Ce document décrit les bonnes pratiques à suivre pour utiliser le service de filtrage d'URL avec le pare-feu Cloud nouvelle génération. Utilisez ces recommandations pour créer des stratégies de pare-feu efficaces et faciles à gérer qui vous aideront à éviter les actions de filtrage involontaires. Dans ce document, nous partons du principe que vous connaissez les concepts du service de filtrage d'URL.
Bonnes pratiques
Le tableau suivant répertorie les bonnes pratiques à suivre pour utiliser le service de filtrage d'URL :
| Thème ou cas d'utilisation | Composant de règle ou de fonctionnalité Cloud NGFW | Description |
|---|---|---|
| Compatibilité avec le protocole | Protocoles et ports | Spécifiez le protocole TCP et les ports 80 et 443 dans une règle de stratégie de pare-feu qui applique le filtrage d'URL.Pour en savoir plus, consultez Spécifier le protocole et les ports de destination. |
| Évaluation des règles de pare-feu | Priorité des règles de pare-feu | Dans une stratégie de pare-feu, placez les règles qui appliquent le filtrage d'URL aux priorités les plus basses. Pour en savoir plus, consultez Placer les règles de filtrage d'URL aux priorités les plus basses. |
| Segmentation du trafic | Contextes réseau | Utilisez des contextes réseau pour créer des règles de stratégie de pare-feu de filtrage d'URL distinctes pour le trafic est-ouest (non lié à Internet) et le trafic lié à Internet. Pour en savoir plus, consultez Utiliser des contextes réseau pour séparer le trafic. |
| Exceptions au règlement | Objets FQDN | Pour créer une exception de type "pinhole" qui autorise une source spécifique à accéder à un site Web, utilisez un objet de nom de domaine complet de destination et un profil de sécurité de filtrage d'URL dans la règle de votre stratégie de pare-feu. Pour en savoir plus, consultez Utiliser des noms de domaine complets pour ajouter des exceptions de type "pinhole". |
| Inspection sélective | Pour inspecter sélectivement le trafic en fonction des domaines de destination, utilisez des objets FQDN au lieu de profils de sécurité de filtrage d'URL. Pour en savoir plus, consultez Utiliser des noms de domaine complets pour l'inspection sélective du trafic. |
|
| Conception des règles | Pour répondre à des exigences temporaires, évitez de créer des règles de stratégie de pare-feu de filtrage d'URL qui utilisent une seule ressource comme source. Pour en savoir plus, consultez Éviter de créer des règles basées sur une seule ressource. |
|
| Compatibilité avec le protocole | Utilisez le filtrage basé sur les noms de domaine complets pour les protocoles non HTTP. | |
| Hiérarchie des règles | Stratégies de pare-feu réseau mondiales et stratégies de pare-feu réseau régionales | Utilisez le filtrage d'URL dans les stratégies de pare-feu réseau mondiales ou régionales, et non dans les stratégies de pare-feu hiérarchiques. Pour en savoir plus, consultez Éviter d'utiliser le filtrage d'URL dans les stratégies de pare-feu hiérarchiques. |
| Évolutivité | Profils de sécurité pour le filtrage des URL | Pour ne pas dépasser la limite autorisée du nombre de domaines dans un profil de sécurité de filtrage d'URL, créez des profils de sécurité distincts qui regroupent les domaines en fonction d'un critère spécifique. Pour en savoir plus, consultez Créer des profils de sécurité distincts pour la mise à l'échelle. |
Spécifier le protocole et les ports de destination
Cloud NGFW applique l'action allow ou deny par défaut dans un profil de sécurité de filtrage d'URL au trafic non HTTP et non HTTPS qui correspond à une règle de stratégie de pare-feu appliquant le filtrage d'URL. Spécifiez le protocole TCP et les ports 80 et 443 dans une règle de stratégie de pare-feu.
En spécifiant le protocole et les ports dans la règle, vous empêchez toute correspondance avec le trafic non HTTP et non HTTPS. Vous évitez ainsi que l'action par défaut autorise ou refuse involontairement ce trafic.
