En este documento, se describen las prácticas recomendadas para usar el servicio de filtrado de URLs con Cloud Next Generation Firewall. Usa estas recomendaciones para crear políticas de firewall eficaces y fáciles de mantener que ayuden a evitar acciones de filtrado no deseadas. En este documento, se supone que el usuario está familiarizado con los conceptos del servicio de filtros de URL.
Prácticas recomendadas
En la siguiente tabla, se enumeran las prácticas recomendadas para usar el servicio de filtrado de URLs:
| Tema o caso de uso | Componente de regla o función de Cloud NGFW | Descripción |
|---|---|---|
| Compatibilidad con protocolos | Protocolos y puertos | Especifica el protocolo TCP y los puertos 80 y 443 en una regla de política de firewall que aplique el filtrado de URLs.Para obtener más información, consulta Cómo especificar el protocolo y los puertos de destino. |
| Evaluación de reglas de firewall | Prioridad de la regla de firewall | Coloca las reglas que aplican el filtrado de URLs en las prioridades más bajas de una política de firewall. Para obtener más información, consulta Coloca las reglas de filtrado de URLs en las prioridades más bajas. |
| Segmentación del tráfico | Contextos de red | Usa contextos de red para crear reglas de política de firewall de filtrado de URL independientes para el tráfico este-oeste (no vinculado a Internet) y el tráfico vinculado a Internet. Para obtener más información, consulta Usa contextos de red para separar el tráfico. |
| Excepciones a las políticas | Objetos de nombre de dominio completamente calificado (FQDN) | Para crear una excepción de pinhole que permita que una fuente específica acceda a un sitio web, usa un objeto FQDN de destino y un perfil de seguridad de filtrado de URL en la regla de política de firewall. Para obtener más información, consulta Cómo usar FQDNs para agregar excepciones de pinhole. |
| Inspección selectiva | Para inspeccionar el tráfico de forma selectiva en función de los dominios de destino, usa objetos FQDN en lugar de perfiles de seguridad de filtrado de URL. Para obtener más información, consulta Usa FQDNs para la inspección selectiva del tráfico. |
|
| Diseño de políticas | Para abordar los requisitos temporales, evita crear reglas de políticas de firewall de filtrado de URL que usen un solo recurso como fuente. Para obtener más información, consulta Evita crear reglas basadas en un solo recurso. |
|
| Compatibilidad con protocolos | Use FQDN-based filtering for non-HTTP protocols: | |
| Jerarquía de políticas | Políticas de firewall de red globales y políticas de firewall de red regionales | Usa el filtrado de URL en políticas de firewall de red globales o regionales, y no en políticas de firewall jerárquicas. Para obtener más información, consulta Evita usar el filtrado de URL en políticas de firewall jerárquicas. |
| Escalabilidad | Perfiles de seguridad de filtrado de URLs | Para no superar el límite admitido de la cantidad de dominios en un perfil de seguridad de filtrado de URL, crea perfiles de seguridad separados que agrupen los dominios según un criterio específico. Para obtener más información, consulta Crea perfiles de seguridad separados para escalar. |
Especifica el protocolo y los puertos de destino
El Cloud NGFW aplica la acción predeterminada allow o deny en un perfil de seguridad de filtrado de URL al tráfico que no es HTTP ni HTTPS y que coincide con una regla de política de firewall que aplica el filtrado de URL. Especifica el protocolo TCP y los puertos 80 y 443 en una regla de política de firewall de este tipo.
Especificar el protocolo y los puertos en la regla evita una coincidencia con el tráfico que no es HTTP ni HTTPS y, por lo tanto, evita que la acción predeterminada permita o rechace este tráfico de forma no intencional.
Coloca las reglas de filtrado de URLs en las prioridades más bajas
Para garantizar que primero se evalúen las reglas de políticas de firewall que no usan la inspección de capa 7, coloca las reglas que aplican perfiles de seguridad de filtrado de URL en las prioridades más bajas de una política de firewall. Este enfoque evita que la acción predeterminada en un perfil de seguridad de filtrado de URL permita o rechace accidentalmente el tráfico.
Por ejemplo, para permitir que cualquier instancia de máquina virtual (VM) se comunique con www.example.com, crea un perfil de seguridad de filtrado de URL que permita esta URL.
Luego, agrega una regla con una prioridad baja, como 500, que aplique un grupo de perfiles de seguridad con este perfil de seguridad.
| Prioridad | Dirección | Protocolo | Objetivo | Fuente | Destino | Puerto de destino | Acción |
|---|---|---|---|---|---|---|---|
| 150 | Salida | TCP | Todos | 10.0.0.0/8 | 10.0.0.0/8 | 80, 443 | Permitir |
| 200 | Entrada | TCP | Todos | Cualquiera | 10.0.0.0/8 | 80, 443 | Permitir |
| 300 | Salida | TCP | Todos | Cualquiera | 199.36.153.8/30 | 80, 443 | Permitir |
| 500 | Salida | TCP | Todos | Cualquiera | Cualquiera | 80, 443 | Aplica un grupo de perfiles de seguridad con un perfil de seguridad de filtrado de URLs que permita la URL www.example.com. |
Usa contextos de red para separar el tráfico
La acción predeterminada de un perfil de seguridad puede permitir o rechazar el tráfico que no coincide con los filtros de URL definidos. Para evitar acciones predeterminadas no deseadas, usa contextos de red para crear reglas de políticas de firewall de filtrado de URL separadas para el tráfico este-oeste (no vinculado a Internet) y el tráfico vinculado a Internet. Los contextos de red hacen que los criterios de coincidencia de la regla sean más detallados y, por lo tanto, evitan que la acción predeterminada permita o rechace el tráfico de forma accidental.
