במאמר הזה מפורטות שיטות מומלצות לשימוש בשירות סינון כתובות URL עם Cloud Next Generation Firewall. ההמלצות האלה יעזרו לכם ליצור מדיניות יעילה וקלה לתחזוקה של חומת אש, שתעזור למנוע פעולות סינון לא רצויות. המאמר הזה מיועד למי שמכיר את המושגים של שירות סינון כתובות URL.
שיטות מומלצות
בטבלה הבאה מפורטות השיטות המומלצות לשימוש בשירות סינון כתובות URL:
| נושא או תרחיש שימוש | תכונה או רכיב של כלל ב-Cloud NGFW | תיאור |
|---|---|---|
| תמיכה בפרוטוקול | פרוטוקולים ויציאות | מציינים את הפרוטוקול TCP ואת היציאות 80 ו-443 בכלל של מדיניות חומת האש שמחיל סינון של כתובות URL.מידע נוסף זמין במאמר בנושא ציון פרוטוקול ויציאות של יעד. |
| הערכה של כלל חומת אש | העדיפות של כלל חומת האש | ממקמים כללים שמחילים סינון של כתובות URL בעדיפות הנמוכה ביותר במדיניות חומת האש. מידע נוסף זמין במאמר מיקום כללים של סינון כתובות URL בעדיפות הנמוכה ביותר. |
| פילוח תנועת הגולשים | הקשרים ברשת | אפשר להשתמש בהקשרים של רשת כדי ליצור כללים נפרדים במדיניות חומת האש לסינון כתובות URL עבור תעבורה מזרח-מערב (לא תעבורה שמופנית לאינטרנט) ותעבורה שמופנית לאינטרנט. מידע נוסף זמין במאמר שימוש בהקשרים של רשת כדי להפריד תעבורה. |
| חריגות מהמדיניות | אובייקטים של שם דומיין שמוגדר במלואו (FQDN) | כדי ליצור חריג של חור הצצה שמאפשר למקור ספציפי לגשת לאתר, משתמשים באובייקט של שם דומיין מוגדר במלואו (FQDN) של יעד ובפרופיל אבטחה של סינון כתובות URL בכלל מדיניות חומת האש. מידע נוסף זמין במאמר שימוש בשמות דומיין מוגדרים במלואם (FQDN) כדי להוסיף חריגים של חורי הצצה. |
| בדיקה סלקטיבית | כדי לבדוק תנועה באופן סלקטיבי על סמך דומייני היעד, צריך להשתמש באובייקטים של FQDN במקום בפרופילים של אבטחת סינון כתובות URL. מידע נוסף זמין במאמר בנושא שימוש ב-FQDN לבדיקה סלקטיבית של תנועה. |
|
| עיצוב המדיניות | כדי לעמוד בדרישות זמניות, מומלץ להימנע מיצירת כללים של מדיניות חומת אש לסינון כתובות URL שמשתמשים במשאב יחיד כמקור. מידע נוסף זמין במאמר הימנעות מיצירת כללים שמבוססים על משאב יחיד. |
|
| תמיכה בפרוטוקול | שימוש בסינון מבוסס-FQDN לפרוטוקולים שאינם HTTP. | |
| היררכיית המדיניות | מדיניות חומת אש בין רשתות גלובליות ומדיניות חומת אש בין רשתות אזוריות | מומלץ להשתמש בסינון כתובות URL במדיניות גלובלית או אזורית של חומת אש ברשת, ולא במדיניות היררכית של חומת אש. מידע נוסף זמין במאמר הימנעות משימוש בסינון כתובות URL במדיניות היררכית של חומת אש. |
| מדרגיות | פרופילי אבטחה של סינון כתובות URL | כדי לא לחרוג מהמגבלה הנתמכת של מספר הדומיינים בפרופיל אבטחה לסינון כתובות URL, צריך ליצור פרופילי אבטחה נפרדים שמקבצים דומיינים על סמך קריטריון ספציפי. מידע נוסף זמין במאמר בנושא יצירת פרופילי אבטחה נפרדים לצורך התרחבות. |
מציינים את הפרוטוקול והיציאות של היעד
Cloud NGFW מחיל את פעולת ברירת המחדל allow או deny בפרופיל אבטחה של סינון כתובות URL על תעבורת נתונים שאינה HTTP ושאינה HTTPS, שתואמת לכלל מדיניות חומת אש שמחייב סינון כתובות URL. מציינים את הפרוטוקול TCP ואת היציאות 80 ו-443 בכלל מדיניות חומת האש.
