本文說明如何搭配使用網址篩選服務與 Cloud Next Generation Firewall 的最佳做法。請根據這些建議建立有效且可維護的防火牆政策,避免發生非預期的篩選動作。本文假設您已熟悉網址篩選服務概念。
最佳做法
下表列出使用網址篩選服務的最佳做法:
| 主題或用途 | Cloud NGFW 功能或規則元件 | 說明 |
|---|---|---|
| 通訊協定支援 | 通訊協定和通訊埠 | 在強制執行網址篩選的防火牆政策規則中,指定通訊協定 TCP 和通訊埠 80 和 443。詳情請參閱「指定目的地通訊協定和通訊埠」。 |
| 防火牆規則評估 | 防火牆規則優先順序 | 在防火牆政策中,將強制執行網址篩選的規則設為最低優先順序。 詳情請參閱「將網址篩選規則設為最低優先順序」。 |
| 流量區隔 | 網路環境 | 使用網路環境,為東向/西向 (非網際網路繫結) 流量和網際網路繫結流量建立個別的網址篩選防火牆政策規則。 詳情請參閱「使用網路環境區隔流量」。 |
| 政策例外狀況 | 完整網域名稱 (FQDN) 物件 | 如要建立允許特定來源存取網站的針孔例外狀況,請在防火牆政策規則中使用目的地 FQDN 物件和網址篩選安全性設定檔。 詳情請參閱「使用 FQDN 新增針孔例外狀況」。 |
| 選擇性檢查 | 如要根據目的地網域選擇性檢查流量,請使用 FQDN 物件,而非網址篩選安全設定檔。 詳情請參閱「使用 FQDN 選擇性檢查流量」。 |
|
| 政策設計 | 如要解決暫時性需求,請避免建立使用單一資源做為來源的網址篩選防火牆政策規則。 詳情請參閱「避免根據單一資源建立規則」。 |
|
| 通訊協定支援 | 針對非 HTTP 通訊協定使用 FQDN 篩選功能。 | |
| 政策階層 | 全域網路防火牆政策和區域網路防火牆政策 | 在全域或區域網路防火牆政策中使用網址篩選功能,而非階層式防火牆政策。 詳情請參閱「避免在階層式防火牆政策中使用網址篩選功能」。 |
| 擴充性 | 網址篩選安全性設定檔 | 如要將網址篩選安全性設定檔中的網域數量維持在支援上限內,請根據特定條件建立網域群組,並分別建立安全性設定檔。 詳情請參閱「建立個別安全性設定檔以進行擴充」。 |
指定目的地通訊協定和通訊埠
如果非 HTTP 和非 HTTPS 流量符合強制執行網址篩選的防火牆政策規則,Cloud NGFW 會在網址篩選安全設定檔中套用預設 allow 或 deny 動作。在防火牆政策規則中指定通訊協定 TCP 和通訊埠 80 和 443。
在規則中指定通訊協定和通訊埠,可防止系統比對非 HTTP 和非 HTTPS 流量,因此可避免預設動作無意間允許或拒絕這類流量。
將網址篩選規則設為最低優先順序
如要確保系統優先評估不使用第 7 層檢查功能的防火牆政策規則,請將強制執行網址篩選安全設定檔的規則,放在防火牆政策中優先順序最低的位置。這種做法可防止 URL 篩選安全性設定檔中的預設動作,意外允許或拒絕流量。
舉例來說,如要允許任何虛擬機器 (VM) 執行個體與 www.example.com 通訊,請建立允許這個網址的網址篩選安全設定檔。然後新增優先順序較低的規則 (例如 500),套用這個安全性設定檔的安全性設定檔群組。
| 優先順序 | 方向 | 通訊協定 | 目標 | 來源 | 目的地 | 目的地通訊埠 | 動作 |
|---|---|---|---|---|---|---|---|
| 150 | 輸出 | TCP | 全部 | 10.0.0.0/8 | 10.0.0.0/8 | 80、443 | 允許 |
| 200 | 輸入 | TCP | 全部 | 不限 | 10.0.0.0/8 | 80、443 | 允許 |
| 300 | 輸出 | TCP | 全部 | 不限 | 199.36.153.8/30 | 80、443 | 允許 |
| 500 | 輸出 | TCP | 全部 | 不限 | 不限 | 80、443 | 套用含有網址篩選安全性設定檔的安全性設定檔群組,允許網址 www.example.com |
使用網路環境分隔流量
