות את ההרשאות והתפקידים שנדרשים ליצירת מדיניות גלובלית של חומת אש ברשת והכללים שלה, אפשר לעיין במאמרים יצירת מדיניות גלובלית של חומת אש ברשת, יצירת כלל תעבורה נכנסת ליעדי מכונות וירטואליות ויצירת כלל תעבורה יוצאת ליעדי מכונות וירטואליות.

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. ברשימת הפרויקטים, בוחרים את הפרויקט בארגון.

  3. לוחצים על יצירת מדיניות חומת אש.

  4. בשדה Policy Name (שם המדיניות), מזינים fw-policy-urlf.

  5. בסוג המדיניות, בוחרים באפשרות מדיניות VPC.

  6. בקטע היקף הפריסה, בוחרים באפשרות גלובלי.

  7. לוחצים על המשך ואז על יצירת כלל חומת אש.

  8. בשדה עדיפות מזינים 100.

  9. בשדה כיוון התנועה, בוחרים באפשרות תנועה נכנסת.

  10. בקטע פעולה בהתאמה, בוחרים באפשרות אישור.

  11. בקטע יומנים, בוחרים באפשרות מופעל.

  12. במסנן מקור, בוחרים באפשרות IPv4, ואז בשדה טווח כתובות IP מזינים 35.235.240.0/20.

  13. בקטע Protocols and ports (פרוטוקולים ויציאות), בוחרים באפשרות Specified protocols and ports (פרוטוקולים ויציאות שצוינו).

  14. בוחרים באפשרות TCP, ובשדה יציאות מזינים 22.

  15. לוחצים על יצירה.

  16. לוחצים על יצירת כלל לחומת האש.

  17. בשדה עדיפות מזינים 200.

  18. בשדה כיוון התנועה, בוחרים באפשרות יציאה.

  19. בקטע פעולה במקרה של התאמה, בוחרים באפשרות החלת קבוצת פרופילים של אבטחה.

  20. ברשימה Security profile group (קבוצת פרופילים של אבטחה), בוחרים באפשרות sec-profile-group-urlf.

  21. בקטע יומנים, בוחרים באפשרות מופעל.

  22. במסנן יעד, בוחרים באפשרות IPv4, ואז בשדה טווח כתובות IP מזינים 0.0.0.0/0.

  23. בקטע Protocols and ports (פרוטוקולים ויציאות), בוחרים באפשרות Specified protocols and ports (פרוטוקולים ויציאות שצוינו).

  24. בוחרים באפשרות TCP, ובשדה יציאות מזינים 80, 443.

  25. לוחצים על יצירה.

  26. לוחצים על המשך כדי לעבור לקטע הוספת כללי שיקוף.

  27. לוחצים שוב על המשך כדי לפתוח את הקטע שיוך מדיניות לרשתות.

  28. בוחרים ברשת vpc-urlf.

  29. לוחצים על קישור.

  30. לוחצים על יצירה.

gcloud

  1. כדי ליצור מדיניות גלובלית של חומת אש ברשת, מריצים את הפקודה הבאה:

    gcloud compute network-firewall-policies \
  create fw-policy-urlf \
  --global \
  --project PROJECT_ID

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: מזהה פרויקט שבו נוצרת מדיניות חומת האש הגלובלית ברשת.

  2. כדי להוסיף את כלל חומת האש להפעלת גישה ל-IAP, מריצים את הפקודה הבאה:

    gcloud compute network-firewall-policies rules create 100 \
  --firewall-policy fw-policy-urlf \
  --direction INGRESS \
  --action ALLOW \
  --src-ip-ranges 35.235.240.0/20 \
  --layer4-configs tcp:22 \
  --global-firewall-policy \
  --enable-logging

  3. כדי להוסיף את כלל חומת האש להפעלת בדיקה בשכבה 7 לסינון כתובות URL, מריצים את הפקודה הבאה:

    gcloud compute network-firewall-policies rules create 200 \
  --direction EGRESS \
  --firewall-policy fw-policy-urlf \
  --action apply_security_profile_group \
  --dest-ip-ranges 0.0.0.0/0 \
  --layer4-configs tcp:80, tcp:443 \
  --global-firewall-policy \
  --security-profile-group \
  //networksecurity.googleapis.com/organizations/ORGANIZATION_ID \
  /locations/global/securityProfileGroups/sec-profile-group-urlf \
  --enable-logging

    מחליפים את מה שכתוב בשדות הבאים:

    • ORGANIZATION_ID: הארגון שבו נוצרה קבוצת הפרופילים המאובטחת.

