URL-Filterdienst konfigurieren

Mit dem URL-Filterdienst können Sie den Zugriff auf bestimmte Webdomains steuern, indem Sie sie blockieren oder zulassen. Damit Sie den URL-Filterdienst in Ihrem Netzwerk aktivieren können, müssen Sie mehrere Cloud Next Generation Firewall-Komponenten einrichten, darunter Firewall-Endpunkte, Sicherheitsprofile und Sicherheitsprofilgruppen. Dieses Dokument bietet einen allgemeinen Workflow, der beschreibt, wie diese Komponenten konfiguriert und der URL-Filterdienst aktiviert wird.

Weitere Informationen zum URL-Filterdienst finden Sie unter URL-Filterdienst – Übersicht.

URL-Filterdienst ohne TLS-Prüfung konfigurieren

Führen Sie die folgenden Aufgaben aus, um den URL-Filterdienst in Ihrem Netzwerk zu konfigurieren.

1. Erstellen Sie ein Sicherheitsprofil für die URL-Filterung.

   Wenn Sie den Zugriff auf bestimmte Domains zulassen oder verweigern möchten, erstellen Sie ein Sicherheitsprofil vom Typ url-filtering und geben Sie die Matcher-Strings in URL-Listen an.

   Weitere Informationen finden Sie unter Sicherheitsprofil für die URL-Filterung erstellen.

2. Optional können Sie ein Sicherheitsprofil erstellen, um den Traffic auf Bedrohungen zu scannen.

   Wenn Sie den Traffic auf Sicherheitsrisiken prüfen möchten, erstellen Sie ein weiteres Sicherheitsprofil vom Typ threat-prevention. Sehen Sie sich die Liste der Bedrohungssignaturen an, bewerten Sie die Standardantworten und passen Sie die Aktionen für die ausgewählten Signaturen nach Bedarf an.

   Weitere Informationen finden Sie unter Sicherheitsprofil zur Gefahrenabwehr erstellen. Weitere Informationen zum Dienst zur Einbruchserkennung und ‑vermeidung finden Sie unter Dienst zur Einbruchserkennung und ‑vermeidung.

3. Erstellen Sie eine Sicherheitsprofilgruppe.

   Eine Sicherheitsprofilgruppe ist ein Container für Sicherheitsprofile. Erstellen Sie eine Sicherheitsprofilgruppe mit den Sicherheitsprofilen, die Sie in den vorherigen Schritten erstellt haben.

   Weitere Informationen finden Sie unter Sicherheitsprofilgruppe erstellen.

4. Erstellen Sie einen Firewall-Endpunkt.

   Ein Firewall-Endpunkt ist eine zonale Ressource, die Sie in derselben Zone wie die Arbeitslast erstellen müssen, die Sie mit dem URL-Filterdienst schützen möchten.

   Weitere Informationen finden Sie unter Firewall-Endpunkt erstellen.

5. Verknüpfen Sie den Firewall-Endpunkt mit Ihren VPC-Netzwerken.

   Um den URL-Filterdienst zu aktivieren, verknüpfen Sie den Firewall-Endpunkt mit Ihren VPC-Netzwerken. Achten Sie darauf, dass Sie Ihre Arbeitslasten in derselben Zone wie den Firewall-Endpunkt ausführen.

   Weitere Informationen finden Sie unter Firewall-Endpunktzuordnungen erstellen.

6. Konfigurieren Sie den URL-Filterdienst und wenden Sie ihn auf Ihren Netzwerkverkehr an.

   Wenn Sie den URL-Filterdienst konfigurieren möchten, erstellen Sie eine globale Netzwerk-Firewallrichtlinie oder eine hierarchische Firewallrichtlinie mit Layer‑7-Prüfung.

   • Wenn Sie eine neue globale Firewallrichtlinie erstellen oder eine vorhandene verwenden, fügen Sie eine Firewallrichtlinienregel mit der Aktion apply_security_profile_group hinzu und geben Sie den Namen der Sicherheitsprofilgruppe an, die Sie zuvor erstellt haben. Achten Sie darauf, dass die Firewallrichtlinie demselben VPC-Netzwerk zugeordnet ist wie die Arbeitslasten, die geprüft werden müssen.

