Este documento descreve as práticas recomendadas para usar o serviço de filtragem de URL com o Cloud Next Generation Firewall. Use essas recomendações para criar políticas de firewall eficazes e fáceis de manter que ajudam a evitar ações de filtragem indesejadas. Neste documento, presumimos que você esteja familiarizado com os conceitos do serviço de filtragem de URL.
Práticas recomendadas
A tabela a seguir lista as práticas recomendadas para usar o serviço de filtragem de URL:
| Tema ou caso de uso | Recurso ou componente de regra do Cloud NGFW | Descrição |
|---|---|---|
| Suporte a protocolo | Portas e protocolos | Especifique o protocolo TCP e as portas 80 e 443 em uma regra de política de firewall que aplique a filtragem de URL.Para mais informações, consulte Especificar protocolo e portas de destino. |
| Avaliação de regras de firewall | Prioridade da regra de firewall | Coloque as regras que aplicam a filtragem de URL nas prioridades mais baixas de uma política de firewall. Para mais informações, consulte Colocar regras de filtragem de URL nas prioridades mais baixas. |
| Segmentação de tráfego | Contextos de rede | Use contextos de rede para criar regras separadas de política de firewall de filtragem de URL para tráfego leste-oeste (não vinculado à Internet) e vinculado à Internet. Para mais informações, consulte Usar contextos de rede para separar o tráfego. |
| Exceções à política | Objetos de nome de domínio totalmente qualificado (FQDN) | Para criar uma exceção de pinhole que permita que uma origem específica acesse um site, use um objeto FQDN de destino e um perfil de segurança de filtragem de URL na regra da política de firewall. Para mais informações, consulte Usar FQDNs para adicionar exceções de pinhole. |
| Inspeção seletiva | Para inspecionar o tráfego de forma seletiva com base nos domínios de destino, use objetos FQDN em vez de perfis de segurança de filtragem de URL. Para mais informações, consulte Usar FQDNs para inspeção seletiva de tráfego. |
|
| Design da política | Para atender a requisitos temporários, evite criar regras de política de firewall de filtragem de URL que usam um único recurso como origem. Para mais informações, consulte Evitar criar regras com base em um único recurso. |
|
| Suporte a protocolo | Usar filtragem baseada em FQDN para protocolos que não são HTTP. | |
| Hierarquia de políticas | Políticas de firewall de rede global e Políticas de firewall de rede regional | Use a filtragem de URL em políticas de firewall de rede globais ou regionais, não em políticas hierárquicas. Para mais informações, consulte Evitar o uso da filtragem de URL em políticas hierárquicas de firewall. |
| Escalonabilidade | Perfis de segurança de filtragem de URL | Para não exceder o limite aceito de domínios em um perfil de segurança de filtragem de URL, crie perfis de segurança separados que agrupem domínios com base em um critério específico. Para mais informações, consulte Criar perfis de segurança separados para escalonamento. |
Especificar protocolo e portas de destino
O Cloud NGFW aplica a ação padrão allow ou deny em um perfil de segurança de filtragem de URL ao tráfego não HTTP e não HTTPS que corresponde a uma regra de política de firewall que aplica a filtragem de URL. Especifique o protocolo TCP e as portas 80 e 443 em uma regra de política de firewall.
Especificar o protocolo e as portas na regra impede uma correspondência com tráfego não HTTP e não HTTPS e, portanto, evita que a ação padrão permita ou negue esse tráfego sem intenção.
Colocar regras de filtragem de URL nas prioridades mais baixas
Para garantir que as regras de política de firewall que não usam a inspeção da camada 7 sejam avaliadas primeiro, coloque as regras que aplicam perfis de segurança de filtragem de URL nas prioridades mais baixas em uma política de firewall. Essa abordagem evita que a ação padrão em um perfil de segurança de filtragem de URL permita ou negue o tráfego por acidente.
Por exemplo, para permitir que qualquer instância de máquina virtual (VM) se comunique com
www.example.com, crie um perfil de segurança de filtragem de URL que permita esse URL.
Em seguida, adicione uma regra de baixa prioridade, como 500, que aplique um grupo de perfis de segurança com esse perfil de segurança.
| Prioridade | Direção | Protocolo | Destino | Origem | Destino | Porta de destino | Ação |
|---|---|---|---|---|---|---|---|
| 150 | Saída | TCP | Todos | 10.0.0.0/8 | 10.0.0.0/8 | 80, 443 | Permitir |
| 200 | Entrada | TCP | Todos | Qualquer | 10.0.0.0/8 | 80, 443 | Permitir |
| 300 | Saída | TCP | Todos | Qualquer | 199.36.153.8/30 | 80, 443 | Permitir |
| 500 | Saída | TCP | Todos | Tudo | Qualquer | 80, 443 | Aplique um grupo de perfis de segurança com um perfil de segurança de filtragem de URL que permita o URL www.example.com |
Usar contextos de rede para separar o tráfego
A ação padrão de um perfil de segurança pode permitir ou negar o tráfego que não corresponde aos filtros de URL definidos. Para evitar ações padrão não intencionais, use contextos de rede e crie regras separadas de política de firewall de filtragem de URL para tráfego leste-oeste (não vinculado à Internet) e vinculado à Internet. Os contextos de rede tornam os critérios de correspondência de regras mais granulares e, portanto, impedem que a ação padrão permita ou negue o tráfego por acidente.
