Dokumen ini menjelaskan praktik terbaik untuk menggunakan layanan pemfilteran URL dengan Cloud Next Generation Firewall. Gunakan rekomendasi ini untuk membuat kebijakan firewall yang efektif dan mudah dikelola yang membantu mencegah tindakan pemfilteran yang tidak diinginkan. Dokumen ini mengasumsikan bahwa Anda sudah memahami konsep layanan pemfilteran URL.
Praktik terbaik
Tabel berikut mencantumkan praktik terbaik untuk menggunakan layanan pemfilteran URL:
| Topik atau kasus penggunaan | Fitur atau komponen aturan Cloud NGFW | Deskripsi |
|---|---|---|
| Dukungan protokol | Protocols and ports | Tentukan protokol TCP dan port 80 serta 443 dalam aturan kebijakan firewall yang menerapkan pemfilteran URL.Untuk mengetahui informasi selengkapnya, lihat Menentukan protokol dan port tujuan. |
| Evaluasi aturan firewall | Prioritas aturan firewall | Tempatkan aturan yang menerapkan pemfilteran URL pada prioritas terendah dalam kebijakan firewall. Untuk mengetahui informasi selengkapnya, lihat Tempatkan aturan pemfilteran URL pada prioritas terendah. |
| Segmentasi traffic | Konteks jaringan | Gunakan konteks jaringan untuk membuat aturan kebijakan firewall pemfilteran URL terpisah untuk traffic timur-barat (tidak terikat internet) dan traffic terikat internet. Untuk mengetahui informasi selengkapnya, lihat Menggunakan konteks jaringan untuk memisahkan traffic. |
| Pengecualian kebijakan | Objek nama domain yang sepenuhnya memenuhi syarat (FQDN) | Untuk membuat pengecualian pinhole yang memungkinkan sumber tertentu mengakses situs, gunakan objek FQDN tujuan dan profil keamanan pemfilteran URL dalam aturan kebijakan firewall Anda. Untuk mengetahui informasi selengkapnya, lihat Menggunakan FQDN untuk menambahkan pengecualian pinhole. |
| Pemeriksaan selektif | Untuk memeriksa traffic secara selektif berdasarkan domain tujuan, gunakan objek FQDN, bukan profil keamanan pemfilteran URL. Untuk mengetahui informasi selengkapnya, lihat Menggunakan FQDN untuk pemeriksaan traffic selektif. |
|
| Desain kebijakan | Untuk memenuhi persyaratan sementara, hindari pembuatan aturan kebijakan firewall pemfilteran URL yang menggunakan satu resource sebagai sumber. Untuk mengetahui informasi selengkapnya, lihat Hindari pembuatan aturan berdasarkan satu resource. |
|
| Dukungan protokol | Gunakan pemfilteran berbasis FQDN untuk protokol non-HTTP. | |
| Hierarki kebijakan | Kebijakan firewall jaringan global dan Kebijakan firewall jaringan regional | Gunakan pemfilteran URL dalam kebijakan firewall jaringan global atau regional, bukan dalam kebijakan firewall hierarkis. Untuk mengetahui informasi selengkapnya, lihat Hindari penggunaan pemfilteran URL dalam kebijakan firewall hierarkis. |
| Skalabilitas | Profil keamanan pemfilteran URL | Untuk tetap berada dalam batas yang didukung untuk jumlah domain dalam profil keamanan pemfilteran URL, buat profil keamanan terpisah yang mengelompokkan domain berdasarkan kriteria tertentu. Untuk mengetahui informasi selengkapnya, lihat Membuat profil keamanan terpisah untuk penskalaan. |
Menentukan protokol dan port tujuan
Cloud NGFW menerapkan tindakan allow atau deny default dalam profil keamanan pemfilteran URL ke traffic non-HTTP dan non-HTTPS yang cocok dengan aturan kebijakan firewall yang menerapkan pemfilteran URL. Tentukan protokol TCP dan port 80 serta 443 dalam aturan kebijakan firewall tersebut.
