In diesem Dokument werden Best Practices für die Verwendung des URL-Filterdienstes mit Cloud Next Generation Firewall beschrieben. Mit diesen Empfehlungen können Sie effektive und wartungsfreundliche Firewallrichtlinien erstellen, die unbeabsichtigte Filteraktionen verhindern. In diesem Dokument wird davon ausgegangen, dass Sie mit den Konzepten des URL-Filterdienstes vertraut sind.
Best Practices
In der folgenden Tabelle sind die Best Practices für die Verwendung des URL-Filterdienstes aufgeführt:
| Thema oder Anwendungsfall | Cloud NGFW-Funktion oder ‑Regelkomponente | Beschreibung |
|---|---|---|
| Protokollunterstützung | Protokolle und Ports | Geben Sie das Protokoll TCP und die Ports 80 und 443 in einer Firewallrichtlinienregel an, die die URL-Filterung erzwingt.Weitere Informationen finden Sie unter Zielprotokoll und -ports angeben. |
| Auswertung von Firewallregeln | Priorität von Firewallregeln | Regeln, mit denen die URL-Filterung erzwungen wird, sollten in einer Firewallrichtlinie die niedrigste Priorität haben. Weitere Informationen finden Sie unter Regeln für die URL-Filterung mit der niedrigsten Priorität platzieren. |
| Traffic-Segmentierung | Netzwerkkontexte | Verwenden Sie Netzwerkkontexte, um separate Firewallrichtlinienregeln für die URL-Filterung für East-West-Traffic (nicht internetgebunden) und internetgebundenen Traffic zu erstellen. Weitere Informationen finden Sie unter Netzwerkkontexte zum Trennen von Traffic verwenden. |
| Ausnahmen von Richtlinien | Objekte für voll qualifizierte Domainnamen (FQDN) | Wenn Sie eine Pinhole-Ausnahme erstellen möchten, die einer bestimmten Quelle den Zugriff auf eine Website ermöglicht, verwenden Sie in Ihrer Firewallrichtlinienregel ein Ziel-FQDN-Objekt und ein Sicherheits-URL-Filterprofil. Weitere Informationen finden Sie unter FQDNs zum Hinzufügen von Pinhole-Ausnahmen verwenden. |
| Selektive Inspektion | Wenn Sie den Traffic basierend auf den Zieldomänen selektiv prüfen möchten, verwenden Sie FQDN-Objekte anstelle von Sicherheits-Profilen für die URL-Filterung. Weitere Informationen finden Sie unter FQDNs für die selektive Traffic-Prüfung verwenden. |
|
| Richtlinienentwurf | Um vorübergehende Anforderungen zu erfüllen, sollten Sie keine Firewallrichtlinienregeln für die URL-Filterung erstellen, die eine einzelne Ressource als Quelle verwenden. Weitere Informationen finden Sie unter Regeln vermeiden, die auf einer einzelnen Ressource basieren. |
|
| Protokollunterstützung | FQDN-basierte Filterung für Nicht-HTTP-Protokolle verwenden. | |
| Richtlinienhierarchie | Globale Netzwerk-Firewallrichtlinien und regionale Netzwerk-Firewallrichtlinien | Verwenden Sie die URL-Filterung in globalen oder regionalen Netzwerk-Firewallrichtlinien und nicht in hierarchischen Firewallrichtlinien. Weitere Informationen finden Sie unter URL-Filterung in hierarchischen Firewallrichtlinien vermeiden. |
| Skalierbarkeit | Sicherheitsprofile für URL-Filterung | Um das unterstützte Limit für die Anzahl der Domains in einem Sicherheitsprofil für die URL-Filterung nicht zu überschreiten, erstellen Sie separate Sicherheitsprofile, in denen Domains nach einem bestimmten Kriterium gruppiert werden. Weitere Informationen finden Sie unter Separate Sicherheitsprofile für die Skalierung erstellen. |
Zielprotokoll und ‑ports angeben
Cloud NGFW wendet die Standardaktion allow oder deny in einem Sicherheitsprofil für die URL-Filterung auf Nicht-HTTP- und Nicht-HTTPS-Traffic an, der mit einer Firewallrichtlinienregel übereinstimmt, die die URL-Filterung erzwingt. Geben Sie das Protokoll TCP und die Ports 80 und 443 in einer solchen Firewallrichtlinienregel an.
Durch die Angabe des Protokolls und der Ports in der Regel wird verhindert, dass nicht HTTP- und nicht HTTPS-Traffic abgeglichen wird. So wird auch verhindert, dass die Standardaktion diesen Traffic unbeabsichtigt zulässt oder ablehnt.