  4. כדי לשייך את מדיניות חומת האש לרשת ה-VPC, מריצים את הפקודה הבאה:

    gcloud compute network-firewall-policies associations create \
 --firewall-policy fw-policy-urlf \
 --network vpc-urlf \
 --name fw-pol-association-urlf \
 --global-firewall-policy \
 --project PROJECT_ID

    מחליפים את מה שכתוב בשדות הבאים:

    • PROJECT_ID: מזהה הפרויקט שבו נוצר שיוך ה-VPC.

בדיקת ההגדרה

בקטע הזה בודקים את ההגדרה על ידי יצירת תעבורה שנחטפת על ידי נקודת הקצה, ומדיניות חומת האש הגלובלית ברשת מוחלת כדי לבצע בדיקה ברמה 7.

המסוף

  1. נכנסים לדף VM instances במסוף Google Cloud .

    כניסה לדף VM instances

  2. בעמודה Connect (התחברות) של המכונה הווירטואלית vm-client-urlf, לוחצים על SSH.

  3. בתיבת הדו-שיח SSH-in-browser, לוחצים על Authorize ומחכים עד שהחיבור יתבצע.

  4. כדי לבדוק אם בקשה למכונה וירטואלית של שרת מורשית, מריצים את הפקודה הבאה: 

    curl URL -m 2

    מחליפים את URL בכתובת ה-URL של הדומיין של מופע המכונה הווירטואלית של שרת vm-server-urlf. לדוגמה, www.example.com.

    הבקשה מצליחה כי מסנן כתובות ה-URL (עם עדיפות 1000) מאפשר את החבילה.

  5. סוגרים את תיבת הדו-שיח SSH-in-browser.

gcloud

  1. כדי להתחבר למכונת ה-VM של vm-client-urlf, מריצים את הפקודה הבאה:

    gcloud compute ssh vm-client-urlf \
   --zone=us-central1-a \
   --tunnel-through-iap

    כשמופיעה הנחיה, מקישים על Y כדי לאשר, ואז מקישים על Enter.

  2. כדי לוודא אם בקשה למכונה וירטואלית של שרת מורשית, מריצים את הפקודה הבאה: 

    curl URL -m 2

    מחליפים את URL בכתובת ה-URL של הדומיין של מופע המכונה הווירטואלית של שרת vm-server-urlf. לדוגמה, www.example.com.

    הבקשה מצליחה כי מסנן כתובות ה-URL (עם עדיפות 1000) מאפשר את החבילה.

  3. כדי לסגור את SSH בדפדפן, מזינים exit.

צפייה ביומני השירות של סינון כתובות URL

  1. עוברים אל Logs Explorer.

  2. מזינים את השאילתה הבאה בחלונית Query. מחליפים את PROJECT_ID במזהה הפרויקט.

      resource.type="networksecurity.googleapis.com/FirewallEndpoint" logName="projects/PROJECT_ID/logs/networksecurity.googleapis.com%2Ffirewall_url_filter"

הסרת המשאבים

כדי להימנע מחיובים בחשבון Google Cloud בגלל השימוש במשאבים שנעשה במסגרת המדריך הזה, אפשר למחוק את הפרויקט שמכיל את המשאבים או להשאיר את הפרויקט ולמחוק את המשאבים הספציפיים.

בקטע הזה מוחקים את המשאבים שנוצרו במדריך הזה.