Menentukan protokol dan port dalam aturan mencegah kecocokan dengan traffic non-HTTP dan non-HTTPS, sehingga mencegah tindakan default mengizinkan atau menolak traffic ini secara tidak sengaja.
Tempatkan aturan pemfilteran URL pada prioritas terendah
Untuk memastikan bahwa aturan kebijakan firewall yang tidak menggunakan pemeriksaan Lapisan 7 dievaluasi terlebih dahulu, tempatkan aturan yang menerapkan profil keamanan pemfilteran URL pada prioritas terendah dalam kebijakan firewall. Pendekatan ini mencegah tindakan default dalam profil keamanan pemfilteran URL mengizinkan atau menolak traffic secara tidak sengaja.
Misalnya, untuk mengizinkan instance virtual machine (VM) berkomunikasi dengan
www.example.com, buat profil keamanan pemfilteran URL yang mengizinkan URL ini.
Kemudian, tambahkan aturan dengan prioritas rendah, seperti 500 yang menerapkan
grup profil keamanan dengan
profil keamanan ini.
| Prioritas | Arah | Protokol | Target | Sumber | Tujuan | Port tujuan | Tindakan |
|---|---|---|---|---|---|---|---|
| 150 | Keluar | TCP | Semua | 10.0.0.0/8 | 10.0.0.0/8 | 80, 443 | Izinkan |
| 200 | Masuk | TCP | Semua | Semua | 10.0.0.0/8 | 80, 443 | Izinkan |
| 300 | Keluar | TCP | Semua | Semua | 199.36.153.8/30 | 80, 443 | Izinkan |
| 500 | Keluar | TCP | Semua | Semua | Semua | 80, 443 | Menerapkan grup profil keamanan dengan profil keamanan pemfilteran URL yang mengizinkan URL www.example.com |
Menggunakan konteks jaringan untuk memisahkan traffic
Tindakan default profil keamanan dapat mengizinkan atau menolak traffic yang tidak cocok dengan filter URL yang ditentukan. Untuk mencegah tindakan default yang tidak diinginkan, gunakan konteks jaringan untuk membuat aturan kebijakan firewall pemfilteran URL terpisah untuk traffic timur-barat (tidak terikat internet) dan traffic yang terikat internet. Konteks jaringan membuat kriteria kecocokan aturan lebih terperinci, dan oleh karena itu, mencegah tindakan default mengizinkan atau menolak traffic secara tidak sengaja.
Dalam contoh berikut, konteks jaringan non-internet mencegah aturan
dengan prioritas 500 agar tidak cocok dan secara tidak sengaja mengizinkan atau menolak
traffic yang terikat ke internet, yang dikelola secara terpisah oleh aturan dengan prioritas 600.
| Prioritas | Arah | Konteks jaringan | Protokol | Target | Sumber | Tujuan | Port tujuan | Tindakan |
|---|---|---|---|---|---|---|---|---|
| 500 | Keluar | Non-internet | TCP | Semua | Semua | Semua | 80, 443 | Menerapkan grup profil keamanan dengan profil keamanan pemfilteran URL 1 |
| 600 | Keluar | Internet | TCP | Semua | Semua | Semua | 80, 443 | Menerapkan grup profil keamanan dengan profil keamanan pemfilteran URL 2 |
Menggunakan objek FQDN
Gunakan objek FQDN tujuan bersama dengan profil keamanan pemfilteran URL untuk menghindari kecocokan traffic yang tidak disengaja untuk aturan kebijakan firewall, dan oleh karena itu, mencegah tindakan default profil keamanan mengizinkan atau menolak traffic yang tidak diinginkan.
Menggunakan FQDN untuk menambahkan pengecualian pinhole
Pengecualian pinhole di firewall memungkinkan jenis traffic tertentu melewati perimeter keamanan yang biasanya tertutup. Untuk membuat pengecualian yang mengizinkan sumber tertentu mengakses situs, gunakan objek FQDN tujuan dan profil keamanan pemfilteran URL dalam aturan kebijakan firewall Anda.