URL-Filterregeln mit der niedrigsten Priorität platzieren
Damit Firewallrichtlinienregeln, die keine Layer-7-Prüfung verwenden, zuerst ausgewertet werden, sollten Sie Regeln, die URL-Filterungssicherheitsprofile erzwingen, in einer Firewallrichtlinie mit der niedrigsten Priorität platzieren. So wird verhindert, dass durch die Standardaktion in einem URL-Filter-Sicherheitsprofil versehentlich Traffic zugelassen oder abgelehnt wird.
Wenn Sie beispielsweise zulassen möchten, dass jede virtuelle Maschine (VM)-Instanz mit www.example.com kommuniziert, erstellen Sie ein Sicherheits-URL-Filterprofil, das diese URL zulässt.
Fügen Sie dann eine Regel mit niedriger Priorität hinzu, z. B. 500, mit der eine Sicherheitsprofilgruppe mit diesem Sicherheitsprofil angewendet wird.
| Priorität | Richtung | Protokoll | Ziel | Quelle | Ziel | Zielport | Aktion |
|---|---|---|---|---|---|---|---|
| 150 | Ausgehender Traffic | TCP | Alle | 10.0.0.0/8 | 10.0.0.0/8 | 80, 443 | Zulassen |
| 200 | Eingehender Traffic | TCP | Alle | Beliebig | 10.0.0.0/8 | 80, 443 | Zulassen |
| 300 | Ausgehender Traffic | TCP | Alle | Beliebig | 199.36.153.8/30 | 80, 443 | Zulassen |
| 500 | Ausgehender Traffic | TCP | Alle | Alle | Beliebig | 80, 443 | Wenden Sie eine Sicherheitsprofilgruppe mit einem Sicherheitsprofil für die URL-Filterung an, das die URL www.example.com zulässt. |
Netzwerkkontexte zum Trennen von Traffic verwenden
Mit der Standardaktion eines Sicherheitsprofils kann Traffic, der nicht mit den definierten URL-Filtern übereinstimmt, zugelassen oder abgelehnt werden. Um unbeabsichtigte Standardaktionen zu verhindern, verwenden Sie Netzwerkkontexte, um separate Firewallrichtlinienregeln für die URL-Filterung für East-West-Traffic (nicht internetgebunden) und internetgebundenen Traffic zu erstellen. Netzwerkkontexte machen die Kriterien für den Regelabgleich detaillierter und verhindern so, dass durch die Standardaktion versehentlich Traffic zugelassen oder abgelehnt wird.
Im folgenden Beispiel wird durch den Netzwerkkontext „Nicht-Internet“ verhindert, dass die Regel mit der Priorität 500 übereinstimmt und versehentlich internetgebundener Traffic zugelassen oder abgelehnt wird. Dieser wird durch die Regel mit der Priorität 600 separat verwaltet.
| Priorität | Richtung | Netzwerkkontext | Protokoll | Ziel | Quelle | Ziel | Zielport | Aktion |
|---|---|---|---|---|---|---|---|---|
| 500 | Ausgehender Traffic | Ohne Internet | TCP | Alle | Alle | Beliebig | 80, 443 | Sicherheitsprofilgruppe mit dem Sicherheitsprofil 1 für die URL-Filterung anwenden |
| 600 | Ausgehender Traffic | Internet | TCP | Alle | Alle | Beliebig | 80, 443 | Sicherheitsprofilgruppe mit Sicherheitsprofil 2 für die URL-Filterung anwenden |
FQDN-Objekte verwenden
Verwenden Sie FQDN-Zielobjekte zusammen mit URL-Filterungssicherheitsprofilen, um versehentliche Traffic-Übereinstimmungen für die Firewallrichtlinien-Regeln zu vermeiden und so zu verhindern, dass die Standardaktion des Sicherheitsprofils unbeabsichtigten Traffic zulässt oder ablehnt.
FQDNs zum Hinzufügen von Pinhole-Ausnahmen verwenden
Eine Pinhole-Ausnahme in einer Firewall ermöglicht es, dass eine bestimmte Art von Traffic einen ansonsten geschlossenen Sicherheitsperimeter durchläuft. Wenn Sie eine solche Ausnahme erstellen möchten, die einer bestimmten Quelle den Zugriff auf eine Website ermöglicht, verwenden Sie ein Ziel-FQDN-Objekt und ein Sicherheits-Profil für die URL-Filterung in Ihrer Firewallrichtlinienregel.
Eine Pinhole-Ausnahmeregel gleicht Traffic von der Quelle mit der FQDN-IP ab, bevor die URL-Filterung angewendet wird. Anderer Traffic von der Quelle stimmt nicht überein, wodurch verhindert wird, dass nicht zugehöriger Traffic von der Standardaktion des Sicherheitsprofils betroffen ist.
