配置网址过滤服务

借助网址过滤服务,您可以屏蔽或允许特定网域,从而控制对这些网域的访问权限。如需在网络中启用网址过滤服务,您必须设置多个 Cloud 新一代防火墙组件,包括防火墙端点、安全配置文件和安全配置文件组。本文档简要介绍配置这些组件以及启用网址过滤服务的工作流。

如需详细了解网址过滤服务,请参阅网址过滤服务概览

配置没有 TLS 检查的网址过滤服务

如需在网络中配置网址过滤服务,请执行以下任务。

  1. 创建用于网址过滤的安全配置文件。

    如需允许或拒绝访问特定网域,请创建类型为 url-filtering 的安全配置文件,并使用网址列表指定匹配器字符串。

    如需了解详情,请参阅创建网址过滤安全配置文件

  2. 您可以选择创建安全配置文件,以扫描流量中是否存在威胁。

    如需扫描流量以查找安全威胁,请创建另一个类型为 threat-prevention 的安全配置文件。查看威胁签名列表,评估默认响应,然后根据您的要求为所选签名自定义操作。

    如需了解详情,请参阅创建威胁防范安全配置文件。 如需详细了解入侵检测与防御服务,请参阅入侵检测与防御服务概览

  3. 创建安全配置文件组。

    安全配置文件组用作安全配置文件的容器。创建一个安全配置文件组,以包含您在之前步骤中创建的安全配置文件。

    如需了解详情,请参阅创建安全配置文件组

  4. 创建防火墙端点。

    防火墙端点是一种可用区级资源,您必须在要使用网址过滤服务保护的工作负载所在的可用区中创建该资源。

    如需了解详情,请参阅创建防火墙端点

  5. 将防火墙端点与您的 VPC 网络相关联。

    如需启用网址过滤服务,请将防火墙端点与您的 VPC 网络相关联。确保您的工作负载在防火墙端点所在的可用区中运行。

    如需了解详情,请参阅创建防火墙端点关联

  6. 配置网址过滤服务并将其应用于网络流量。

    如需配置网址过滤服务,请创建可执行第 7 层检查的全球网络防火墙政策分层防火墙政策

    • 如果您创建新的全球防火墙政策或使用现有政策,请添加具有 apply_security_profile_group 操作的防火墙政策规则,并指定您之前创建的安全配置文件组的名称。确保防火墙政策与需要检查的工作负载所在的 VPC 网络相关联。

      如需了解详情,请参阅创建全球网络防火墙政策创建全球网络防火墙规则

    • 如果您创建新的分层防火墙政策或使用现有政策,请添加具有 apply_security_profile_group 操作的防火墙政策规则。确保防火墙政策与需要检查的工作负载所在的 VPC 网络相关联。

      如需了解详情,请参阅创建防火墙规则

配置具有 TLS 检查的网址过滤服务

如需在网络中配置具有传输层安全协议 (TLS) 检查的网址过滤服务,请执行以下任务。

  1. 创建用于网址过滤的安全配置文件。

    如需允许或拒绝访问特定网域,请创建类型为 url-filtering 的安全配置文件,并使用网址列表指定匹配器字符串。

    如需了解详情,请参阅创建网址过滤安全配置文件

  2. 您可以选择创建安全配置文件,以扫描流量中是否存在威胁。

    如需扫描流量以检测安全威胁,请创建另一个类型为 threat-prevention 的安全配置文件。查看威胁签名列表,评估默认响应,然后根据您的要求为所选签名自定义操作。

    如需了解详情,请参阅创建威胁防范安全配置文件。 如需详细了解入侵检测与防御服务,请参阅入侵检测与防御服务概览

  3. 创建安全配置文件组。

    安全配置文件组用作安全配置文件的容器。创建一个安全配置文件组,以包含您在之前步骤中创建的安全配置文件。

    如需了解详情,请参阅创建安全配置文件组

  4. 创建防火墙端点。

    防火墙端点是一种可用区级资源,您必须在要使用网址过滤服务保护的工作负载所在的可用区中创建该资源。

    如需了解详情,请参阅创建防火墙端点

  5. 创建和配置资源以检查加密流量。

    1. 创建证书授权机构 (CA) 池。

      CA 池是包含多个 CA 的集合,它具有通用证书颁发政策和 Identity and Access Management (IAM) 政策。您必须先创建区域级 CA 池,然后才能配置 TLS 检查。

      如需了解详情,请参阅创建 CA 池

    2. 创建根 CA。

      如需使用 TLS 检查,您必须至少有一个根 CA。根 CA 对中间 CA 进行签名,然后由中间 CA 对客户端的所有叶证书进行签名。如需了解详情,请参阅 gcloud privateca roots create 命令的参考文档。

    3. 向网络安全服务代理 (P4SA) 授予必要的权限。

      Cloud NGFW 需要 P4SA 才能生成用于 TLS 检查的中间 CA。服务代理需要具有请求 CA 池证书所需的权限。

      如需了解详情,请参阅创建服务账号

  6. 创建区域级 TLS 检查政策。

    TLS 检查政策用于指定如何拦截加密流量。区域级 TLS 检查政策可以包含 TLS 检查的配置。

    如需了解详情,请参阅创建 TLS 检查政策

  7. 将防火墙端点与您的 VPC 网络相关联。

    如需启用网址过滤服务,请将防火墙端点与您的 VPC 网络相关联。确保您的工作负载在防火墙端点所在的可用区中运行。

    此外,将防火墙端点与 TLS 检查政策相关联。

    如需了解详情,请参阅创建防火墙端点关联

  8. 配置网址过滤服务并将其应用于网络流量。

    如需配置网址过滤服务,请创建可执行第 7 层检查的全球网络防火墙政策分层防火墙政策

    • 如果您创建新的全球防火墙政策或使用现有政策,请添加具有 apply_security_profile_group 操作的防火墙政策规则,并指定您之前创建的安全配置文件组的名称。确保防火墙政策与需要检查的工作负载所在的 VPC 网络相关联。

      如需了解详情,请参阅创建全球网络防火墙政策创建全球网络防火墙政策规则

    • 如果您创建新的分层防火墙政策或使用现有政策,请添加配置了 apply_security_profile_group 操作的防火墙政策规则。确保防火墙政策与需要检查的工作负载所在的 VPC 网络相关联。

      如需了解详情,请参阅创建防火墙规则

部署模型示例

下图展示了网址过滤服务部署的示例,其中包含多个防火墙端点,并为位于同一区域中不同可用区的两个 VPC 网络配置了该服务。

在一个区域中部署网址过滤服务。
在某个区域中部署网址过滤服务(点击可放大)。

示例部署具有以下配置:

  1. 两个安全配置文件组:

    1. Security profile group 1 替换为安全配置文件 Security profile 1

    2. Security profile group 2 替换为安全配置文件 Security profile 2

  2. 使用方 VPC 1 (VPC 1) 具有安全配置文件组设置为 Security profile group 1 的防火墙政策。

  3. 使用方 VPC 2 (VPC 2) 具有安全配置文件组设置为 Security profile group 2 的防火墙政策。

  4. 防火墙端点 Firewall endpoint 1 对可用区 us-west1-a 中的 VPC 1VPC 2 上运行的工作负载执行网址过滤。

  5. 防火墙端点 Firewall endpoint 2 对可用区 us-west1-b 中的 VPC 1VPC 2 上运行的工作负载执行启用了 TLS 检查的网址过滤。

后续步骤