ציון הפרוטוקול והיציאות בכלל מונע התאמה לתנועה שאינה HTTP ושאינה HTTPS, ולכן מונע את פעולת ברירת המחדל של אישור או דחייה של התנועה הזו שלא במכוון.
הצבת כללים לסינון כתובות URL בעדיפות הנמוכה ביותר
כדי לוודא שכללי מדיניות חומת האש שלא משתמשים בבדיקה של Layer 7 מוערכים קודם, צריך להגדיר את הכללים שמחילים פרופילי אבטחה של סינון כתובות URL בעדיפות הנמוכה ביותר במדיניות חומת האש. הגישה הזו מונעת מהפעולה שמוגדרת כברירת מחדל בפרופיל אבטחה של סינון כתובות URL לאפשר או לחסום תעבורה בטעות.
לדוגמה, כדי לאפשר לכל מכונה וירטואלית (VM) לתקשר עם www.example.com, צריך ליצור פרופיל אבטחה לסינון כתובות URL שמאפשר את כתובת ה-URL הזו.
לאחר מכן, מוסיפים כלל עם עדיפות נמוכה, כמו 500 שמחיל קבוצת פרופילים של אבטחה עם פרופיל האבטחה הזה.
| עדיפות | כיוון | פרוטוקול | יעד | מקור | יעד | יציאת היעד | פעולה |
|---|---|---|---|---|---|---|---|
| 150 | תעבורת נתונים יוצאת (egress) | TCP | הכול | 10.0.0.0/8 | 10.0.0.0/8 | 80, 443 | אישור |
| 200 | תעבורת נתונים נכנסת (Ingress) | TCP | הכול | הכול | 10.0.0.0/8 | 80, 443 | אישור |
| 300 | תעבורת נתונים יוצאת (egress) | TCP | הכול | הכול | 199.36.153.8/30 | 80, 443 | אישור |
| 500 | תעבורת נתונים יוצאת (egress) | TCP | הכול | הכול | הכול | 80, 443 | החלת קבוצת פרופילים לאבטחה עם פרופיל אבטחה לסינון כתובות URL שמאפשר את כתובת ה-URL www.example.com |
שימוש בהקשרים של רשת כדי להפריד בין תנועת הגולשים
פעולת ברירת המחדל של פרופיל אבטחה יכולה לאפשר או לדחות תנועה שלא תואמת למסנני כתובות ה-URL המוגדרים. כדי למנוע פעולות ברירת מחדל לא רצויות, צריך להשתמש בהקשרים של הרשת כדי ליצור כללי מדיניות חומת אש נפרדים לסינון כתובות URL לתעבורה מזרח-מערב (לא תעבורה שמופנית לאינטרנט) ולתעבורה שמופנית לאינטרנט. הקשרים של הרשת מאפשרים להתאים את הקריטריונים של הכלל בצורה פרטנית יותר, ולכן מונעים מהפעולה שמוגדרת כברירת מחדל לאפשר או לחסום תנועה בטעות.