No exemplo a seguir, o contexto de rede não relacionada à Internet impede que a regra
com a prioridade 500 corresponda e permita ou negue acidentalmente
o tráfego vinculado à Internet, que a regra com prioridade 600 gerencia
separadamente.
| Prioridade | Direção | Contexto de rede | Protocolo | Destino | Origem | Destino | Porta de destino | Ação |
|---|---|---|---|---|---|---|---|---|
| 500 | Saída | Fora da Internet | TCP | Todos | Tudo | Qualquer | 80, 443 | Aplicar um grupo de perfis de segurança com o perfil de segurança de filtragem de URL 1 |
| 600 | Saída | Internet | TCP | Todos | Tudo | Qualquer | 80, 443 | Aplicar um grupo de perfis de segurança com o perfil de segurança de filtragem de URL 2 |
Usar objetos FQDN
Use objetos FQDN de destino com perfis de segurança de filtragem de URL para evitar correspondências acidentais de tráfego nas regras de política de firewall e, portanto, impedir que a ação padrão do perfil de segurança permita ou negue qualquer tráfego não intencional.
Usar FQDNs para adicionar exceções de pinhole
Uma exceção de pinhole em um firewall permite que um tipo específico de tráfego passe por um perímetro de segurança fechado. Para criar uma exceção que permita que uma origem específica acesse um site, use um objeto FQDN de destino e um perfil de segurança de filtragem de URL na regra da política de firewall.
Uma regra de exceção de pinhole corresponde ao tráfego da origem ao IP do FQDN antes de aplicar a filtragem de URL. Outro tráfego da origem não corresponde, impedindo o tráfego não relacionado da ação padrão do perfil de segurança.
No exemplo a seguir, a regra corresponde ao tráfego do intervalo de IP especificado ao endereço IP de example.com e aplica a filtragem de URL ao tráfego correspondente.
| Prioridade | Direção | Contexto de rede | Protocolo | Destino | Origem | Destino | Porta de destino | Ação |
|---|---|---|---|---|---|---|---|---|
| 100 | Saída | Internet | TCP | Todos | 192.168.1.0/24 | FQDN = example.com |
80, 443 | Aplique um grupo de perfis de segurança com um perfil de segurança de filtragem de URL que permita o URL www.example.com |
Usar FQDNs para inspeção seletiva de tráfego
Para inspecionar o tráfego de forma seletiva com base nos domínios de destino, use objetos FQDN em vez de perfis de segurança de filtragem de URL.
Os perfis de segurança de filtragem de URL não são compatíveis com a inspeção seletiva de tráfego. Se você usar perfis de segurança de filtragem de URL para seleção de tráfego, a ação padrão do perfil poderá permitir ou negar o tráfego sem intenção.
Por exemplo, para inspecionar o tráfego para example.com em busca de ameaças sem afetar o tráfego para examplepetstore.com, crie regras de política de firewall separadas com prioridade 100 e 200. Para cada regra, use um objeto FQDN de destino e aplique o perfil de segurança de prevenção contra ameaças apenas à regra com o destino example.com. Essa abordagem impede que o tráfego para examplepetstore.com corresponda à regra com prioridade 100.
A tabela a seguir mostra a configuração incorreta:
| Prioridade | Direção | Protocolo | Destino | Origem | Destino | Porta de destino | Ação |
|---|---|---|---|---|---|---|---|
| 100 | Saída | TCP | Todos | Tudo | Qualquer | 80, 443 | Aplique um grupo de perfis de segurança com o perfil de segurança de filtragem de URL 1 que permite o URL example.com e um perfil de segurança de prevenção de ameaças que inspeciona o tráfego para o URL example.com. |
| 200 | Saída | TCP | Todos | Tudo | Qualquer | 80, 443 | Aplique um grupo de perfis de segurança com o perfil de segurança de filtragem de URL 2 que permite o URL examplepetstore.com |
A tabela a seguir mostra a configuração correta:
| Prioridade | Direção | Protocolo | Destino | Origem | Destino | Porta de destino | Ação |
|---|---|---|---|---|---|---|---|
| 100 | Saída | TCP | Todos | Qualquer | FQDN = example.com |
80, 443 | Aplique um grupo de perfis de segurança com um perfil de segurança de prevenção de ameaças que inspeciona o tráfego para o URL example.com |
| 200 | Saída | TCP | Todos | Qualquer | FQDN = examplepetstore.com |
80, 443 | Aplique um grupo de perfis de segurança com um perfil de segurança de filtragem de URL que permita o URL examplepetstore.com |
Evite criar regras com base em um único recurso
Para atender a requisitos temporários, evite criar regras de política de firewall com filtragem de URL que usem um único recurso como origem.