     Weitere Informationen finden Sie unter Globale Netzwerk-Firewallrichtlinie erstellen und Globale Netzwerk-Firewallregeln erstellen.

   • Wenn Sie eine neue hierarchische Firewallrichtlinie erstellen oder eine vorhandene verwenden, fügen Sie eine Firewallrichtlinienregel mit der Aktion apply_security_profile_group hinzu. Achten Sie darauf, dass die Firewallrichtlinie demselben VPC-Netzwerk zugeordnet ist wie die Arbeitslasten, die geprüft werden müssen.

     Weitere Informationen finden Sie unter Firewallregeln erstellen.

URL-Filterdienst mit TLS-Prüfung konfigurieren

Führen Sie die folgenden Aufgaben aus, um den URL-Filterdienst mit TLS-Prüfung (Transport Layer Security) in Ihrem Netzwerk zu konfigurieren.

1. Erstellen Sie ein Sicherheitsprofil für die URL-Filterung.

   Wenn Sie den Zugriff auf bestimmte Domains zulassen oder verweigern möchten, erstellen Sie ein Sicherheitsprofil vom Typ url-filtering und geben Sie die Matcher-Strings in URL-Listen an.

   Weitere Informationen finden Sie unter Sicherheitsprofil für die URL-Filterung erstellen.

2. Optional können Sie ein Sicherheitsprofil erstellen, um den Traffic auf Bedrohungen zu scannen.

   Wenn Sie den Traffic auf Sicherheitsrisiken prüfen möchten, erstellen Sie ein weiteres Sicherheitsprofil vom Typ threat-prevention. Sehen Sie sich die Liste der Bedrohungssignaturen an, bewerten Sie die Standardantworten und passen Sie die Aktionen für die ausgewählten Signaturen nach Bedarf an.

   Weitere Informationen finden Sie unter Sicherheitsprofil zur Gefahrenabwehr erstellen. Weitere Informationen zum Dienst zur Einbruchserkennung und ‑vermeidung finden Sie unter Dienst zur Einbruchserkennung und ‑vermeidung.

3. Erstellen Sie eine Sicherheitsprofilgruppe.

   Eine Sicherheitsprofilgruppe ist ein Container für Sicherheitsprofile. Erstellen Sie eine Sicherheitsprofilgruppe mit den Sicherheitsprofilen, die Sie in den vorherigen Schritten erstellt haben.

   Weitere Informationen finden Sie unter Sicherheitsprofilgruppe erstellen.

4. Erstellen Sie einen Firewall-Endpunkt.

   Ein Firewall-Endpunkt ist eine zonale Ressource, die Sie in derselben Zone wie die Arbeitslast erstellen müssen, die Sie mit dem URL-Filterdienst schützen möchten.

   Weitere Informationen finden Sie unter Firewall-Endpunkt erstellen.

5. Ressourcen zum Untersuchen von verschlüsseltem Traffic erstellen und konfigurieren

   1. Erstellen Sie einen CA-Pool.

      Ein Zertifizierungsstellenpool ist eine Sammlung von Zertifizierungsstellen mit einer gemeinsamen Richtlinie für das Ausstellen von Zertifikaten sowie einer IAM-Richtlinie (Identity and Access Management). Ein regionaler CA-Pool muss vorhanden sein, bevor Sie die TLS-Prüfung konfigurieren können.

      Weitere Informationen finden Sie unter CA-Pool erstellen.

   2. Erstellen Sie eine Stamm-CA.

      Wenn Sie die TLS-Prüfung verwenden möchten, benötigen Sie mindestens eine Stammzertifizierungsstelle. Die Stammzertifizierungsstelle signiert eine Zwischen-CA, die dann alle Blattzertifikate für die Clients signiert. Weitere Informationen finden Sie in der Referenzdokumentation zum gcloud privateca roots create-Befehl.

   3. Erteilen Sie die erforderlichen Berechtigungen für den Dienst-Agent für Netzwerksicherheit (P4SA).

      Cloud NGFW benötigt ein P4SA, um Zwischen-CAs für die TLS-Prüfung zu generieren. Der Dienst-Agent benötigt die erforderlichen Berechtigungen zum Anfordern von Zertifikaten für den CA-Pool.