Aturan pengecualian pinhole mencocokkan traffic dari sumber ke IP FQDN sebelum menerapkan pemfilteran URL. Traffic lain dari sumber tidak cocok, sehingga mencegah traffic yang tidak terkait dari tindakan default profil keamanan.
Dalam contoh berikut, aturan mencocokkan traffic dari rentang IP yang ditentukan ke alamat IP example.com, lalu menerapkan pemfilteran URL ke traffic yang cocok.
| Prioritas | Arah | Konteks jaringan | Protokol | Target | Sumber | Tujuan | Port tujuan | Tindakan |
|---|---|---|---|---|---|---|---|---|
| 100 | Keluar | Internet | TCP | Semua | 192.168.1.0/24 | FQDN = example.com |
80, 443 | Menerapkan grup profil keamanan dengan profil keamanan pemfilteran URL yang mengizinkan URL www.example.com |
Menggunakan FQDN untuk pemeriksaan traffic selektif
Untuk memeriksa traffic secara selektif berdasarkan domain tujuan, gunakan objek FQDN, bukan profil keamanan pemfilteran URL.
Profil keamanan pemfilteran URL tidak mendukung inspeksi traffic selektif. Jika Anda menggunakan profil keamanan pemfilteran URL untuk pemilihan traffic, tindakan default profil dapat secara tidak sengaja mengizinkan atau menolak traffic.
Misalnya, untuk memeriksa traffic ke example.com dari ancaman tanpa memengaruhi traffic ke examplepetstore.com, buat aturan kebijakan firewall terpisah dengan prioritas 100 dan 200. Untuk setiap aturan, gunakan objek FQDN tujuan dan terapkan profil keamanan pencegahan ancaman hanya ke aturan dengan tujuan example.com. Pendekatan ini mencegah traffic ke examplepetstore.com agar tidak cocok dengan aturan dengan prioritas 100.
Tabel berikut menunjukkan konfigurasi yang salah:
| Prioritas | Arah | Protokol | Target | Sumber | Tujuan | Port tujuan | Tindakan |
|---|---|---|---|---|---|---|---|
| 100 | Keluar | TCP | Semua | Semua | Semua | 80, 443 | Terapkan grup profil keamanan dengan profil keamanan pemfilteran URL 1 yang mengizinkan URL example.com dan profil keamanan pencegahan ancaman yang memeriksa traffic ke URL example.com |
| 200 | Keluar | TCP | Semua | Semua | Semua | 80, 443 | Terapkan grup profil keamanan dengan profil keamanan pemfilteran URL 2 yang mengizinkan URL examplepetstore.com |
Tabel berikut menunjukkan konfigurasi yang benar:
| Prioritas | Arah | Protokol | Target | Sumber | Tujuan | Port tujuan | Tindakan |
|---|---|---|---|---|---|---|---|
| 100 | Keluar | TCP | Semua | Semua | FQDN = example.com |
80, 443 | Terapkan grup profil keamanan dengan profil keamanan pencegahan ancaman yang memeriksa traffic ke URL example.com |
| 200 | Keluar | TCP | Semua | Semua | FQDN = examplepetstore.com |
80, 443 | Menerapkan grup profil keamanan dengan profil keamanan pemfilteran URL yang mengizinkan URL examplepetstore.com |
Hindari membuat aturan berdasarkan satu resource
Untuk memenuhi persyaratan sementara, hindari pembuatan aturan kebijakan firewall dengan pemfilteran URL yang menggunakan satu resource sebagai sumber.
Jika Anda mempertahankan aturan ini, tindakan default profil keamanan pemfilteran URL dapat mengizinkan atau menolak traffic yang tidak diinginkan. Jika tidak segera dihapus, aturan ini juga dapat menyebabkan proliferasi kebijakan seiring waktu.
