Mit dem URL-Filterdienst für Cloud NGFW können Sie den Zugriff auf Websites und Webseiten steuern, indem Sie ihre URLs blockieren oder zulassen. Sie können den Traffic Ihrer Arbeitslast filtern, indem Sie Informationen zur Domain und zur Server Name Indication (SNI) verwenden, die in den HTTP(S)-Nachrichten für den ausgehenden Traffic verfügbar sind.
Da der URL-Filterdienst HTTP-Nachrichtenkopfzeilen prüft, können Sie mit dem Dienst den Zugriff auf bestimmte Domains blockieren, auch wenn auf dem Zielserver vertrauenswürdige Websites gehostet werden, die Sie nicht blockieren möchten, oder wenn DNS-basierte Zugriffsbeschränkungen nicht wirksam sind. Sie können den URL-Filterdienst zusammen mit dem Dienst zur Erkennung und Abwehr von Eindringlingen verwenden, um den Zugriff auf schädliche URLs zu verweigern, den Zugriff auf schädliche Command-and-Control-Server (C2) zu verhindern und Malware in ausführbaren Dateien zu erkennen.
Der Cloud NGFW-URL-Filterdienst erstellt von Google verwaltete zonale Firewall-Endpunkte, die die Technologie zum Abfangen von Paketen von Google Cloudverwenden, um Traffic umzuleiten und zu prüfen, ob er mit einer Liste konfigurierter Domainnamen und SNIs übereinstimmt.
Der Paketabfang ist eine Google Cloud -Funktion, mit der Netzwerk-Appliances transparent in den Pfad des ausgewählten Netzwerk-Traffics eingefügt werden, ohne ihre vorhandenen Routingrichtlinien zu ändern.
Vorteile der Verwendung des URL-Filterdienstes
Der URL-Filterdienst hilft Ihnen, den Wartungsaufwand zu reduzieren, der durch häufig wechselnde IP-Adressen, DNS-Änderungen und andere zeitaufwendige IP-Adress-basierte Firewall-Änderungen entsteht. Mit dem Dienst können Sie genau steuern, auf welche Remote-URLs Sie zugreifen können. So haben Sie mehr Kontrolle als mit IP-Adressen, auf denen mehrere Dienste und Domains gehostet werden können.
TLS-Prüfung
Der URL-Filterdienst kann sowohl verschlüsselten als auch unverschlüsselten Traffic verarbeiten. Für verschlüsselten Traffic können Sie die TLS-Prüfung so konfigurieren, dass der URL-Filterdienst Nachrichtenheader entschlüsselt und den Domainnamen im Hostheader der Nachricht prüft.
Der URL-Filterungsdienst kann dann die Domaindetails zusammen mit dem während der TLS-Aushandlung gesendeten SNI im Klartext verwenden, um einen Abgleich mit den konfigurierten URLs zu finden, die durch das zugehörige Sicherheitsprofil definiert werden.
Ohne TLS-Prüfung kann der URL-Filterdienst den verschlüsselten HTTP(S)-Traffic weiterhin verarbeiten. Der URL-Filterdienst stützt sich jedoch nur auf den SNI von clientHello während der TLS-Aushandlung für den URL-Abgleich. Bei unverschlüsseltem HTTP-Traffic verwendet der URL-Filterdienst den HTTP-Hostheader für die URL-Filterung, unabhängig davon, ob Sie die TLS-Prüfung aktiviert haben.
Cloud NGFW unterstützt nur das Abfangen und Entschlüsseln von TLS, um auf die Domaininformationen im Hostheader des ausgewählten verschlüsselten Traffics zuzugreifen.
Der URL-Filterdienst prüft sowohl eingehende als auch ausgehende Verbindungen, einschließlich Traffic zum und vom Internet und Traffic innerhalb von Google Cloud.
Weitere Informationen zur TLS-Prüfung in Cloud NGFW finden Sie unter TLS-Prüfung.