Im folgenden Beispiel wird Traffic aus dem angegebenen IP-Bereich mit der IP-Adresse von example.com abgeglichen und dann wird die URL-Filterung auf den abgeglichenen Traffic angewendet.
| Priorität | Richtung | Netzwerkkontext | Protokoll | Ziel | Quelle | Ziel | Zielport | Aktion |
|---|---|---|---|---|---|---|---|---|
| 100 | Ausgehender Traffic | Internet | TCP | Alle | 192.168.1.0/24 | FQDN = example.com |
80, 443 | Wenden Sie eine Sicherheitsprofilgruppe mit einem Sicherheitsprofil für die URL-Filterung an, das die URL www.example.com zulässt. |
FQDNs für die selektive Traffic-Prüfung verwenden
Wenn Sie den Traffic basierend auf den Zieldomains selektiv prüfen möchten, verwenden Sie FQDN-Objekte anstelle von Sicherheitsprofilen für die URL-Filterung.
Sicherheitsprofile für die URL-Filterung unterstützen keine selektive Traffic-Prüfung. Wenn Sie Sicherheitsprofile für die URL-Filterung zur Auswahl von Traffic verwenden, kann es passieren, dass durch die Standardaktion des Profils Traffic unbeabsichtigt zugelassen oder abgelehnt wird.
Wenn Sie beispielsweise Traffic zu example.com auf Bedrohungen prüfen möchten, ohne den Traffic zu examplepetstore.com zu beeinträchtigen, erstellen Sie separate Firewallrichtlinienregeln mit den Prioritäten 100 und 200. Verwenden Sie für jede Regel ein Ziel-FQDN-Objekt und wenden Sie das Sicherheitsprofil zur Bedrohungsvermeidung nur auf die Regel mit dem Ziel example.com an. So wird verhindert, dass Traffic zu examplepetstore.com mit der Regel mit der Priorität 100 übereinstimmt.
Die folgende Tabelle zeigt die falsche Konfiguration:
| Priorität | Richtung | Protokoll | Ziel | Quelle | Ziel | Zielport | Aktion |
|---|---|---|---|---|---|---|---|
| 100 | Ausgehender Traffic | TCP | Alle | Alle | Beliebig | 80, 443 | Wenden Sie eine Sicherheitsprofilgruppe mit dem Sicherheitsprofil 1 für die URL-Filterung an, das die URL example.com zulässt, und ein Sicherheitsprofil zum Bedrohungsschutz, das den Traffic zur URL example.com untersucht. |
| 200 | Ausgehender Traffic | TCP | Alle | Alle | Beliebig | 80, 443 | Wenden Sie eine Sicherheitsprofilgruppe mit dem Sicherheitsprofil 2 für die URL-Filterung an, die die URL examplepetstore.com zulässt. |
Die folgende Tabelle zeigt die richtige Konfiguration:
| Priorität | Richtung | Protokoll | Ziel | Quelle | Ziel | Zielport | Aktion |
|---|---|---|---|---|---|---|---|
| 100 | Ausgehender Traffic | TCP | Alle | Beliebig | FQDN = example.com |
80, 443 | Wenden Sie eine Sicherheitsprofilgruppe mit einem Sicherheitsprofil zum Bedrohungsschutz an, das den Traffic zur URL example.com prüft. |
| 200 | Ausgehender Traffic | TCP | Alle | Beliebig | FQDN = examplepetstore.com |
80, 443 | Wenden Sie eine Sicherheitsprofilgruppe mit einem Sicherheitsprofil für die URL-Filterung an, das die URL examplepetstore.com zulässt. |
Regeln nicht auf Grundlage einer einzelnen Ressource erstellen
Um vorübergehende Anforderungen zu erfüllen, sollten Sie keine Firewallrichtlinienregeln mit URL-Filterung erstellen, die eine einzelne Ressource als Quelle verwenden.
Wenn Sie diese Regeln beibehalten, kann die Standardaktion eines URL-Filter-Sicherheitsprofils unbeabsichtigten Traffic zulassen oder ablehnen. Wenn Sie sie nicht sofort löschen, kann es im Laufe der Zeit zu einer Ausweitung der Richtlinien kommen.