Placer les règles de filtrage des URL avec la priorité la plus basse
Pour vous assurer que les règles de stratégie de pare-feu qui n'utilisent pas l'inspection de couche 7 sont évaluées en premier, placez les règles qui appliquent des profils de sécurité de filtrage d'URL aux priorités les plus basses d'une stratégie de pare-feu. Cette approche empêche l'action par défaut d'un profil de sécurité de filtrage d'URL d'autoriser ou de refuser accidentellement le trafic.
Par exemple, pour autoriser une instance de machine virtuelle (VM) à communiquer avec www.example.com, créez un profil de sécurité de filtrage d'URL qui autorise cette URL.
Ajoutez ensuite une règle de faible priorité, telle que 500, qui applique un groupe de profils de sécurité avec ce profil de sécurité.
| Priorité | Direction | Protocole | Cible | Source | Destination | Port de destination | Action |
|---|---|---|---|---|---|---|---|
| 150 | Sortie | TCP | Tous | 10.0.0.0/8 | 10.0.0.0/8 | 80, 443 | Autoriser |
| 200 | Entrée | TCP | Tous | Tous | 10.0.0.0/8 | 80, 443 | Autoriser |
| 300 | Sortie | TCP | Tous | Tous | 199.36.153.8/30 | 80, 443 | Autoriser |
| 500 | Sortie | TCP | Tous | Tout | Tous | 80, 443 | Appliquez un groupe de profils de sécurité avec un profil de sécurité de filtrage des URL qui autorise l'URL www.example.com. |
Utiliser des contextes réseau pour séparer le trafic
L'action par défaut d'un profil de sécurité peut autoriser ou refuser le trafic qui ne correspond pas aux filtres d'URL définis. Pour éviter les actions par défaut involontaires, utilisez des contextes réseau afin de créer des règles de stratégie de pare-feu de filtrage d'URL distinctes pour le trafic est-ouest (non lié à Internet) et le trafic lié à Internet. Les contextes réseau rendent les critères de correspondance des règles plus précis et empêchent ainsi l'action par défaut d'autoriser ou de refuser accidentellement le trafic.
Dans l'exemple suivant, le contexte réseau non Internet empêche la règle de priorité 500 de correspondre et d'autoriser ou de refuser accidentellement le trafic destiné à Internet, que la règle de priorité 600 gère séparément.
| Priorité | Direction | Contexte de réseau | Protocole | Cible | Source | Destination | Port de destination | Action |
|---|---|---|---|---|---|---|---|---|
| 500 | Sortie | Hors Internet | TCP | Tous | Tout | Tous | 80, 443 | Appliquer un groupe de profils de sécurité avec le profil de sécurité de filtrage des URL 1 |
| 600 | Sortie | Internet | TCP | Tous | Tout | Tous | 80, 443 | Appliquer un groupe de profils de sécurité avec le profil de sécurité de filtrage des URL 2 |
Utiliser des objets de nom de domaine complet
Utilisez des objets FQDN de destination avec des profils de sécurité de filtrage d'URL pour éviter les correspondances de trafic accidentelles pour les règles de stratégie de pare-feu. Vous empêcherez ainsi l'action par défaut du profil de sécurité d'autoriser ou de refuser tout trafic indésirable.
Utiliser des noms de domaine complets pour ajouter des exceptions de trou d'épingle
Une exception de type "trou d'épingle" dans un pare-feu permet à un type de trafic spécifique de traverser un périmètre de sécurité autrement fermé. Pour créer une exception qui autorise une source spécifique à accéder à un site Web, utilisez un objet de nom de domaine complet de destination et un profil de sécurité de filtrage d'URL dans votre règle de stratégie de pare-feu.
Une règle d'exception de type "pinhole" met en correspondance le trafic de la source avec l'adresse IP du nom de domaine complet avant d'appliquer le filtrage d'URL. Le reste du trafic provenant de la source ne correspond pas, ce qui empêche le trafic non lié à l'action par défaut du profil de sécurité.