מחיקת השיוך של נקודת הקצה לחומת האש

המסוף

  1. נכנסים לדף VPC networks במסוף Google Cloud .

    מעבר לרשתות VPC

  2. לוחצים על הרשת vpc-urlf כדי להציג את הדף פרטי רשת VPC.

  3. לוחצים על הכרטיסייה נקודות קצה של חומת אש. בכרטיסייה מוצגת רשימה של שיוכים מוגדרים של נקודות קצה של חומת אש.

  4. מסמנים את התיבה לצד endpoint-association-urlf ולוחצים על מחיקה.

  5. כדי לאשר, לוחצים שוב על מחיקה.

gcloud

כדי למחוק את השיוך של נקודת הקצה לחומת האש, מריצים את הפקודה הבאה:

gcloud network-security firewall-endpoint-associations \
    delete endpoint-association-urlf \
    --zone asia-southeast1-a

מחיקת נקודת הקצה של חומת האש

המסוף

  1. נכנסים לדף Firewall endpoints במסוף Google Cloud .

    לדף Firewall endpoints

  2. בוחרים באפשרות endpoint-urlf ואז לוחצים על מחיקה.

  3. כדי לאשר, לוחצים שוב על מחיקה.

gcloud

כדי למחוק את נקודת הקצה של חומת האש, מריצים את הפקודות הבאות:

gcloud network-security firewall-endpoints delete endpoint-urlf \
    --organization ORGANIZATION_ID \
    --zone asia-southeast1-a

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: הארגון שבו נוצרה נקודת הקצה.

מחיקת מדיניות חומת האש בין רשתות גלובלית

המסוף

  1. נכנסים לדף Firewall policies במסוף Google Cloud .

    לדף Firewall policies

  2. בתפריט לבחירת פרויקטים, בוחרים את הפרויקט שמכיל את המדיניות.

  3. לוחצים על fw-policy-urlf.

  4. לוחצים על הכרטיסייה שיוכים.

  5. בוחרים את כל השיוכים.

  6. לוחצים על הסרת השיוכים.

  7. אחרי שמסירים את כל השיוכים, לוחצים על מחיקה.

gcloud

  1. כדי להסיר את השיוך בין מדיניות חומת האש לבין רשת VPC, מריצים את הפקודה הבאה:

    gcloud compute network-firewall-policies associations delete \
  --name fw-pol-association-urlf \
  --firewall-policy fw-policy-urlf \
  --global-firewall-policy

  2. מוחקים את מדיניות חומת האש.

    gcloud compute network-firewall-policies delete fw-policy-urlf --global

    כשמופיעה הנחיה, מקישים על Y כדי לאשר, ואז מקישים על Enter.

מחיקת קבוצת פרופילי האבטחה

המסוף

  1. נכנסים לדף Security profiles במסוף Google Cloud .

    מעבר לפרופילי אבטחה

  2. לוחצים על הכרטיסייה קבוצות של פרופילי אבטחה.

  3. בוחרים באפשרות sec-profile-group-urlf ואז לוחצים על מחיקה.

  4. כדי לאשר, לוחצים שוב על מחיקה.

gcloud

כדי למחוק את קבוצת פרופילי האבטחה, מריצים את הפקודה הבאה:

gcloud network-security security-profile-groups \
    delete sec-profile-group-urlf \
    --organization ORGANIZATION_ID \
    --location global

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: הארגון שבו נוצרה קבוצת פרופילי האבטחה.

מחיקת פרופיל האבטחה של סינון כתובות URL

המסוף

  1. נכנסים לדף Security profiles במסוף Google Cloud .

    מעבר לפרופילי אבטחה

  2. לוחצים על הכרטיסייה פרופילי אבטחה. בכרטיסייה מוצגת רשימה של פרופילי אבטחה שהוגדרו.

  3. בוחרים באפשרות sec-profile-urlf ואז לוחצים על מחיקה.