Dalam contoh berikut, aturan dengan prioritas 100 yang lebih tinggi cocok dan
mengizinkan traffic dari 192.168.1.1 ke examplepetstore.com. Evaluasi ini terjadi sebelum traffic mencapai aturan dengan prioritas 101, yang dikonfigurasi untuk memblokir traffic tersebut.
| Prioritas | Arah | Konteks jaringan | Protokol | Target | Sumber | Tujuan | Port tujuan | Tindakan |
|---|---|---|---|---|---|---|---|---|
| 100 | Keluar | Internet | TCP | Semua | 192.168.1.1/32 | Semua | 80, 443 | Terapkan grup profil keamanan dengan profil keamanan pemfilteran URL 1 yang memblokir URL example.com |
| 101 | Keluar | Non-internet | TCP | Semua | 192.168.1.0/24 | Semua | 80, 443 | Terapkan grup profil keamanan dengan profil keamanan pemfilteran URL 2 yang memblokir URL examplepetstore.com dan mengizinkan URL example.org |
Namun, jika Anda perlu mempertahankan aturan tersebut, gunakan objek FQDN tujuan.
Misalnya, untuk menghindari pencocokan traffic dari 192.168.1.1 ke
examplepetstore.com, tambahkan objek FQDN example.com ke aturan dengan
prioritas 100.
| Prioritas | Arah | Konteks jaringan | Protokol | Target | Sumber | Tujuan | Port tujuan | Tindakan |
|---|---|---|---|---|---|---|---|---|
| 100 | Keluar | Internet | TCP | Semua | 192.168.1.1/32 | FQDN = example.com |
80, 443 | Terapkan grup profil keamanan dengan profil keamanan pemfilteran URL 1 yang memblokir URL example.com |
| 101 | Keluar | Non-internet | TCP | Semua | 192.168.1.0/24 | Semua | 80, 443 | Terapkan grup profil keamanan dengan profil keamanan pemfilteran URL 2 yang memblokir URL examplepetstore.com dan mengizinkan URL example.org |
Menggunakan pemfilteran berbasis FQDN untuk protokol non-HTTP
Gunakan pemfilteran berbasis FQDN untuk protokol non-HTTP dan non-HTTPS, seperti RDP atau SSH. Pemfilteran URL hanya berfungsi dengan traffic HTTP atau HTTPS.
Hindari penggunaan pemfilteran URL dalam kebijakan firewall hierarkis
Untuk mencegah kecocokan traffic yang tidak diinginkan, hindari penggunaan profil keamanan pemfilteran URL dalam kebijakan firewall hierarkis. Sebagai gantinya, gunakan profil keamanan pemfilteran URL dalam kebijakan firewall jaringan global atau regional.
Menggunakan profil keamanan pemfilteran URL dalam aturan kebijakan firewall hierarkis dapat menyebabkan traffic untuk serangkaian target yang luas cocok dengan aturan tersebut. Pencocokan luas ini dapat menyebabkan tindakan default profil keamanan secara tidak sengaja mengizinkan atau menolak traffic.
Membuat profil keamanan terpisah untuk skala
Agar tetap berada dalam batas yang didukung untuk jumlah domain atau string pencocokan di profil keamanan pemfilteran URL, buat profil keamanan terpisah yang mengelompokkan domain berdasarkan kriteria tertentu. Misalnya, kelompokkan domain berdasarkan jenis traffic atau lokasi dan sifat domain tujuan, seperti traffic timur-barat (tidak terikat internet) dan traffic yang terikat internet.
Segmentasi ini membantu memastikan performa dan kemampuan pengelolaan yang optimal saat Anda menggunakan banyak domain.
Misalnya, buat satu profil untuk domain internal atau Google Cloud dan satu lagi untuk domain eksternal di internet publik. Profil terpisah untuk domain internal menjaga perutean traffic internal dan kebijakan keamanan tetap berbeda. Profil terpisah untuk domain eksternal memungkinkan Anda menerapkan langkah-langkah keamanan yang sesuai, seperti feed intelijen ancaman atau kontrol keluar yang lebih ketat, ke traffic eksternal.
Langkah berikutnya
- Layanan pemfilteran URL
- Membuat dan mengelola profil keamanan pemfilteran URL
- Membuat dan mengelola profil keamanan pencegahan ancaman
- Membuat dan mengelola grup profil keamanan
- Menggunakan kebijakan dan aturan firewall jaringan global
- Menggunakan kebijakan dan aturan firewall jaringan regional