安全性設定檔的預設動作可允許或拒絕不符合所定義網址篩選器的流量。為避免發生非預期的預設動作,請使用網路環境,為東西向 (非網際網路繫結) 流量和網際網路繫結流量建立個別的網址篩選防火牆政策規則。網路環境可讓規則比對條件更精細,因此可防止預設動作意外允許或拒絕流量。
在下列範例中,非網際網路網路環境會防止優先順序為 500 的規則相符,並意外允許或拒絕網際網路繫結流量,優先順序為 600 的規則會分別管理這類流量。
| 優先順序 | 方向 | 網路情境 | 通訊協定 | 目標 | 來源 | 目的地 | 目的地通訊埠 | 動作 |
|---|---|---|---|---|---|---|---|---|
| 500 | 輸出 | 非網際網路 | TCP | 全部 | 不限 | 不限 | 80、443 | 套用含有網址篩選安全性設定檔 1 的安全性設定檔群組 |
| 600 | 輸出 | 網際網路 | TCP | 全部 | 不限 | 不限 | 80、443 | 套用含有網址篩選安全性設定檔 2 的安全性設定檔群組 |
使用 FQDN 物件
搭配使用目的地 FQDN 物件和網址篩選安全設定檔,避免防火牆政策規則意外比對到流量,進而防止安全設定檔的預設動作允許或拒絕任何非預期流量。
使用 FQDN 新增針孔例外狀況
防火牆中的針孔例外狀況可讓特定類型的流量通過原本封閉的安全範圍。如要建立這類例外狀況,允許特定來源存取網站,請在防火牆政策規則中使用目的地 FQDN 物件和網址篩選安全性設定檔。
在套用網址篩選之前,針孔例外規則會先比對從來源到 FQDN IP 的流量。來源的其他流量不符,可防止不相關的流量觸發安全設定檔的預設動作。
在下列範例中,規則會將指定 IP 範圍的流量比對至 example.com 的 IP 位址,然後對比對到的流量套用網址篩選。
| 優先順序 | 方向 | 網路情境 | 通訊協定 | 目標 | 來源 | 目的地 | 目的地通訊埠 | 動作 |
|---|---|---|---|---|---|---|---|---|
| 100 | 輸出 | 網際網路 | TCP | 全部 | 192.168.1.0/24 | FQDN = example.com |
80、443 | 套用含有網址篩選安全性設定檔的安全性設定檔群組,允許網址 www.example.com |
使用 FQDN 選擇性檢查流量
如要根據目的地網域選擇性檢查流量,請使用 FQDN 物件,而非網址過濾安全性設定檔。
網址篩選安全性設定檔不支援選擇性流量檢查。 如果您使用網址篩選安全性設定檔選取流量,設定檔的預設動作可能會無意間允許或拒絕流量。
舉例來說,如要檢查傳送至 example.com 的流量是否有威脅,但不想影響傳送至 examplepetstore.com 的流量,請建立優先順序為 100 和 200 的個別防火牆政策規則。針對每項規則,使用目的地 FQDN 物件,並只將威脅防護安全設定檔套用至具有example.com目的地的規則。這樣一來,前往 examplepetstore.com 的流量就不會符合優先順序為 100 的規則。
下表顯示錯誤設定:
| 優先順序 | 方向 | 通訊協定 | 目標 | 來源 | 目的地 | 目的地通訊埠 | 動作 |
|---|---|---|---|---|---|---|---|
| 100 | 輸出 | TCP | 全部 | 不限 | 不限 | 80、443 | 套用安全性設定檔群組,其中包含允許網址 example.com 的網址篩選安全性設定檔 1,以及檢查網址 example.com 流量的威脅防範安全性設定檔 |
| 200 | 輸出 | TCP | 全部 | 不限 | 不限 | 80、443 | 套用安全性設定檔群組,並使用網址篩選安全性設定檔 2 允許網址 examplepetstore.com |
下表顯示正確的設定:
| 優先順序 | 方向 | 通訊協定 | 目標 | 來源 | 目的地 | 目的地通訊埠 | 動作 |
|---|---|---|---|---|---|---|---|
| 100 | 輸出 | TCP | 全部 | 不限 | FQDN = example.com |
