שיטות מומלצות לשימוש בשירות לסינון כתובות URL

במאמר הזה מפורטות שיטות מומלצות לשימוש בשירות סינון כתובות URL עם Cloud Next Generation Firewall. ההמלצות האלה יעזרו לכם ליצור מדיניות יעילה וקלה לתחזוקה של חומת אש, שתעזור למנוע פעולות סינון לא רצויות. המאמר הזה מיועד למי שמכיר את המושגים של שירות סינון כתובות URL.

שיטות מומלצות

בטבלה הבאה מפורטות השיטות המומלצות לשימוש בשירות סינון כתובות URL:

נושא או תרחיש שימוש תכונה או רכיב של כלל ב-Cloud NGFW תיאור
תמיכה בפרוטוקול פרוטוקולים ויציאות מציינים את הפרוטוקול TCP ואת היציאות 80 ו-443 בכלל של מדיניות חומת האש שמחיל סינון של כתובות URL.

מידע נוסף זמין במאמר בנושא ציון פרוטוקול ויציאות של יעד.
הערכה של כלל חומת אש העדיפות של כלל חומת האש ממקמים כללים שמחילים סינון של כתובות URL בעדיפות הנמוכה ביותר במדיניות חומת האש.

מידע נוסף זמין במאמר מיקום כללים של סינון כתובות URL בעדיפות הנמוכה ביותר.
פילוח תנועת הגולשים הקשרים ברשת אפשר להשתמש בהקשרים של רשת כדי ליצור כללים נפרדים במדיניות חומת האש לסינון כתובות URL עבור תעבורה מזרח-מערב (לא תעבורה שמופנית לאינטרנט) ותעבורה שמופנית לאינטרנט.

מידע נוסף זמין במאמר שימוש בהקשרים של רשת כדי להפריד תעבורה.
חריגות מהמדיניות אובייקטים של שם דומיין שמוגדר במלואו (FQDN) כדי ליצור חריג של חור הצצה שמאפשר למקור ספציפי לגשת לאתר, משתמשים באובייקט של שם דומיין מוגדר במלואו (FQDN) של יעד ובפרופיל אבטחה של סינון כתובות URL בכלל מדיניות חומת האש.

מידע נוסף זמין במאמר שימוש בשמות דומיין מוגדרים במלואם (FQDN) כדי להוסיף חריגים של חורי הצצה.
בדיקה סלקטיבית כדי לבדוק תנועה באופן סלקטיבי על סמך דומייני היעד, צריך להשתמש באובייקטים של FQDN במקום בפרופילים של אבטחת סינון כתובות URL.

מידע נוסף זמין במאמר בנושא שימוש ב-FQDN לבדיקה סלקטיבית של תנועה.
עיצוב המדיניות כדי לעמוד בדרישות זמניות, מומלץ להימנע מיצירת כללים של מדיניות חומת אש לסינון כתובות URL שמשתמשים במשאב יחיד כמקור.

מידע נוסף זמין במאמר הימנעות מיצירת כללים שמבוססים על משאב יחיד.
תמיכה בפרוטוקול שימוש בסינון מבוסס-FQDN לפרוטוקולים שאינם HTTP.
היררכיית המדיניות מדיניות חומת אש בין רשתות גלובליות ומדיניות חומת אש בין רשתות אזוריות מומלץ להשתמש בסינון כתובות URL במדיניות גלובלית או אזורית של חומת אש ברשת, ולא במדיניות היררכית של חומת אש.

מידע נוסף זמין במאמר הימנעות משימוש בסינון כתובות URL במדיניות היררכית של חומת אש.
מדרגיות פרופילי אבטחה של סינון כתובות URL כדי לא לחרוג מהמגבלה הנתמכת של מספר הדומיינים בפרופיל אבטחה לסינון כתובות URL, צריך ליצור פרופילי אבטחה נפרדים שמקבצים דומיינים על סמך קריטריון ספציפי.

מידע נוסף זמין במאמר בנושא יצירת פרופילי אבטחה נפרדים לצורך התרחבות.

מציינים את הפרוטוקול והיציאות של היעד

‫Cloud NGFW מחיל את פעולת ברירת המחדל allow או deny בפרופיל אבטחה של סינון כתובות URL על תעבורת נתונים שאינה HTTP ושאינה HTTPS, שתואמת לכלל מדיניות חומת אש שמחייב סינון כתובות URL. מציינים את הפרוטוקול TCP ואת היציאות 80 ו-443 בכלל מדיניות חומת האש.