Dans l'exemple suivant, la règle fait correspondre le trafic de la plage d'adresses IP spécifiée à l'adresse IP de example.com, puis applique le filtrage d'URL au trafic correspondant.
| Priorité | Direction | Contexte de réseau | Protocole | Cible | Source | Destination | Port de destination | Action |
|---|---|---|---|---|---|---|---|---|
| 100 | Sortie | Internet | TCP | Tous | 192.168.1.0/24 | Nom de domaine complet = example.com |
80, 443 | Appliquez un groupe de profils de sécurité avec un profil de sécurité de filtrage des URL qui autorise l'URL www.example.com. |
Utiliser des FQDN pour l'inspection sélective du trafic
Pour inspecter sélectivement le trafic en fonction des domaines de destination, utilisez des objets FQDN au lieu de profils de sécurité de filtrage d'URL.
Les profils de sécurité de filtrage des URL ne sont pas compatibles avec l'inspection sélective du trafic. Si vous utilisez des profils de sécurité de filtrage des URL pour la sélection du trafic, l'action par défaut du profil peut autoriser ou refuser le trafic de manière involontaire.
Par exemple, pour inspecter le trafic vers example.com afin de détecter les menaces sans affecter le trafic vers examplepetstore.com, créez des règles de stratégie de pare-feu distinctes avec les priorités 100 et 200. Pour chaque règle, utilisez un objet de nom de domaine complet de destination et appliquez le profil de sécurité de prévention des menaces uniquement à la règle avec la destination example.com. Cette approche empêche le trafic vers examplepetstore.com de correspondre à la règle de priorité 100.
Le tableau suivant montre la configuration incorrecte :
| Priorité | Direction | Protocole | Cible | Source | Destination | Port de destination | Action |
|---|---|---|---|---|---|---|---|
| 100 | Sortie | TCP | Tous | Tout | Tous | 80, 443 | Appliquez un groupe de profils de sécurité avec un profil de sécurité de filtrage des URL 1 qui autorise l'URL example.com et un profil de sécurité de prévention des menaces qui inspecte le trafic vers l'URL example.com. |
| 200 | Sortie | TCP | Tous | Tout | Tous | 80, 443 | Appliquez un groupe de profils de sécurité avec le profil de sécurité de filtrage des URL 2 qui autorise l'URL examplepetstore.com. |
Le tableau suivant présente la configuration correcte :
| Priorité | Direction | Protocole | Cible | Source | Destination | Port de destination | Action |
|---|---|---|---|---|---|---|---|
| 100 | Sortie | TCP | Tous | Tous | Nom de domaine complet = example.com |
80, 443 | Appliquez un groupe de profils de sécurité avec un profil de sécurité de prévention des menaces qui inspecte le trafic vers l'URL example.com. |
| 200 | Sortie | TCP | Tous | Tous | Nom de domaine complet = examplepetstore.com |
80, 443 | Appliquez un groupe de profils de sécurité avec un profil de sécurité de filtrage des URL qui autorise l'URL examplepetstore.com. |
Éviter de créer des règles basées sur une seule ressource
Pour répondre aux exigences temporaires, évitez de créer des règles de stratégie de pare-feu avec filtrage d'URL qui utilisent une seule ressource comme source.
Si vous conservez ces règles, l'action par défaut d'un profil de sécurité de filtrage d'URL peut autoriser ou refuser le trafic indésirable. Si vous ne les supprimez pas immédiatement, ces règles peuvent également entraîner une prolifération des règles au fil du temps.