בדוגמה הבאה, ההקשר של הרשת שאינה אינטרנט מונע מהכלל עם העדיפות 500 להתאים ולאפשר או לדחות בטעות תנועה שמופנית לאינטרנט, שהכלל עם העדיפות 600 מנהל בנפרד.
| עדיפות | כיוון | הקשר הרשת | פרוטוקול | יעד | מקור | יעד | יציאת היעד | פעולה |
|---|---|---|---|---|---|---|---|---|
| 500 | תעבורת נתונים יוצאת (egress) | לא באינטרנט | TCP | הכול | הכול | הכול | 80, 443 | החלת קבוצת פרופילים של אבטחה עם פרופיל אבטחה של סינון כתובות URL 1 |
| 600 | תעבורת נתונים יוצאת (egress) | אינטרנט | TCP | הכול | הכול | הכול | 80, 443 | החלת קבוצת פרופילים של אבטחה עם פרופיל אבטחה של סינון כתובות URL 2 |
שימוש באובייקטים של FQDN
כדי למנוע התאמות לא מכוונות של תעבורת נתונים לכללי מדיניות חומת האש, וכך למנוע את פעולת ברירת המחדל של פרופיל האבטחה שמאפשרת או דוחה תעבורת נתונים לא מכוונת, מומלץ להשתמש באובייקטים של FQDN של היעד יחד עם פרופילי אבטחה של סינון כתובות URL.
שימוש ב-FQDN כדי להוסיף חריגים של חורים קטנים
חריגת חור סיכה בחומת אש מאפשרת לסוג מסוים של תנועה לעבור דרך היקף אבטחה שסגור בדרך כלל. כדי ליצור חריגה כזו שתאפשר למקור ספציפי לגשת לאתר, צריך להשתמש באובייקט FQDN של יעד ובפרופיל אבטחה של סינון כתובות URL בכלל מדיניות חומת האש.
כלל חריגה מסוג pinhole מתאים לתנועה מהמקור לכתובת ה-IP של ה-FQDN לפני החלת סינון כתובות ה-URL. תנועה אחרת מהמקור לא תואמת, ולכן לא מופעלת פעולת ברירת המחדל של פרופיל האבטחה על תנועה לא קשורה.
בדוגמה הבאה, הכלל מתאים לתנועה מטווח כתובות ה-IP שצוין לכתובת ה-IP של example.com, ואז מחיל סינון של כתובות URL על התנועה התואמת.
| עדיפות | כיוון | הקשר הרשת | פרוטוקול | יעד | מקור | יעד | יציאת היעד | פעולה |
|---|---|---|---|---|---|---|---|---|
| 100 | תעבורת נתונים יוצאת (egress) | אינטרנט | TCP | הכול | 192.168.1.0/24 | FQDN = example.com |
80, 443 | החלת קבוצת פרופילים של אבטחה עם פרופיל אבטחה לסינון כתובות URL שמאפשר את כתובת ה-URL www.example.com |
שימוש בשמות דומיין מלאים (FQDN) לבדיקה סלקטיבית של תעבורת נתונים
כדי לבדוק תנועה באופן סלקטיבי על סמך דומייני היעד, צריך להשתמש באובייקטים של FQDN במקום בפרופילי אבטחה של סינון כתובות URL.
פרופילי אבטחה של סינון כתובות URL לא תומכים בבדיקה סלקטיבית של תנועה. אם אתם משתמשים בפרופילי אבטחה של סינון כתובות URL לבחירת תנועה, יכול להיות שהפעולה שמוגדרת כברירת מחדל בפרופיל תאפשר או תדחה תנועה שלא במתכוון.
לדוגמה, כדי לבדוק את התנועה אל example.com לאיתור איומים בלי להשפיע על התנועה אל examplepetstore.com, צריך ליצור כללים נפרדים למדיניות חומת האש עם עדיפות 100 ו-200. לכל כלל, משתמשים באובייקט FQDN של יעד ומחילים את פרופיל האבטחה למניעת איומים רק על הכלל עם היעד example.com. הגישה הזו מונעת מתנועה אל examplepetstore.com להתאים לכלל עם העדיפות 100.