ציון הפרוטוקול והיציאות בכלל מונע התאמה לתנועה שאינה HTTP ושאינה HTTPS, ולכן מונע את פעולת ברירת המחדל של אישור או דחייה של התנועה הזו שלא במכוון.

הצבת כללים לסינון כתובות URL בעדיפות הנמוכה ביותר

כדי לוודא שכללי מדיניות חומת האש שלא משתמשים בבדיקה של Layer 7 מוערכים קודם, צריך להגדיר את הכללים שמחילים פרופילי אבטחה של סינון כתובות URL בעדיפות הנמוכה ביותר במדיניות חומת האש. הגישה הזו מונעת מהפעולה שמוגדרת כברירת מחדל בפרופיל אבטחה של סינון כתובות URL לאפשר או לחסום תעבורה בטעות.

לדוגמה, כדי לאפשר לכל מכונה וירטואלית (VM) לתקשר עם www.example.com, צריך ליצור פרופיל אבטחה לסינון כתובות URL שמאפשר את כתובת ה-URL הזו. לאחר מכן, מוסיפים כלל עם עדיפות נמוכה, כמו 500 שמחיל קבוצת פרופילים של אבטחה עם פרופיל האבטחה הזה.

עדיפות כיוון פרוטוקול יעד מקור יעד יציאת היעד פעולה
150 תעבורת נתונים יוצאת (egress) TCP הכול 10.0.0.0/8 10.0.0.0/8 ‫80, 443 אישור
200 תעבורת נתונים נכנסת (Ingress) TCP הכול הכול 10.0.0.0/8 ‫80, 443 אישור
300 תעבורת נתונים יוצאת (egress) TCP הכול הכול 199.36.153.8/30 ‫80, 443 אישור
500 תעבורת נתונים יוצאת (egress) TCP הכול הכול הכול ‫80, 443 החלת קבוצת פרופילים לאבטחה עם פרופיל אבטחה לסינון כתובות URL שמאפשר את כתובת ה-URL www.example.com

שימוש בהקשרים של רשת כדי להפריד בין תנועת הגולשים

פעולת ברירת המחדל של פרופיל אבטחה יכולה לאפשר או לדחות תנועה שלא תואמת למסנני כתובות ה-URL המוגדרים. כדי למנוע פעולות ברירת מחדל לא רצויות, צריך להשתמש בהקשרים של הרשת כדי ליצור כללי מדיניות חומת אש נפרדים לסינון כתובות URL לתעבורה מזרח-מערב (לא תעבורה שמופנית לאינטרנט) ולתעבורה שמופנית לאינטרנט. הקשרים של הרשת מאפשרים להתאים את הקריטריונים של הכלל בצורה פרטנית יותר, ולכן מונעים מהפעולה שמוגדרת כברירת מחדל לאפשר או לחסום תנועה בטעות.

בדוגמה הבאה, ההקשר של הרשת שאינה אינטרנט מונע מהכלל עם העדיפות 500 להתאים ולאפשר או לדחות בטעות תנועה שמופנית לאינטרנט, שהכלל עם העדיפות 600 מנהל בנפרד.

עדיפות כיוון הקשר הרשת פרוטוקול יעד מקור יעד יציאת היעד פעולה
500 תעבורת נתונים יוצאת (egress) לא באינטרנט TCP הכול הכול הכול ‫80, 443 החלת קבוצת פרופילים של אבטחה עם פרופיל אבטחה של סינון כתובות URL‏ 1
600 תעבורת נתונים יוצאת (egress) אינטרנט TCP הכול הכול הכול ‫80, 443 החלת קבוצת פרופילים של אבטחה עם פרופיל אבטחה של סינון כתובות URL 2

שימוש באובייקטים של FQDN

כדי למנוע התאמות לא מכוונות של תעבורת נתונים לכללי מדיניות חומת האש, וכך למנוע את פעולת ברירת המחדל של פרופיל האבטחה שמאפשרת או דוחה תעבורת נתונים לא מכוונת, מומלץ להשתמש באובייקטים של FQDN של היעד יחד עם פרופילי אבטחה של סינון כתובות URL.

שימוש ב-FQDN כדי להוסיף חריגים של חורים קטנים

חריגת חור סיכה בחומת אש מאפשרת לסוג מסוים של תנועה לעבור דרך היקף אבטחה שסגור בדרך כלל. כדי ליצור חריגה כזו שתאפשר למקור ספציפי לגשת לאתר, צריך להשתמש באובייקט FQDN של יעד ובפרופיל אבטחה של סינון כתובות URL בכלל מדיניות חומת האש.