Dans l'exemple suivant, une règle de priorité plus élevée (100) correspond au trafic de 192.168.1.1 vers examplepetstore.com et l'autorise. Cette évaluation a lieu avant que le trafic n'atteigne la règle de priorité 101, qui est configurée pour bloquer ce trafic.
| Priorité | Direction | Contexte de réseau | Protocole | Cible | Source | Destination | Port de destination | Action |
|---|---|---|---|---|---|---|---|---|
| 100 | Sortie | Internet | TCP | Tous | 192.168.1.1/32 | Tous | 80, 443 | Appliquez un groupe de profils de sécurité avec le profil de sécurité de filtrage des URL 1 qui bloque l'URL example.com. |
| 101 | Sortie | Hors Internet | TCP | Tous | 192.168.1.0/24 | Tous | 80, 443 | Appliquez un groupe de profils de sécurité avec le profil de sécurité de filtrage des URL 2 qui bloque l'URL examplepetstore.com et autorise l'URL example.org. |
Toutefois, si vous devez conserver une telle règle, utilisez un objet de nom de domaine complet de destination.
Par exemple, pour éviter que le trafic de 192.168.1.1 corresponde à examplepetstore.com, ajoutez l'objet FQDN example.com à la règle avec la priorité 100.
| Priorité | Direction | Contexte de réseau | Protocole | Cible | Source | Destination | Port de destination | Action |
|---|---|---|---|---|---|---|---|---|
| 100 | Sortie | Internet | TCP | Tous | 192.168.1.1/32 | Nom de domaine complet = example.com |
80, 443 | Appliquez un groupe de profils de sécurité avec le profil de sécurité de filtrage des URL 1 qui bloque l'URL example.com. |
| 101 | Sortie | Hors Internet | TCP | Tous | 192.168.1.0/24 | Tous | 80, 443 | Appliquez un groupe de profils de sécurité avec le profil de sécurité de filtrage des URL 2 qui bloque l'URL examplepetstore.com et autorise l'URL example.org. |
Utiliser le filtrage basé sur les noms de domaine complets pour les protocoles non HTTP
Utilisez le filtrage basé sur le nom de domaine complet pour les protocoles autres que HTTP et HTTPS, tels que RDP ou SSH. Le filtrage d'URL ne fonctionne qu'avec le trafic HTTP ou HTTPS.
Éviter d'utiliser le filtrage d'URL dans les stratégies de pare-feu hiérarchiques
Pour éviter toute correspondance de trafic involontaire, évitez d'utiliser des profils de sécurité de filtrage d'URL dans les stratégies de pare-feu hiérarchiques. Utilisez plutôt des profils de sécurité de filtrage d'URL dans les stratégies de pare-feu réseau mondiales ou régionales.
L'utilisation d'un profil de sécurité de filtrage d'URL dans une règle de stratégie de pare-feu hiérarchique peut entraîner la correspondance du trafic pour un large éventail de cibles avec cette règle. Cette correspondance large peut entraîner l'autorisation ou le refus involontaires du trafic par l'action par défaut du profil de sécurité.
Créer des profils de sécurité distincts pour évoluer
Pour respecter la limite autorisée concernant le nombre de domaines ou de chaînes de correspondance dans un profil de sécurité de filtrage d'URL, créez des profils de sécurité distincts qui regroupent les domaines en fonction d'un critère spécifique. Par exemple, regroupez les domaines en fonction du type de trafic ou de l'emplacement et de la nature du domaine de destination, comme le trafic est-ouest (non lié à Internet) et le trafic lié à Internet.
Cette segmentation permet d'assurer des performances et une facilité de gestion optimales lorsque vous utilisez de nombreux domaines.
Par exemple, créez un profil pour les domaines internes ou Google Cloudet un autre pour les domaines externes sur l'Internet public. Un profil distinct pour les domaines internes permet de différencier les règles de routage et de sécurité du trafic interne. Un profil distinct pour les domaines externes vous permet d'appliquer des mesures de sécurité appropriées au trafic externe, telles que des flux d'informations sur les menaces ou des contrôles de sortie plus stricts.
Étapes suivantes
- Service de filtrage des URL
- Créer et gérer des profils de sécurité de filtrage d'URL
- Créer et gérer des profils de sécurité de prévention des menaces
- Créer et gérer des groupes de profils de sécurité
- Utiliser des stratégies et des règles de pare-feu de réseau globales
- Utiliser des stratégies et des règles de pare-feu de réseau régionales