Se você mantiver essas regras, a ação padrão de um perfil de segurança de filtragem de URL poderá permitir ou negar tráfego não intencional. Se você não as excluir imediatamente, essas regras também poderão levar à proliferação de políticas com o tempo.
No exemplo a seguir, uma regra com prioridade mais alta de 100 corresponde e permite o tráfego de 192.168.1.1 para examplepetstore.com. Essa avaliação
ocorre antes que o tráfego alcance a regra com prioridade 101, que está
configurada para bloquear esse tráfego.
| Prioridade | Direção | Contexto de rede | Protocolo | Destino | Origem | Destino | Porta de destino | Ação |
|---|---|---|---|---|---|---|---|---|
| 100 | Saída | Internet | TCP | Todos | 192.168.1.1/32 | Qualquer | 80, 443 | Aplique um grupo de perfis de segurança com o perfil de segurança de filtragem de URL 1 que bloqueia o URL example.com |
| 101 | Saída | Fora da Internet | TCP | Todos | 192.168.1.0/24 | Qualquer | 80, 443 | Aplique um grupo de perfis de segurança com o perfil de segurança de filtragem de URL 2 que bloqueia o URL examplepetstore.com e permite o URL example.org. |
No entanto, se você precisar manter uma regra assim, use um objeto FQDN de destino.
Por exemplo, para evitar a correspondência de tráfego de 192.168.1.1 para examplepetstore.com, adicione o objeto FQDN example.com à regra com a prioridade 100.
| Prioridade | Direção | Contexto de rede | Protocolo | Destino | Origem | Destino | Porta de destino | Ação |
|---|---|---|---|---|---|---|---|---|
| 100 | Saída | Internet | TCP | Todos | 192.168.1.1/32 | FQDN = example.com |
80, 443 | Aplique um grupo de perfis de segurança com o perfil de segurança de filtragem de URL 1 que bloqueia o URL example.com |
| 101 | Saída | Fora da Internet | TCP | Todos | 192.168.1.0/24 | Qualquer | 80, 443 | Aplique um grupo de perfis de segurança com o perfil de segurança de filtragem de URL 2 que bloqueia o URL examplepetstore.com e permite o URL example.org. |
Usar a filtragem baseada em FQDN para protocolos que não são HTTP
Use a filtragem baseada em FQDN para protocolos que não sejam HTTP nem HTTPS, como RDP ou SSH. A filtragem de URL só funciona com tráfego HTTP ou HTTPS.
Evite usar a filtragem de URL em políticas hierárquicas de firewall
Para evitar correspondências de tráfego não intencionais, evite usar perfis de segurança de filtragem de URL nas políticas hierárquicas de firewall. Em vez disso, use perfis de segurança de filtragem de URL nas políticas de firewall de rede globais ou regionais.
Usar um perfil de segurança de filtragem de URL em uma regra de política de firewall hierárquica pode fazer com que o tráfego de um amplo conjunto de destinos corresponda a essa regra. Essa correspondência ampla pode fazer com que a ação padrão do perfil de segurança permita ou negue o tráfego sem intenção.
Crie perfis de segurança separados para escalonamento
Para ficar dentro do limite aceito de domínios ou strings de correspondência em um perfil de segurança de filtragem de URL, crie perfis de segurança separados que agrupem domínios com base em um critério específico. Por exemplo, agrupe domínios com base no tipo de tráfego ou na localização e natureza do domínio de destino, como tráfego leste-oeste (não vinculado à Internet) e vinculado à Internet.
Essa segmentação ajuda a garantir o desempenho e a capacidade de gerenciamento ideais quando você usa muitos domínios.
Por exemplo, crie um perfil para domínios internos ou Google Cloud e outro para domínios externos na Internet pública. Um perfil separado para domínios internos mantém o roteamento de tráfego interno e as políticas de segurança distintos. Um perfil separado para domínios externos permite aplicar medidas de segurança adequadas, como feeds de inteligência contra ameaças ou controles de saída mais rigorosos, ao tráfego externo.
A seguir
- Serviço de filtragem de URL
- Criar e gerenciar perfis de segurança de filtragem de URL
- Criar e gerenciar perfis de segurança de prevenção de ameaças
- Criar e gerenciar grupos de perfis de segurança
- Usar políticas e regras globais de firewall de rede
- Usar políticas e regras de firewall de rede regional