כלל חריגה מסוג pinhole מתאים לתנועה מהמקור לכתובת ה-IP של ה-FQDN לפני החלת סינון כתובות ה-URL. תנועה אחרת מהמקור לא תואמת, ולכן לא מופעלת פעולת ברירת המחדל של פרופיל האבטחה על תנועה לא קשורה.

בדוגמה הבאה, הכלל מתאים לתנועה מטווח כתובות ה-IP שצוין לכתובת ה-IP של example.com, ואז מחיל סינון של כתובות URL על התנועה התואמת.

עדיפות כיוון הקשר הרשת פרוטוקול יעד מקור יעד יציאת היעד פעולה
100 תעבורת נתונים יוצאת (egress) אינטרנט TCP הכול 192.168.1.0/24 FQDN = example.com ‫80, 443 החלת קבוצת פרופילים של אבטחה עם פרופיל אבטחה לסינון כתובות URL שמאפשר את כתובת ה-URL‏ www.example.com

שימוש בשמות דומיין מלאים (FQDN) לבדיקה סלקטיבית של תעבורת נתונים

כדי לבדוק תנועה באופן סלקטיבי על סמך דומייני היעד, צריך להשתמש באובייקטים של FQDN במקום בפרופילי אבטחה של סינון כתובות URL.

פרופילי אבטחה של סינון כתובות URL לא תומכים בבדיקה סלקטיבית של תנועה. אם אתם משתמשים בפרופילי אבטחה של סינון כתובות URL לבחירת תנועה, יכול להיות שהפעולה שמוגדרת כברירת מחדל בפרופיל תאפשר או תדחה תנועה שלא במתכוון.

לדוגמה, כדי לבדוק את התנועה אל example.com לאיתור איומים בלי להשפיע על התנועה אל examplepetstore.com, צריך ליצור כללים נפרדים למדיניות חומת האש עם עדיפות 100 ו-200. לכל כלל, משתמשים באובייקט FQDN של יעד ומחילים את פרופיל האבטחה למניעת איומים רק על הכלל עם היעד example.com. הגישה הזו מונעת מתנועה אל examplepetstore.com להתאים לכלל עם העדיפות 100.

בטבלה הבאה מוצגת ההגדרה השגויה:

עדיפות כיוון פרוטוקול יעד מקור יעד יציאת היעד פעולה
100 תעבורת נתונים יוצאת (egress) TCP הכול הכול הכול ‫80, 443 החלת קבוצת פרופילים לאבטחה עם פרופיל אבטחה לסינון כתובות URL‏ 1 שמאפשר את כתובת ה-URL‏ example.com ופרופיל אבטחה למניעת איומים שבודק את התנועה לכתובת ה-URL‏ example.com
200 תעבורת נתונים יוצאת (egress) TCP הכול הכול הכול ‫80, 443 החלת קבוצת פרופילים לאבטחה עם פרופיל אבטחה לסינון כתובות URL‏ 2 שמאפשר את כתובת ה-URL‏ examplepetstore.com

בטבלה הבאה מוצגת ההגדרה הנכונה:

עדיפות כיוון פרוטוקול יעד מקור יעד יציאת היעד פעולה
100 תעבורת נתונים יוצאת (egress) TCP הכול הכול FQDN = example.com ‫80, 443 החלת קבוצת פרופילים של אבטחה עם פרופיל אבטחה למניעת איומים שבודק את התנועה לכתובת ה-URL‏ example.com
200 תעבורת נתונים יוצאת (egress) TCP הכול הכול FQDN = examplepetstore.com ‫80, 443 החלת קבוצת פרופילים לאבטחה עם פרופיל אבטחה לסינון כתובות URL שמאפשר את כתובת ה-URL examplepetstore.com

לא מומלץ ליצור כללים שמבוססים על משאב יחיד

כדי לעמוד בדרישות זמניות, מומלץ להימנע מיצירת כללי מדיניות חומת אש עם סינון כתובות URL שמשתמשים במשאב יחיד כמקור.

אם משאירים את הכללים האלה, פעולת ברירת המחדל של פרופיל אבטחה לסינון כתובות URL עשויה לאפשר או לדחות תנועה לא מכוונת. אם לא מוחקים אותם מיד, הכללים האלה עלולים לגרום להתרחבות של המדיניות לאורך זמן.

בדוגמה הבאה, כלל עם עדיפות גבוהה יותר של 100 תואם ומאפשר תנועה מ-192.168.1.1 אל examplepetstore.com. ההערכה הזו מתבצעת לפני שהתנועה מגיעה לכלל עם עדיפות של 101, שמוגדר לחסימת התנועה הזו.