בטבלה הבאה מוצגת ההגדרה השגויה:
| עדיפות | כיוון | פרוטוקול | יעד | מקור | יעד | יציאת היעד | פעולה |
|---|---|---|---|---|---|---|---|
| 100 | תעבורת נתונים יוצאת (egress) | TCP | הכול | הכול | הכול | 80, 443 | החלת קבוצת פרופילים לאבטחה עם פרופיל אבטחה לסינון כתובות URL 1 שמאפשר את כתובת ה-URL example.com ופרופיל אבטחה למניעת איומים שבודק את התנועה לכתובת ה-URL example.com |
| 200 | תעבורת נתונים יוצאת (egress) | TCP | הכול | הכול | הכול | 80, 443 | החלת קבוצת פרופילים לאבטחה עם פרופיל אבטחה לסינון כתובות URL 2 שמאפשר את כתובת ה-URL examplepetstore.com |
בטבלה הבאה מוצגת ההגדרה הנכונה:
| עדיפות | כיוון | פרוטוקול | יעד | מקור | יעד | יציאת היעד | פעולה |
|---|---|---|---|---|---|---|---|
| 100 | תעבורת נתונים יוצאת (egress) | TCP | הכול | הכול | FQDN = example.com |
80, 443 | החלת קבוצת פרופילים של אבטחה עם פרופיל אבטחה למניעת איומים שבודק את התנועה לכתובת ה-URL example.com |
| 200 | תעבורת נתונים יוצאת (egress) | TCP | הכול | הכול | FQDN = examplepetstore.com |
80, 443 | החלת קבוצת פרופילים לאבטחה עם פרופיל אבטחה לסינון כתובות URL שמאפשר את כתובת ה-URL examplepetstore.com |
לא מומלץ ליצור כללים שמבוססים על משאב יחיד
כדי לעמוד בדרישות זמניות, מומלץ להימנע מיצירת כללי מדיניות חומת אש עם סינון כתובות URL שמשתמשים במשאב יחיד כמקור.
אם משאירים את הכללים האלה, פעולת ברירת המחדל של פרופיל אבטחה לסינון כתובות URL עשויה לאפשר או לדחות תנועה לא מכוונת. אם לא מוחקים אותם מיד, הכללים האלה עלולים לגרום להתרחבות של המדיניות לאורך זמן.
בדוגמה הבאה, כלל עם עדיפות גבוהה יותר של 100 תואם ומאפשר תנועה מ-192.168.1.1 אל examplepetstore.com. ההערכה הזו מתבצעת לפני שהתנועה מגיעה לכלל עם עדיפות של 101, שמוגדר לחסימת התנועה הזו.
| עדיפות | כיוון | הקשר הרשת | פרוטוקול | יעד | מקור | יעד | יציאת היעד | פעולה |
|---|---|---|---|---|---|---|---|---|
| 100 | תעבורת נתונים יוצאת (egress) | אינטרנט | TCP | הכול | 192.168.1.1/32 | הכול | 80, 443 | החלת קבוצת פרופילים לאבטחה עם פרופיל אבטחה לסינון כתובות URL מספר 1 שחוסם את כתובת ה-URL example.com |
| 101 | תעבורת נתונים יוצאת (egress) | לא באינטרנט | TCP | הכול | 192.168.1.0/24 | הכול | 80, 443 | החלת קבוצת פרופילי אבטחה עם פרופיל אבטחה לסינון כתובות URL 2 שחוסם את כתובת ה-URL examplepetstore.com ומאפשר את כתובת ה-URL example.org |
עם זאת, אם אתם צריכים לשמור כלל כזה, אתם יכולים להשתמש באובייקט FQDN של היעד.
