שימוש ברשימות של כתובות URL ליצירת כללי מדיניות

נכנסים לדף SWP Policies במסוף Google Cloud .

מעבר אל מדיניות SWP

לוחצים על add_boxיצירת מדיניות.

בשדה Name, מזינים שם למדיניות, כמו myswppolicy.

בשדה Description (תיאור) מזינים תיאור למדיניות, למשל My new swp policy.

בקטע אזורים, בוחרים את האזור שבו רוצים ליצור את המדיניות, כמו us-central1.

לוחצים על יצירה.

משתמשים בעורך הטקסט המועדף כדי ליצור קובץ policy.yaml.

מוסיפים את הטקסט הבא לקובץ policy.yaml שיצרתם:

name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
description: POLICY_DESCRIPTION

מחליפים את מה שכתוב בשדות הבאים:

• ‫PROJECT_NAME: שם הפרויקט

• ‫REGION: האזור שבו נוצרה המדיניות, למשל us-central1

• ‫POLICY_NAME: שם המדיניות

• ‫POLICY_DESCRIPTION: תיאור המדיניות

מייבאים את מדיניות האבטחה באמצעות הפקודה gcloud network-security gateway-security-policies import:

gcloud network-security gateway-security-policies import POLICY_NAME \
    --source=POLICY_FILE.yaml \
    --location=REGION

נכנסים לדף Web Proxies במסוף Google Cloud .

מעבר ל-Web Proxies

לוחצים על add_boxיצירת שרת proxy מאובטח לאינטרנט.

בשדה Name, מזינים שם לשרת ה-proxy לאינטרנט, למשל myswp.

בשדה Description (תיאור) מזינים תיאור לשרת ה-proxy לאינטרנט, כמו My new swp.

בקטע מצב ניתוב, בוחרים באחת מהאפשרויות הבאות:

• מפורש: פריסת מופע Secure Web Proxy במצב שרת proxy מפורש.
• הצעד הבא: פריסת מופע Secure Web Proxy במצב 'הצעד הבא'.

בקטע Regions (אזורים), בוחרים את האזור שבו רוצים ליצור את שרת ה-proxy לאינטרנט, כמו us-central1.

בקטע רשת, בוחרים את הרשת שבה רוצים ליצור את שרת ה-proxy לאינטרנט.

בשדה Subnetwork (תת-רשת), בוחרים את תת-הרשת של ה-VPC שיצרתם במהלך ההגדרה הראשונית.

אופציונלי: בשדה כתובת ה-IP של שרת ה-proxy לאינטרנט, מזינים את כתובת ה-IP של Secure Web Proxy.

אפשר להזין כתובת IP מתוך טווח כתובות ה-IP של Secure Web Proxy שנמצאות ברשת המשנה שיצרתם בשלב הקודם. אם לא תזינו את כתובת ה-IP, המופע של Secure Web Proxy יבחר באופן אוטומטי כתובת IP מתוך תת-הרשת שנבחרה.

בקטע Certificate, בוחרים את האישור שרוצים להשתמש בו כדי ליצור את פרוקסי האינטרנט.

בקטע מדיניות, בוחרים את המדיניות שיצרתם כדי לשייך את שרת ה-proxy לאינטרנט.

לוחצים על יצירה.

משתמשים בעורך הטקסט המועדף כדי ליצור קובץ gateway.yaml.

מוסיפים את הטקסט הבא לקובץ gateway.yaml:

name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
type: SECURE_WEB_GATEWAY
ports: [GATEWAY_PORT_NUMBERS]
certificateUrls: [CERTIFICATE_URLS]
gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNETWORK
routingMode: ROUTING_MODE
addresses: [GATEWAY_IP_ADDRESS]
scope: samplescope

מחליפים את מה שכתוב בשדות הבאים:

• ‫GATEWAY_NAME: השם של מופע Secure Web Proxy

• ‫GATEWAY_PORT_NUMBERS: רשימה של מספרי יציאות לשער הזה, למשל [80,443]

• ‫CERTIFICATE_URLS: רשימה של כתובות URL של אישורי SSL

• ‫SUBNETWORK: רשת משנה של VPC שיצרתם במהלך ההגדרה הראשונית

• ‫ROUTING_MODE: מציינים את מצב הניתוב הנדרש של שרת ה-Proxy לאינטרנט:

  • ‫EXPLICIT_ROUTING_MODE: פריסת מופע Secure Web Proxy במצב שרת proxy מפורש
  • ‫NEXT_HOP_ROUTING_MODE: פריסת מופע Secure Web Proxy במצב next hop

• ‫GATEWAY_IP_ADDRESS: רשימה אופציונלית של כתובות IP של מופעי Secure Web Proxy ברשתות המשנה של ה-proxy שיצרתם קודם בשלבי ההגדרה הראשונית

  אם אתם בוחרים לא לפרט כתובות IP, אל תמלאו את השדה כדי לאפשר לשרת ה-proxy לבחור כתובת IP בשבילכם.

יוצרים את מופע Secure Web Proxy באמצעות הפקודה gcloud network-services gateways import:

gcloud network-services gateways import GATEWAY_NAME \
    --source=gateway.yaml \
    --location=REGION

נכנסים לדף URL Lists במסוף Google Cloud .

מעבר לרשימות של כתובות URL

לוחצים על add_boxיצירת רשימת כתובות אתרים. ייפתח הדף Create URL list.

בשדה שם, מזינים שם לרשימת כתובות ה-URL, כמו example-org-allowed-list.

בשדה תיאור, מזינים תיאור לרשימת כתובות ה-URL, כמו My new URL list.

