Cloud 新一代防火墙的网址过滤服务可让您通过阻止或允许网站和网页的网址来控制对这些网站和网页的访问权限。借助该服务,您可以根据出站 HTTP (S) 消息中提供的网域和服务器名称指示(SNI) 信息来过滤工作负载流量。
由于网址过滤服务会检查 HTTP 消息标头,因此即使目标服务器托管了您不想屏蔽的可信网站,或者基于 DNS 的访问限制无效,您也可以使用该服务来屏蔽对特定网域的访问。您可以将网址过滤服务与入侵检测和防御服务搭配使用,以拒绝流向恶意网址的流量、阻止对恶意命令和控制 (C2) 服务器的访问,并检测可执行文件中的恶意软件。
Cloud NGFW 网址过滤服务的工作原理是创建 Google 管理的可用区级防火墙端点,这些端点使用 Google Cloud的数据包拦截技术来重定向和检查流量,以查找与配置的网域名称和 SNI 列表的匹配项。
数据包拦截是一项 Google Cloud 功能,可透明地将网络设备插入所选网络流量的路径,而无需修改其现有路由政策。
使用网址过滤服务的优势
网址过滤服务可帮助您减少因 IP 地址频繁更改、DNS 更改和其他耗时的基于 IP 地址的防火墙更改而导致的维护工作。借助此服务,您可以精确控制可以访问哪些远程网址。与可托管多个服务和网域的 IP 地址相比,它可让您实现更精细的控制。
TLS 检查
网址过滤服务可以处理加密和未加密的流量。对于加密流量,您可以配置 TLS 检查,让网址过滤服务解密邮件标头并检查邮件主机标头中的域名。
然后,网址过滤服务可以使用网域详细信息以及在 TLS 协商期间发送的明文 SNI,与关联安全配置文件定义的已配置网址进行匹配。
如果不进行 TLS 检查,网址过滤服务仍可处理加密的 HTTP(S) 流量,但网址过滤服务仅依赖于 TLS 协商期间来自 clientHello 的 SNI 来进行网址匹配。对于未加密的 HTTP 流量,无论您是否已启用 TLS 检查,网址过滤服务都会使用 HTTP Host 标头进行网址过滤。
Cloud NGFW 仅支持 TLS 拦截和解密,以访问所选加密流量的主机标头中的网域信息。
网址过滤服务会检查入站和出站连接,包括进出互联网的流量以及 Google Cloud中的流量。
如需详细了解 Cloud NGFW 中的 TLS 检查,请参阅 TLS 检查概览。
如需了解如何在 Cloud NGFW 中启用 TLS 检查,请参阅设置 TLS 检查。
网址过滤服务部署模型
下图展示了网址过滤服务部署的示例,其中防火墙端点已针对某个区域中两个不同可用区的 Virtual Private Cloud (VPC) 网络进行了配置。
网址过滤服务的组成部分
网址过滤服务需要您配置三个主要实体。网址过滤安全配置文件及其关联的安全配置文件组、用于接收流量的防火墙端点,以及附加到该端点的防火墙政策。
安全配置文件和安全配置文件组
Cloud NGFW 使用安全配置文件和安全配置文件组来实现网址过滤服务。
网址过滤安全配置文件是类型为
url-filtering的通用政策结构,包含带有匹配器字符串的网址过滤条件。网址过滤服务会使用这些字符串与 HTTP(S) 消息的网域和 SNI 进行匹配。每个网址过滤条件都包含一个匹配器字符串列表、一个唯一优先级和一个操作。如需详细了解网址过滤安全配置文件,请参阅网址过滤安全配置文件。
安全配置文件组充当安全配置文件的容器。每个组都包含一个或多个不同类型的安全配置文件。例如,安全配置文件组可以包含属于
url-filtering和threat-prevention类型的安全配置文件。防火墙政策规则引用安全配置文件组,以针对网络流量启用网址过滤服务或入侵检测和防御服务,或同时启用这两项服务。如需详细了解安全配置文件组,请参阅安全配置文件组概览。
防火墙端点
防火墙端点是一种组织级资源,在可用区级层创建,可以检查部署在同一可用区中的第 7 层流量。端点与同一可用区中的一个或多个 VPC 相关联。如需过滤目标虚拟机 (VM) 实例的流量,请在目标虚拟机所在的 VPC 的同一可用区中创建防火墙端点。
对于网址过滤服务,防火墙端点会将邮件主机标头中的网域或在 TLS 协商期间获得的 SNI(针对未进行 TLS 检查的加密流量)与网址过滤安全配置文件中的网址过滤条件进行匹配。如果端点检测到匹配项,则会对连接执行与网址过滤条件关联的操作。此操作可以是默认操作,也可以是网址过滤安全配置文件中的已配置操作。
如需详细了解防火墙端点及其配置方式,请参阅防火墙端点概览。
防火墙政策
防火墙政策直接应用于虚拟机的全部入站和出站流量。您可以使用分层防火墙政策和全球网络防火墙政策来为防火墙政策规则配置第 7 层检查。
防火墙政策规则
通过防火墙政策规则,您可以控制要拦截和检查的流量类型。如需配置网址过滤服务,请创建防火墙政策规则,以执行以下操作:
- 使用多个第 3 层和第 4 层防火墙政策规则组件来确定要检查的流量类型。
- 为匹配流量的
apply_security_profile_group操作指定安全配置文件组名称。
如需查看完整的网址过滤服务工作流,请参阅配置网址过滤服务。
您还可以在防火墙规则中使用安全标记来配置网址过滤服务。您可以在网络中使用标记,基于已设置的任何细分进行构建,并增强流量检查逻辑以包含网址过滤服务。
网址过滤服务的工作原理
网址过滤服务按以下顺序处理 HTTP(S) 流量:
网址过滤服务会将防火墙政策规则应用于进出网络中的虚拟机 (VM) 实例或 Google Kubernetes Engine (GKE) 集群的流量。
网址过滤服务会拦截匹配的流量,并将其发送到防火墙端点以进行第 7 层检查。
对于启用了 TLS 检查的加密流量,网址过滤服务会解密邮件标头,并使用主机标头中指定的网域以及在 TLS 协商期间发送的 SNI 来检查是否与配置的网址匹配。
如果流量已加密,但未启用 TLS 检查,邮件标头将保持加密状态。相反,网址过滤服务会在 TLS 协商期间使用 SNI 中指定的网域。
对于未加密的流量,网址过滤服务始终使用主机标头中指定的网域来检查是否存在匹配项。
如果网址信息匹配,网址过滤服务会对相应连接执行安全配置文件中配置的操作。
如果网址过滤服务允许出站流量,入侵检测与防御服务(如果已启用)可以进一步扫描流量以查找威胁。
限制
网址过滤仅支持
http/1.x和http/2。在启用 TLS 检查的情况下,它不支持 QUIC、加密的 SNI (ESNI) 或 Encrypted Client Hello (ECH)。如果您启用 TLS 检查,Cloud NGFW 将不会传递 QUIC、ESNI 或 ECH 流量。不过,如果您停用 TLS 检查,Cloud NGFW 会传递此类流量,但无法访问网域和 SNI 信息。在这种情况下,仅当存在明确的允许网址过滤条件时,Cloud NGFW 才允许 QUIC、ESNI 和 ECH 流量。在没有明确的允许过滤条件的情况下,默认的隐式拒绝网址过滤条件会阻止 QUIC、ESNI 和 ECH 流量。如需详细了解显式允许和隐式拒绝网址过滤条件,请参阅隐式拒绝网址过滤条件。