  4. כדי לאשר, לוחצים שוב על מחיקה.

gcloud

כדי למחוק את פרופיל האבטחה, מריצים את הפקודה הבאה:

gcloud network-security security-profiles url-filtering \
    delete sec-profile-urlf \
    --organization ORGANIZATION_ID \
    --location global

מחליפים את מה שכתוב בשדות הבאים:

  • ORGANIZATION_ID: הארגון שבו נוצר פרופיל האבטחה.

מחיקת המכונות הווירטואליות

המסוף

  1. נכנסים לדף VM instances במסוף Google Cloud .

    כניסה לדף VM instances

  2. מסמנים את התיבות של מכונות ה-VM‏ vm-client-urlf ו-vm-server-urlf.

  3. לוחצים על Delete.

  4. בתיבת הדו-שיח מחיקת 2 מופעים, לוחצים על מחיקה.

gcloud

  1. כדי למחוק את מכונת ה-VM‏ vm-client-urlf, מריצים את הפקודה הבאה:

    gcloud compute instances delete vm-client-urlf \
  --zone us-central1-a

    כשמופיעה הנחיה, מקישים על Y כדי לאשר, ואז מקישים על Enter.

  2. כדי למחוק את מכונת ה-VM‏ vm-server-urlf, מריצים את הפקודה הבאה:

    gcloud compute instances delete vm-server-urlf \
  --zone asia-southeast1-a

    כשמופיעה הנחיה, מקישים על Y כדי לאשר, ואז מקישים על Enter.

מחיקת שער Cloud NAT ו-Cloud Router

המסוף

  1. נכנסים לדף Cloud NAT במסוף Google Cloud .

    כניסה ל-Cloud NAT

  2. מסמנים את התיבה לצד תצורת שער gateway-urlf.

  3. בתפריט , לוחצים על מחיקה.

  4. נכנסים לדף Cloud Routers במסוף Google Cloud .

    מעבר אל Cloud Routers

  5. מסמנים את התיבה לצד נתב router-urlf.

  6. לוחצים על Delete.

gcloud

  1. כדי למחוק את שער Cloud NAT, מריצים את הפקודה הבאה:

    gcloud compute routers nats delete gateway-urlf \
  --router=router-urlf \
  --region=asia-southeast1

  2. כדי למחוק את Cloud Router, מריצים את הפקודה הבאה:

    gcloud compute routers delete router-urlf \
  --project=PROJECT_ID \
  --region=asia-southeast1

מחליפים את מה שכתוב בשדות הבאים:

  • PROJECT_ID: מזהה הפרויקט שמכיל את Cloud Router.

מחיקת רשת ה-VPC ותת-הרשתות שלה

המסוף

  1. נכנסים לדף VPC networks במסוף Google Cloud .

    מעבר לרשתות VPC

  2. בעמודה שם, לוחצים על vpc-urlf.

  3. לוחצים על מחיקת רשת VPC.

  4. בתיבת הדו-שיח מחיקת רשת, לוחצים על מחיקה.

כשמוחקים VPC, גם רשתות המשנה שלו נמחקות.

gcloud

  1. כדי למחוק את רשת המשנה subnet-client-urlf של רשת ה-VPC‏ vpc-urlf, מריצים את הפקודה הבאה:

    gcloud compute networks subnets delete subnet-client-urlf \
    --region us-central1

    כשמופיעה הנחיה, מקישים על Y כדי לאשר, ואז מקישים על Enter.

  2. כדי למחוק את רשת המשנה subnet-server-urlf של רשת ה-VPC‏ vpc-urlf, מריצים את הפקודה הבאה:

    gcloud compute networks subnets delete subnet-server-urlf \
    --region=asia-southeast1

    כשמופיעה הנחיה, מקישים על Y כדי לאשר, ואז מקישים על Enter.

  3. כדי למחוק את רשת ה-VPC‏, vpc-urlf, מריצים את הפקודה הבאה:

    gcloud compute networks delete vpc-urlf

מחיקת תחום ה-DNS

מוחקים את תחום ה-DNS שיצרתם עבור כתובת ה-URL של הדומיין של מכונת ה-VM של השרת.

המאמרים הבאים