Informationen zum Aktivieren der TLS-Prüfung in Cloud NGFW finden Sie unter TLS-Prüfung einrichten.
Bereitstellungsmodell für den URL-Filterdienst
Das folgende Diagramm zeigt ein Beispiel für die Bereitstellung des URL-Filterdienstes mit einem Firewall-Endpunkt, der für ein VPC-Netzwerk (Virtual Private Cloud) in zwei verschiedenen Zonen einer Region konfiguriert ist.
Komponenten des URL-Filterdienstes
Für den URL-Filterdienst sind drei Haupteinheiten erforderlich, die Sie konfigurieren müssen. Das Sicherheitsprofil für die URL-Filterung und die zugehörige Sicherheitsprofilgruppe, ein Firewall-Endpunkt zum Empfangen von Traffic und die Firewallrichtlinien, die an den Endpunkt angehängt sind.
Sicherheitsprofile und Sicherheitsprofilgruppen
Cloud NGFW verwendet Sicherheitsprofile und Sicherheitsprofilgruppen, um den URL-Filterdienst zu implementieren.
Sicherheitsprofile für die URL-Filterung sind generische Richtlinienstrukturen vom Typ
url-filtering, die URL-Filter mit Abgleichstrings enthalten. Der URL-Filterungsdienst verwendet diese Strings, um sie mit dem Domainnamen und der SNI der HTTP(S)-Nachricht abzugleichen. Jeder URL-Filter enthält eine Liste von Abgleichstrings, eine eindeutige Priorität und eine Aktion.Weitere Informationen zu Sicherheitsprofilen für die URL-Filterung finden Sie unter Sicherheitsprofil für die URL-Filterung.
Sicherheitsprofilgruppen fungieren als Container für Sicherheitsprofile. Jede Gruppe enthält ein oder mehrere Sicherheitsprofile unterschiedlicher Typen. Eine Sicherheitsprofilgruppe kann beispielsweise Sicherheitsprofile der Typen
url-filteringundthreat-preventionenthalten. Eine Firewallrichtlinienregel verweist auf eine Sicherheitsprofilgruppe, um entweder den URL-Filterdienst oder den Dienst zur Erkennung und Vermeidung von Einbrüchen oder beides für den Netzwerk-Traffic zu aktivieren.Weitere Informationen zu Sicherheitsprofilgruppen finden Sie unter Sicherheitsprofilgruppen.
Firewall-Endpunkt
Ein Firewall-Endpunkt ist eine Organisationsressource, die auf zonaler Ebene erstellt wird und Layer-7-Traffic in derselben Zone prüfen kann, in der sie bereitgestellt wird. Die Endpunkte sind einem oder mehreren VPCs in derselben Zone zugeordnet. Wenn Sie den Traffic für eine Ziel-VM-Instanz filtern möchten, erstellen Sie den Firewall-Endpunkt in derselben Zone wie die VPC, in der sich die Ziel-VM befindet.
Beim URL-Filterdienst gleicht der Firewall-Endpunkt die Domain aus dem Host-Header der Nachricht oder die SNI, die während der TLS-Aushandlung für verschlüsselten Traffic ohne TLS-Prüfung abgerufen wurde, mit den URL-Filtern im Sicherheitsprofil für die URL-Filterung ab. Wenn der Endpunkt eine Übereinstimmung erkennt, führt er die mit dem URL-Filter verknüpfte Aktion für die Verbindung aus. Diese Aktion kann die Standardaktion oder eine konfigurierte Aktion im Sicherheitsprofil für die URL-Filterung sein.
Weitere Informationen zu Firewall-Endpunkten und zu ihrer Konfiguration finden Sie unter Firewall-Endpunkte.
Firewallrichtlinien
Firewallrichtlinien gelten direkt für den gesamten ein- und ausgehenden Traffic einer VM. Sie können hierarchische Firewallrichtlinien und globale Netzwerk-Firewallrichtlinien verwenden, um Firewallrichtlinienregeln mit Layer-7-Prüfung zu konfigurieren.