Im folgenden Beispiel stimmt eine Regel mit der höheren Priorität 100 mit dem Traffic von 192.168.1.1 nach examplepetstore.com überein und lässt ihn zu. Diese Auswertung erfolgt, bevor der Traffic die Regel mit der Priorität 101 erreicht, die so konfiguriert ist, dass dieser Traffic blockiert wird.
| Priorität | Richtung | Netzwerkkontext | Protokoll | Ziel | Quelle | Ziel | Zielport | Aktion |
|---|---|---|---|---|---|---|---|---|
| 100 | Ausgehender Traffic | Internet | TCP | Alle | 192.168.1.1/32 | Beliebig | 80, 443 | Eine Sicherheitsprofilgruppe mit dem Sicherheitsprofil 1 für die URL-Filterung anwenden, das die URL example.com blockiert |
| 101 | Ausgehender Traffic | Ohne Internet | TCP | Alle | 192.168.1.0/24 | Beliebig | 80, 443 | Eine Sicherheitsprofilgruppe mit dem Sicherheitsprofil 2 für die URL-Filterung anwenden, das die URL examplepetstore.com blockiert und die URL example.org zulässt |
Wenn Sie eine solche Regel beibehalten müssen, verwenden Sie ein Ziel-FQDN-Objekt.
Wenn Sie beispielsweise verhindern möchten, dass Traffic von 192.168.1.1 mit examplepetstore.com übereinstimmt, fügen Sie der Regel das FQDN-Objekt example.com mit der Priorität 100 hinzu.
| Priorität | Richtung | Netzwerkkontext | Protokoll | Ziel | Quelle | Ziel | Zielport | Aktion |
|---|---|---|---|---|---|---|---|---|
| 100 | Ausgehender Traffic | Internet | TCP | Alle | 192.168.1.1/32 | FQDN = example.com |
80, 443 | Eine Sicherheitsprofilgruppe mit dem Sicherheitsprofil 1 für die URL-Filterung anwenden, das die URL example.com blockiert |
| 101 | Ausgehender Traffic | Ohne Internet | TCP | Alle | 192.168.1.0/24 | Beliebig | 80, 443 | Eine Sicherheitsprofilgruppe mit dem Sicherheitsprofil 2 für die URL-Filterung anwenden, das die URL examplepetstore.com blockiert und die URL example.org zulässt |
FQDN-basierte Filterung für Nicht-HTTP-Protokolle verwenden
Verwenden Sie FQDN-basierte Filterung für Nicht-HTTP- und Nicht-HTTPS-Protokolle wie RDP oder SSH. Die URL-Filterung funktioniert nur mit HTTP- oder HTTPS-Traffic.
URL-Filterung in hierarchischen Firewallrichtlinien vermeiden
Um unbeabsichtigte Traffic-Übereinstimmungen zu verhindern, sollten Sie keine Sicherheits-URL-Filterprofile in den hierarchischen Firewallrichtlinien verwenden. Verwenden Sie stattdessen Sicherheitsprofile für die URL-Filterung in den globalen oder regionalen Netzwerk-Firewallrichtlinien.
Wenn Sie ein Sicherheitsprofil für die URL-Filterung in einer Regel für eine hierarchische Firewallrichtlinie verwenden, kann es sein, dass Traffic für eine Vielzahl von Zielen mit dieser Regel übereinstimmt. Durch diesen Abgleich kann es passieren, dass die Standardaktion des Sicherheitsprofils unbeabsichtigt Traffic zulässt oder ablehnt.
Separate Sicherheitsprofile für die Skalierung erstellen
Um das unterstützte Limit für die Anzahl der Domains oder Matcher-Strings in einem Sicherheitsprofil für die URL-Filterung einzuhalten, erstellen Sie separate Sicherheitsprofile, in denen Domains anhand eines bestimmten Kriteriums gruppiert werden. Gruppieren Sie Domains beispielsweise nach Traffictyp oder nach Standort und Art der Zieldomain, z. B. East-West-Traffic (nicht internetgebunden) und internetgebundener Traffic.
Diese Segmentierung trägt dazu bei, dass die Leistung und Verwaltbarkeit optimal sind, wenn Sie viele Domains verwenden.
Erstellen Sie beispielsweise ein Profil für interne oder Google CloudDomains und ein weiteres für externe Domains im öffentlichen Internet. Durch ein separates Profil für interne Domains werden das Routing von internem Traffic und die Sicherheitsrichtlinien getrennt. Mit einem separaten Profil für externe Domains können Sie geeignete Sicherheitsmaßnahmen wie Feeds für Threat Intelligence oder strengere Kontrollen für ausgehenden Traffic auf externen Traffic anwenden.
Nächste Schritte
- URL-Filterdienst
- Sicherheitsprofile für die URL-Filterung erstellen und verwalten
- Sicherheitsprofile für die Bedrohungsvermeidung erstellen und verwalten
- Sicherheitsprofilgruppen erstellen und verwalten
- Globale Netzwerkrichtlinien und -regeln verwenden
- Regionale Netzwerk-Firewallrichtlinien und -regeln verwenden