      Weitere Informationen finden Sie unter Dienstkonto erstellen.

6. Erstellen Sie eine regionale TLS-Prüfungsrichtlinie.

   In einer TLS-Prüfungsrichtlinie wird festgelegt, wie verschlüsselter Traffic abgefangen wird. Eine regionale TLS-Prüfungsrichtlinie kann die Konfigurationen für die TLS-Prüfung enthalten.

   Weitere Informationen finden Sie unter TLS-Prüfungsrichtlinie erstellen.

7. Verknüpfen Sie den Firewall-Endpunkt mit Ihren VPC-Netzwerken.

   Um den URL-Filterdienst zu aktivieren, verknüpfen Sie den Firewall-Endpunkt mit Ihren VPC-Netzwerken. Achten Sie darauf, dass Sie Ihre Arbeitslasten in derselben Zone wie den Firewall-Endpunkt ausführen.

   Verknüpfen Sie den Firewall-Endpunkt außerdem mit einer TLS-Prüfungsrichtlinie.

   Weitere Informationen finden Sie unter Firewall-Endpunktzuordnungen erstellen.

8. Konfigurieren Sie den URL-Filterdienst und wenden Sie ihn auf Ihren Netzwerkverkehr an.

   Wenn Sie den URL-Filterdienst konfigurieren möchten, erstellen Sie eine globale Netzwerk-Firewallrichtlinie oder eine hierarchische Firewallrichtlinie mit Layer‑7-Prüfung.

   • Wenn Sie eine neue globale Firewallrichtlinie erstellen oder eine vorhandene verwenden, fügen Sie eine Firewallrichtlinienregel mit der Aktion apply_security_profile_group hinzu und geben Sie den Namen der Sicherheitsprofilgruppe an, die Sie zuvor erstellt haben. Achten Sie darauf, dass die Firewallrichtlinie demselben VPC-Netzwerk zugeordnet ist wie die Arbeitslasten, die geprüft werden müssen.

     Weitere Informationen finden Sie unter Globale Netzwerk-Firewallrichtlinie erstellen und Globale Netzwerk-Firewallrichtlinienregeln erstellen.

   • Wenn Sie eine neue hierarchische Firewallrichtlinie erstellen oder eine vorhandene verwenden, fügen Sie eine Firewallrichtlinienregel mit der konfigurierten Aktion apply_security_profile_group hinzu. Achten Sie darauf, dass die Firewallrichtlinie demselben VPC-Netzwerk zugeordnet ist wie die Arbeitslasten, die geprüft werden müssen.

     Weitere Informationen finden Sie unter Firewallregeln erstellen.

Beispiel für ein Bereitstellungsmodell

Das folgende Diagramm zeigt ein Beispiel für die Bereitstellung des URL-Filterdienstes mit mehreren Firewall-Endpunkten, die für zwei VPC-Netzwerke in derselben Region, aber in zwei verschiedenen Zonen konfiguriert wurden.

Die Beispielbereitstellung hat die folgende Konfiguration:

1. Zwei Sicherheitsprofilgruppen:

   1. Security profile group 1 mit Sicherheitsprofil Security profile 1.

   2. Security profile group 2 mit Sicherheitsprofil Security profile 2.

2. Die Kunden-VPC 1 (VPC 1) hat eine Firewallrichtlinie, bei der die Sicherheitsprofilgruppe auf Security profile group 1 gesetzt ist.

3. Die Kunden-VPC 2 (VPC 2) hat eine Firewallrichtlinie, bei der die Sicherheitsprofilgruppe auf Security profile group 2 gesetzt ist.

4. Der Firewall-Endpunkt Firewall endpoint 1 führt eine URL-Filterung für Arbeitslasten durch, die in VPC 1 und VPC 2 in der Zone us-west1-a ausgeführt werden.

5. Der Firewall-Endpunkt Firewall endpoint 2 führt die URL-Filterung durch, wenn die TLS-Prüfung für Arbeitslasten aktiviert ist, die in VPC 1 und VPC 2 in Zone us-west1-b ausgeführt werden.

Nächste Schritte

• Sicherheitsprofile
• Sicherheitsprofilgruppen
• Firewall-Endpunkte