בקטע אזורים, בוחרים את האזור שבו רוצים ליצור את רשימת כתובות ה-URL, למשל us-central1.

כדי להוסיף את רשימת המארחים, כתובות ה-URL או התבניות להתאמה, בשדה רשימת כתובות URL, מזינים את הפרטים או לוחצים על העלאת רשימה כדי להעלות רשימה מותאמת אישית של כתובות URL. מידע נוסף זמין במאמר הפניה לתחביר של UrlList.

לוחצים על יצירה.

משתמשים בעורך הטקסט המועדף כדי ליצור את הקובץ url_list.yaml.

מוסיפים את הטקסט הבא לקובץ url_list.yaml:

  name: projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME
  values: URL_LIST

מחליפים את מה שכתוב בשדות הבאים:

• ‫PROJECT_ID: המזהה הייחודי של פרויקט Google Cloud

• ‫REGION: האזור שבו נוצרה רשימת כתובות ה-URL, למשל us-central1

• ‫URL_LIST_NAME: השם של רשימת כתובות ה-URL

• ‫URL_LIST: רשימה של מארחים, כתובות URL או תבניות להתאמה

מידע נוסף מופיע במאמר בנושא תחביר של רשימת כתובות URL.

דוגמה לקובץ כללים של רשימת כתובות URL:

name: projects/PROJECT_ID/locations/REGION/urlLists/example-org-allowed-list
values:
  - www.example.com
  - about.example.com
  - "*.google.com"
  - "github.com/example-org/*"

לתו הכוכבית (*) יש משמעות מיוחדת ב-YAML. צריך להוסיף מרכאות סביב כתובות URL שכוללות את התו *.

מייבאים את רשימת כתובות ה-URL שיצרתם באמצעות הפקודה gcloud network-security url-lists import כדי שכלל ה-Secure Web Proxy יוכל להפנות אליה.

gcloud network-security url-lists import URL_LIST_NAME \
    --location=REGION \
    --project=PROJECT_ID \
    --source=url_list.yaml

נכנסים לדף SWP Policies במסוף Google Cloud .

מעבר אל מדיניות SWP

לוחצים על שם המדיניות, למשל myswppolicy.

לוחצים על add_boxהוספת כלל.

לכל כלל, מבצעים את הפעולות הבאות:

1. בשדה עדיפות, מזינים מספר של סדר ההערכה של הכלל. הכללים מוערכים מהעדיפות הגבוהה ביותר לנמוכה ביותר, כאשר 0 היא העדיפות הגבוהה ביותר.

2. בשדה Name, מזינים שם לכלל, למשל allow-org-url-list.

3. בשדה Description (תיאור), מזינים תיאור לכלל.

4. בקטע פעולה, בוחרים באחת מהאפשרויות הבאות:

   • אישור: כדי לאשר בקשות לחיבור שתואמות לכלל.
   • ‫Deny: כדי לדחות בקשות לחיבור שתואמות לכלל.

5. בשדה סטטוס, בוחרים אחת מהאפשרויות הבאות לאכיפת הכלל:

   • מופעלת: כדי לאכוף את הכלל במופע Secure Web Proxy.
   • מושבת: כדי לא לאכוף את הכלל במופע של Secure Web Proxy.

6. בקטע Session Match, מציינים את השם הייחודי של רשימת כתובות ה-URL שיצרתם בקטע הקודם. לדוגמה:

     sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME)"
   

   מידע נוסף על התחביר של SessionMatcher זמין במאמר בנושא הפניה לשפת ההתאמה של CEL.

7. בקטע Application Match, מציינים את הקריטריונים להתאמת הבקשה.

8. לוחצים על הוספת כלל.

משתמשים בעורך הטקסט המועדף כדי ליצור קובץ rule.yaml.

מוסיפים את הטקסט הבא לקובץ rule.yaml:

name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
basicProfile: ALLOW
enabled: true
priority: RULE_PRIORITY
description: RULE_DESCRIPTION
sessionMatcher: SESSION_CEL_EXPRESSION
applicationMatcher: APPLICATION_CEL_EXPRESSION

מחליפים את מה שכתוב בשדות הבאים:

• ‫PROJECT_ID: המזהה הייחודי של פרויקט Google Cloud

• ‫REGION: האזור שבו הכלל הזה חל

• ‫POLICY_NAME: השם של מדיניות אבטחה קיימת שמופעלת במופע של Secure Web Proxy

• ‫RULE_NAME: שם הכלל

• ‫PRIORITY_VALUE: העדיפות של הכלל. מספר נמוך יותר מייצג עדיפות גבוהה יותר

• ‫RULE_DESCRIPTION: תיאור הכלל

• ‫SESSION_CEL_EXPRESSION: ביטוי של Common Expression Language ‏ (CEL). מידע נוסף זמין במאמר הפניה לשפת ההתאמה של CEL.

• ‫APPLICATION_CEL_EXPRESSION: ביטוי CEL לאפליקציה

דוגמה לקובץ כללים:

name: projects/PROJECT_ID/locations/REGION/urlLists/allow-repos
basicProfile: ALLOW
enabled: true
priority: 100
description: Allow access to our list of known code repos.
sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"

מייבאים את הכלל שיצרתם באמצעות הפקודה gcloud network-security gateway-security-policies rules import.

    gcloud network-security gateway-security-policies rules import RULE_NAME \
      --location=REGION \
      --project=PROJECT_ID \
      --source=rule.yaml \
      --gateway-security-policy=POLICY_NAME