Firewallrichtlinien-Regeln
Mit Firewallrichtlinienregeln können Sie den Typ des Traffics steuern, der abgefangen und geprüft werden soll. Erstellen Sie eine Firewallrichtlinienregel, um den URL-Filterdienst zu konfigurieren:
- Bestimmt den zu prüfenden Traffic-Typ mithilfe mehrerer Layer-3- und Layer-4-Firewallrichtlinienregel-Komponenten.
- Gibt den Namen der Sicherheitsprofilgruppe für die Aktion
apply_security_profile_groupfür den übereinstimmenden Traffic an.
Den vollständigen Workflow des URL-Filterdienstes finden Sie unter URL-Filterdienst konfigurieren.
Sie können auch sichere Tags in Firewallregeln verwenden, um den URL-Filterdienst zu konfigurieren. Sie können auf einer beliebigen Segmentierung aufbauen, die Sie mithilfe von Tags in Ihrem Netzwerk eingerichtet haben, und die Traffic-Prüfungslogik um den Dienst zur URL-Filterung erweitern.
So funktioniert der URL-Filterdienst
Der URL-Filterdienst verarbeitet den HTTP(S)-Traffic in der folgenden Reihenfolge:
Der URL-Filterdienst wendet Firewallrichtlinienregeln auf den Traffic zu und von den VM-Instanzen oder Google Kubernetes Engine-Clustern im Netzwerk an.
Der URL-Filterdienst fängt übereinstimmenden Traffic ab und sendet ihn zur Layer-7-Prüfung an den Firewall-Endpunkt.
Bei verschlüsseltem Traffic, für den die TLS-Prüfung aktiviert ist, entschlüsselt der URL-Filterdienst die Nachrichtenheader und verwendet die im Hostheader angegebene Domain zusammen mit dem während der TLS-Aushandlung gesendeten SNI, um nach einer Übereinstimmung mit den konfigurierten URLs zu suchen.
Wenn der Traffic verschlüsselt ist, die TLS-Prüfung aber nicht aktiviert ist, bleibt der Nachrichtenheader verschlüsselt. Stattdessen verwendet der URL-Filterdienst die Domain, die in der SNI während der TLS-Aushandlung angegeben ist.
Bei unverschlüsseltem Traffic verwendet der URL-Filterdienst immer die im Host-Header angegebene Domain, um nach einer Übereinstimmung zu suchen.
Wenn die URL-Informationen übereinstimmen, führt der URL-Filterdienst die im Sicherheitsprofil konfigurierte Aktion für diese Verbindung aus.
Wenn der URL-Filterdienst den ausgehenden Traffic zulässt, kann der Dienst zur Einbruchserkennung und ‑vermeidung (falls aktiviert) den Traffic weiter auf Bedrohungen scannen.
Beschränkungen
Das Filtern von URLs wird nur für
http/1.xundhttp/2unterstützt. QUIC, verschlüsseltes SNI (ESNI) oder Encrypted Client Hello (ECH) werden nicht unterstützt, wenn die TLS-Prüfung aktiviert ist.Wenn Sie die TLS-Prüfung aktivieren, leitet Cloud NGFW keinen QUIC-, ESNI- oder ECH-Traffic weiter. Wenn Sie die TLS-Prüfung deaktivieren, leitet Cloud NGFW diesen Traffic jedoch ohne Zugriff auf die Domain- und SNI-Informationen weiter. In diesem Szenario lässt Cloud NGFW QUIC-, ESNI- und ECH-Traffic nur zu, wenn ein expliziter URL-Filter vom Typ „Zulassen“ verfügbar ist. Wenn kein expliziter Filter zum Zulassen vorhanden ist, blockiert der standardmäßige implizite URL-Filter zum Ablehnen den QUIC-, ESNI- und ECH-Traffic. Weitere Informationen zu URL-Filtern mit expliziter Zulassung und impliziter Ablehnung finden Sie unter URL-Filter mit impliziter Ablehnung.