לדוגמה, כדי למנוע התאמה של תנועה מ-192.168.1.1 ל-examplepetstore.com, מוסיפים את אובייקט ה-FQDN example.com לכלל עם העדיפות 100.
| עדיפות | כיוון | הקשר הרשת | פרוטוקול | יעד | מקור | יעד | יציאת היעד | פעולה |
|---|---|---|---|---|---|---|---|---|
| 100 | תעבורת נתונים יוצאת (egress) | אינטרנט | TCP | הכול | 192.168.1.1/32 | FQDN = example.com |
80, 443 | החלת קבוצת פרופילים לאבטחה עם פרופיל אבטחה לסינון כתובות URL מספר 1 שחוסם את כתובת ה-URL example.com |
| 101 | תעבורת נתונים יוצאת (egress) | לא באינטרנט | TCP | הכול | 192.168.1.0/24 | הכול | 80, 443 | החלת קבוצת פרופילי אבטחה עם פרופיל אבטחה לסינון כתובות URL 2 שחוסם את כתובת ה-URL examplepetstore.com ומאפשר את כתובת ה-URL example.org |
שימוש בסינון מבוסס FQDN לפרוטוקולים שאינם HTTP
משתמשים בסינון מבוסס FQDN לפרוטוקולים שאינם HTTP ואינם HTTPS, כמו RDP או SSH. סינון כתובות URL פועל רק עם תנועה מסוג HTTP או HTTPS.
אל תשתמשו בסינון כתובות URL במדיניות היררכית של חומת אש
כדי למנוע התאמות לא מכוונות של תנועה, מומלץ להימנע משימוש בפרופילים של אבטחת סינון כתובות URL במדיניות חומת האש ההיררכית. במקום זאת, משתמשים בפרופילים של סינון כתובות URL במדיניות חומת האש הגלובלית או האזורית של הרשת.
שימוש בפרופיל אבטחה של סינון כתובות URL בכלל מדיניות חומת אש היררכית עלול לגרום לכך שתנועה של קבוצה רחבה של יעדים תתאים לכלל הזה. ההתאמה הרחבה הזו עלולה לגרום לפעולת ברירת המחדל של פרופיל האבטחה לאפשר או לדחות תנועה שלא במכוון.
יצירת פרופילי אבטחה נפרדים לצורך התאמה להיקף השימוש
כדי לא לחרוג מהמגבלה נתמכת של מספר הדומיינים או מחרוזות ההתאמה בפרופיל אבטחה של סינון כתובות URL, צריך ליצור פרופילי אבטחה נפרדים שמקבצים דומיינים על סמך קריטריון ספציפי. לדוגמה, אפשר לקבץ דומיינים לפי סוג התנועה או המיקום והאופי של דומיין היעד, כמו תנועה מזרח-מערב (לא מוגבלת לאינטרנט) ותנועה מוגבלת לאינטרנט.
הפילוח הזה עוזר להבטיח ביצועים אופטימליים וניהול יעיל כשמשתמשים בהרבה דומיינים.
לדוגמה, אפשר ליצור פרופיל אחד לדומיינים פנימיים או לדומיינים Google Cloud ברשת האינטרנט הציבורית, ופרופיל אחר לדומיינים חיצוניים. פרופיל נפרד לדומיינים פנימיים מאפשר להבחין בין ניתוב תנועה פנימית לבין מדיניות אבטחה. פרופיל נפרד לדומיינים חיצוניים מאפשר להחיל אמצעי אבטחה מתאימים, כמו פידים של מודיעין איומי סייבר או אמצעי בקרה מחמירים יותר על תעבורת נתונים יוצאת.
המאמרים הבאים
- שירות סינון כתובות URL
- יצירה וניהול של פרופילי אבטחה לסינון כתובות URL
- יצירה וניהול של פרופילי אבטחה למניעת איומים
- יצירה וניהול של קבוצות פרופילים של אבטחה
- שימוש במדיניות ובכללים של חומת אש בין רשתות גלובליות
- שימוש במדיניות ובכללים של חומת אש ברשת אזורית