80、443 | 套用安全性設定檔群組,並使用威脅防護安全性設定檔檢查傳輸至網址 example.com 的流量 |
| 200 | 輸出 | TCP | 全部 | 不限 | FQDN = examplepetstore.com |
80、443 | 套用含有網址篩選安全性設定檔的安全性設定檔群組,允許網址 examplepetstore.com |
避免根據單一資源建立規則
如要滿足臨時需求,請避免建立防火牆政策規則,並使用單一資源做為來源,透過網址篩選功能進行篩選。
如果保留這些規則,網址篩選安全設定檔的預設動作可能會允許或拒絕非預期的流量。如果沒有立即刪除,這些規則也可能導致政策隨著時間擴散。
在下列範例中,優先順序較高的規則 (100) 會比對並允許從 192.168.1.1 到 examplepetstore.com 的流量。這項評估會在流量抵達優先順序為 101 的規則之前進行,該規則已設定為封鎖該流量。
| 優先順序 | 方向 | 網路情境 | 通訊協定 | 目標 | 來源 | 目的地 | 目的地通訊埠 | 動作 |
|---|---|---|---|---|---|---|---|---|
| 100 | 輸出 | 網際網路 | TCP | 全部 | 192.168.1.1/32 | 不限 | 80、443 | 套用安全性設定檔群組,其中包含網址篩選安全性設定檔 1,可封鎖網址 example.com |
| 101 | 輸出 | 非網際網路 | TCP | 全部 | 192.168.1.0/24 | 不限 | 80、443 | 套用安全性設定檔群組,並使用網址篩選安全性設定檔 2 封鎖網址 examplepetstore.com,但允許網址 example.org |
不過,如需保留這類規則,請使用目的地 FQDN 物件。
舉例來說,如要避免將來自 192.168.1.1 的流量比對至 examplepetstore.com,請將 FQDN 物件 example.com 新增至優先順序為 100 的規則。
| 優先順序 | 方向 | 網路情境 | 通訊協定 | 目標 | 來源 | 目的地 | 目的地通訊埠 | 動作 |
|---|---|---|---|---|---|---|---|---|
| 100 | 輸出 | 網際網路 | TCP | 全部 | 192.168.1.1/32 | FQDN = example.com |
80、443 | 套用安全性設定檔群組,其中包含網址篩選安全性設定檔 1,可封鎖網址 example.com |
| 101 | 輸出 | 非網際網路 | TCP | 全部 | 192.168.1.0/24 | 不限 | 80、443 | 套用安全性設定檔群組,並使用網址篩選安全性設定檔 2 封鎖網址 examplepetstore.com,但允許網址 example.org |
針對非 HTTP 通訊協定使用 FQDN 篩選功能
針對非 HTTP 和非 HTTPS 通訊協定 (例如 RDP 或 SSH),使用以 FQDN 為基礎的篩選條件。網址篩選功能僅適用於 HTTP 或 HTTPS 流量。
避免在階層式防火牆政策中使用網址篩選功能
為避免發生非預期的流量比對,請勿在階層式防火牆政策中使用網址篩選安全設定檔。請改用全域或區域網路防火牆政策中的網址篩選安全性設定檔。
在階層式防火牆政策規則中使用網址篩選安全性設定檔,可能會導致大量目標的流量符合該規則。這種廣泛比對可能會導致安全設定檔的預設動作,在無意間允許或拒絕流量。
建立個別安全性設定檔以利擴充
如要確保網址篩選安全設定檔中的網域或比對字串數量不超過支援上限,請建立個別安全設定檔,並根據特定條件將網域分組。舉例來說,您可以根據流量類型或目的地網域的位置和性質,將網域分組,例如東西向 (非網際網路繫結) 和網際網路繫結流量。
如果您使用多個網域,這種區隔方式有助於確保最佳效能和可管理性。
舉例來說,您可以為內部或網域建立一個設定檔,並為公用網際網路上的外部網域建立另一個設定檔。 Google Cloud 內部網域的專屬設定檔可確保內部流量的路由和安全性政策有所區別。外部網域的個別設定檔可讓您對外部流量套用適當的安全防護措施,例如威脅情報動態饋給或更嚴格的輸出控制項。