En el siguiente ejemplo, el contexto de red sin Internet evita que la regla con la prioridad de 500 coincida y permita o rechace accidentalmente el tráfico vinculado a Internet, que la regla con una prioridad de 600 administra por separado.
| Prioridad | Dirección | Contexto de red | Protocolo | Objetivo | Fuente | Destino | Puerto de destino | Acción |
|---|---|---|---|---|---|---|---|---|
| 500 | Salida | Fuera de Internet | TCP | Todos | Cualquiera | Cualquiera | 80, 443 | Aplica un grupo de perfiles de seguridad con el perfil de seguridad de filtrado de URLs 1 |
| 600 | Salida | Internet | TCP | Todos | Cualquiera | Cualquiera | 80, 443 | Aplica un grupo de perfiles de seguridad con el perfil de seguridad de filtrado de URLs 2 |
Usa objetos FQDN
Usa objetos FQDN de destino junto con perfiles de seguridad de filtrado de URL para evitar coincidencias accidentales de tráfico en las reglas de política de firewall y, de este modo, impedir que la acción predeterminada del perfil de seguridad permita o rechace cualquier tráfico no deseado.
Usa FQDN para agregar excepciones de pinhole
Una excepción de pinhole en un firewall permite que un tipo específico de tráfico atraviese un perímetro de seguridad que, de otro modo, estaría cerrado. Para crear una excepción que permita que una fuente específica acceda a un sitio web, usa un objeto FQDN de destino y un perfil de seguridad de filtrado de URL en la regla de política de firewall.
Una regla de excepción de pinhole coincide con el tráfico de la fuente a la IP del FQDN antes de aplicar el filtrado de URL. El resto del tráfico de la fuente no coincide, lo que impide que el tráfico no relacionado se vea afectado por la acción predeterminada del perfil de seguridad.
En el siguiente ejemplo, la regla coincide con el tráfico del rango de IP especificado con la dirección IP de example.com y, luego, aplica el filtrado de URL al tráfico coincidente.
| Prioridad | Dirección | Contexto de red | Protocolo | Objetivo | Fuente | Destino | Puerto de destino | Acción |
|---|---|---|---|---|---|---|---|---|
| 100 | Salida | Internet | TCP | Todos | 192.168.1.0/24 | FQDN = example.com |
80, 443 | Aplica un grupo de perfiles de seguridad con un perfil de seguridad de filtrado de URLs que permita la URL www.example.com. |
Usa FQDN para la inspección selectiva del tráfico
Para inspeccionar el tráfico de forma selectiva en función de los dominios de destino, usa objetos FQDN en lugar de perfiles de seguridad de filtrado de URL.
Los perfiles de seguridad de filtrado de URLs no admiten la inspección selectiva del tráfico. Si usas perfiles de seguridad de filtrado de URLs para la selección de tráfico, es posible que la acción predeterminada del perfil permita o deniegue el tráfico de forma involuntaria.
Por ejemplo, para inspeccionar el tráfico a example.com en busca de amenazas sin afectar el tráfico a examplepetstore.com, crea reglas de política de firewall independientes con prioridad 100 y 200. Para cada regla, usa un objeto FQDN de destino y aplica el perfil de seguridad de prevención de amenazas solo a la regla con el destino example.com. Este enfoque evita que el tráfico a examplepetstore.com coincida con la regla con la prioridad de 100.
En la siguiente tabla, se muestra la configuración incorrecta:
| Prioridad | Dirección | Protocolo | Objetivo | Fuente | Destino | Puerto de destino | Acción |
|---|---|---|---|---|---|---|---|
| 100 | Salida | TCP | Todos | Cualquiera | Cualquiera | 80, 443 | Aplica un grupo de perfiles de seguridad con el perfil de seguridad de filtrado de URLs 1 que permite la URL example.com y un perfil de seguridad de prevención de amenazas que inspecciona el tráfico a la URL example.com. |
| 200 | Salida | TCP | Todos | Cualquiera | Cualquiera | 80, 443 | Aplica un grupo de perfiles de seguridad con el perfil de seguridad de filtrado de URLs 2 que permite la URL examplepetstore.com. |
En la siguiente tabla, se muestra la configuración correcta:
| Prioridad | Dirección | Protocolo | Objetivo | Fuente | Destino | Puerto de destino | Acción |
|---|---|---|---|---|---|---|---|
| 100 | Salida | TCP | Todos | Cualquiera | FQDN = example.com |
80, 443 | Aplica un grupo de perfiles de seguridad con un perfil de seguridad de prevención de amenazas que inspeccione el tráfico a la URL example.com. |
| 200 | Salida | TCP | Todos | Cualquiera | FQDN = examplepetstore.com |
80, 443 | Aplica un grupo de perfiles de seguridad con un perfil de seguridad de filtrado de URLs que permita la URL examplepetstore.com. |
Evita crear reglas basadas en un solo recurso
Para abordar los requisitos temporales, evita crear reglas de políticas de firewall con filtrado de URL que usen un solo recurso como fuente.