עדיפות כיוון הקשר הרשת פרוטוקול יעד מקור יעד יציאת היעד פעולה
100 תעבורת נתונים יוצאת (egress) אינטרנט TCP הכול 192.168.1.1/32 הכול ‫80, 443 החלת קבוצת פרופילים לאבטחה עם פרופיל אבטחה לסינון כתובות URL מספר 1 שחוסם את כתובת ה-URL example.com
101 תעבורת נתונים יוצאת (egress) לא באינטרנט TCP הכול 192.168.1.0/24 הכול ‫80, 443 החלת קבוצת פרופילי אבטחה עם פרופיל אבטחה לסינון כתובות URL‏ 2 שחוסם את כתובת ה-URL‏ examplepetstore.com ומאפשר את כתובת ה-URL‏ example.org

עם זאת, אם אתם צריכים לשמור כלל כזה, אתם יכולים להשתמש באובייקט FQDN של היעד. לדוגמה, כדי למנוע התאמה של תנועה מ-192.168.1.1 ל-examplepetstore.com, מוסיפים את אובייקט ה-FQDN‏ example.com לכלל עם העדיפות 100.

עדיפות כיוון הקשר הרשת פרוטוקול יעד מקור יעד יציאת היעד פעולה
100 תעבורת נתונים יוצאת (egress) אינטרנט TCP הכול 192.168.1.1/32 FQDN = example.com ‫80, 443 החלת קבוצת פרופילים לאבטחה עם פרופיל אבטחה לסינון כתובות URL מספר 1 שחוסם את כתובת ה-URL example.com
101 תעבורת נתונים יוצאת (egress) לא באינטרנט TCP הכול 192.168.1.0/24 הכול ‫80, 443 החלת קבוצת פרופילי אבטחה עם פרופיל אבטחה לסינון כתובות URL‏ 2 שחוסם את כתובת ה-URL‏ examplepetstore.com ומאפשר את כתובת ה-URL‏ example.org

שימוש בסינון מבוסס FQDN לפרוטוקולים שאינם HTTP

משתמשים בסינון מבוסס FQDN לפרוטוקולים שאינם HTTP ואינם HTTPS, כמו RDP או SSH. סינון כתובות URL פועל רק עם תנועה מסוג HTTP או HTTPS.

אל תשתמשו בסינון כתובות URL במדיניות היררכית של חומת אש

כדי למנוע התאמות לא מכוונות של תנועה, מומלץ להימנע משימוש בפרופילים של אבטחת סינון כתובות URL במדיניות חומת האש ההיררכית. במקום זאת, משתמשים בפרופילים של סינון כתובות URL במדיניות חומת האש הגלובלית או האזורית של הרשת.

שימוש בפרופיל אבטחה של סינון כתובות URL בכלל מדיניות חומת אש היררכית עלול לגרום לכך שתנועה של קבוצה רחבה של יעדים תתאים לכלל הזה. ההתאמה הרחבה הזו עלולה לגרום לפעולת ברירת המחדל של פרופיל האבטחה לאפשר או לדחות תנועה שלא במכוון.

יצירת פרופילי אבטחה נפרדים לצורך התאמה להיקף השימוש

כדי לא לחרוג מהמגבלה נתמכת של מספר הדומיינים או מחרוזות ההתאמה בפרופיל אבטחה של סינון כתובות URL, צריך ליצור פרופילי אבטחה נפרדים שמקבצים דומיינים על סמך קריטריון ספציפי. לדוגמה, אפשר לקבץ דומיינים לפי סוג התנועה או המיקום והאופי של דומיין היעד, כמו תנועה מזרח-מערב (לא מוגבלת לאינטרנט) ותנועה מוגבלת לאינטרנט.

הפילוח הזה עוזר להבטיח ביצועים אופטימליים וניהול יעיל כשמשתמשים בהרבה דומיינים.

לדוגמה, אפשר ליצור פרופיל אחד לדומיינים פנימיים או לדומיינים Google Cloud ברשת האינטרנט הציבורית, ופרופיל אחר לדומיינים חיצוניים. פרופיל נפרד לדומיינים פנימיים מאפשר להבחין בין ניתוב תנועה פנימית לבין מדיניות אבטחה. פרופיל נפרד לדומיינים חיצוניים מאפשר להחיל אמצעי אבטחה מתאימים, כמו פידים של מודיעין איומי סייבר או אמצעי בקרה מחמירים יותר על תעבורת נתונים יוצאת.

המאמרים הבאים