Si conservas estas reglas, es posible que la acción predeterminada de un perfil de seguridad de filtrado de URL permita o deniegue tráfico no deseado. Si no las borras de inmediato, estas reglas también pueden generar una expansión de las políticas con el tiempo.
En el siguiente ejemplo, una regla con una prioridad más alta de 100 coincide y permite el tráfico de 192.168.1.1 a examplepetstore.com. Esta evaluación se produce antes de que el tráfico llegue a la regla con una prioridad de 101, que está configurada para bloquear ese tráfico.
| Prioridad | Dirección | Contexto de red | Protocolo | Objetivo | Fuente | Destino | Puerto de destino | Acción |
|---|---|---|---|---|---|---|---|---|
| 100 | Salida | Internet | TCP | Todos | 192.168.1.1/32 | Cualquiera | 80, 443 | Aplica un grupo de perfiles de seguridad con el perfil de seguridad de filtrado de URLs 1 que bloquea la URL example.com. |
| 101 | Salida | Fuera de Internet | TCP | Todos | 192.168.1.0/24 | Cualquiera | 80, 443 | Aplica un grupo de perfiles de seguridad con el perfil de seguridad de filtrado de URLs 2 que bloquea la URL examplepetstore.com y permite la URL example.org. |
Sin embargo, si necesitas conservar una regla de este tipo, usa un objeto FQDN de destino.
Por ejemplo, para evitar que el tráfico de 192.168.1.1 coincida con examplepetstore.com, agrega el objeto FQDN example.com a la regla con la prioridad de 100.
| Prioridad | Dirección | Contexto de red | Protocolo | Objetivo | Fuente | Destino | Puerto de destino | Acción |
|---|---|---|---|---|---|---|---|---|
| 100 | Salida | Internet | TCP | Todos | 192.168.1.1/32 | FQDN = example.com |
80, 443 | Aplica un grupo de perfiles de seguridad con el perfil de seguridad de filtrado de URLs 1 que bloquea la URL example.com. |
| 101 | Salida | Fuera de Internet | TCP | Todos | 192.168.1.0/24 | Cualquiera | 80, 443 | Aplica un grupo de perfiles de seguridad con el perfil de seguridad de filtrado de URLs 2 que bloquea la URL examplepetstore.com y permite la URL example.org. |
Usa el filtrado basado en FQDN para protocolos que no son HTTP
Usa el filtrado basado en FQDN para protocolos que no sean HTTP ni HTTPS, como RDP o SSH. El filtrado de URLs solo funciona con tráfico HTTP o HTTPS.
Evita usar el filtrado de URLs en políticas de firewall jerárquicas
Para evitar coincidencias de tráfico no deseadas, no uses perfiles de seguridad de filtrado de URL en las políticas de firewall jerárquicas. En su lugar, usa perfiles de seguridad de filtrado de URL en las políticas de firewall de red globales o regionales.
Usar un perfil de seguridad de filtrado de URL en una regla de política de firewall jerárquica puede hacer que el tráfico de un amplio conjunto de destinos coincida con esa regla. Esta coincidencia amplia puede hacer que la acción predeterminada del perfil de seguridad permita o rechace el tráfico de forma involuntaria.
Crea perfiles de seguridad separados para la escalabilidad
Para no superar el límite admitido de la cantidad de dominios o cadenas de coincidencia en un perfil de seguridad de filtrado de URLs, crea perfiles de seguridad separados que agrupen los dominios según un criterio específico. Por ejemplo, agrupa los dominios según el tipo de tráfico o la ubicación y la naturaleza del dominio de destino, como el tráfico este-oeste (no vinculado a Internet) y el tráfico vinculado a Internet.
Esta segmentación ayuda a garantizar un rendimiento y una capacidad de administración óptimos cuando usas muchos dominios.
Por ejemplo, crea un perfil para los dominios internos o Google Cloudy otro para los dominios externos en la Internet pública. Un perfil independiente para los dominios internos mantiene distintas las políticas de seguridad y de enrutamiento del tráfico interno. Un perfil independiente para los dominios externos te permite aplicar medidas de seguridad adecuadas, como feeds de inteligencia contra amenazas o controles de salida más estrictos, al tráfico externo.
¿Qué sigue?
- Servicio de filtrado de URLs
- Crea y administra perfiles de seguridad de filtrado de URLs
- Crea y administra perfiles de seguridad de prevención de amenazas
- Crea y administra grupos de perfiles de seguridad
- Usa reglas y políticas de firewall de red global
- Usa reglas y políticas de firewall de red regionales