Sicherheitsprofile für die URL-Filterung erstellen und verwalten

Auf dieser Seite wird erläutert, wie Sie Sicherheitsprofile vom Typ url-filtering mit der Google Cloud -Konsole und der Google Cloud CLI erstellen und verwalten.

Vorbereitung

Rollen

Bitten Sie Ihren Administrator, Ihnen die erforderlichen IAM-Rollen in Ihrer Organisation zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aufrufen, Aktualisieren oder Löschen von Sicherheitsprofilen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sicherheitsprofil für die URL-Filterung erstellen

Wenn Sie ein Sicherheitsprofil für die URL-Filterung (Sicherheitsprofil vom Typ url-filtering) erstellen, können Sie den Namen des Sicherheitsprofils als String oder als eindeutige URL-ID angeben. Die eindeutige URL für ein organisationsbezogenes Sicherheitsprofil kann im folgenden Format erstellt werden:

organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME

Wenn Sie eine eindeutige URL-ID für den Namen des Sicherheitsprofils verwenden, sind die Organisation und der Standort des Sicherheitsprofils bereits in der URL-ID enthalten. Wenn Sie jedoch nur den Namen des Sicherheitsprofils verwenden, müssen Sie die Organisation und den Standort separat angeben. Weitere Informationen zu eindeutigen URL-Kennungen finden Sie unter Spezifikationen für Sicherheitsprofile.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.

    Zu „Sicherheitsprofile“

  2. Wählen Sie im Menü „Projektauswahl“ Ihre Organisation aus.

  3. Wählen Sie den Tab Sicherheitsprofile aus.

  4. Klicken Sie auf Profil erstellen.

  5. Geben Sie in das Feld Name einen Namen ein.

  6. Optional: Geben Sie im Feld Beschreibung eine Beschreibung ein.

  7. Wenn Sie ein Cloud Next Generation Firewall Enterprise-Sicherheitsprofil erstellen möchten, wählen Sie im Bereich Zweck die Option Cloud NGFW Enterprise aus.

  8. Wenn Sie ein Sicherheitsprofil für die URL-Filterung erstellen möchten, wählen Sie im Bereich Typ die Option URL-Filterung aus.

  9. Klicken Sie im Abschnitt URL-Filter auf die Schaltfläche URL-Filter erstellen.

  10. Geben Sie im Bereich URL-Filter erstellen die folgenden Details an:

    • Priorität: Geben Sie die Priorität des URL-Filters an.
    • Aktion: Geben Sie die Aktion an, die Cloud NGFW für den Traffic ausführt.
      • Zulassen: Ermöglicht die Verbindungen, die einer URL entsprechen.
      • Ablehnen: Die Verbindungen, die einer URL entsprechen, werden abgelehnt.
    • URL-Liste: Geben Sie eine Liste von URLs oder Abgleichstrings an. Jeder URL- oder Matcher-String-Eintrag muss in einer eigenen Zeile ohne Leer- oder Trennzeichen stehen. Jeder Eintrag kann nur aus einer Domain bestehen. Weitere Informationen zu den Matcher-Strings finden Sie unter Matcher-Strings für URLs.

  11. Klicken Sie auf Erstellen.

gcloud

  1. Erstellen Sie eine YAML-Datei mit folgendem Inhalt:

    name: NAME
type: PROFILE_TYPE
urlFilteringProfile:
urlFilters:
  - filteringAction: ACTION
    priority: PRIORITY
    urls: URL[,URL,...]

    Ersetzen Sie Folgendes:

    • NAME: der Name des Sicherheitsprofils für die URL-Filterung. Sie können den Namen als String oder als eindeutige URL-ID angeben.

    • PROFILE_TYPE: der Typ des Sicherheitsprofils, entweder url-filtering oder threat-prevention.

    • ACTION: Wählen Sie eine der folgenden Aktionen aus:

      • allow: lässt Verbindungen zu, die mit einer URL übereinstimmen
      • deny: lehnt Verbindungen ab, die mit einer URL übereinstimmen

    • PRIORITY: Priorität eines URL-Filters zwischen 0 und 2147483647.

    • URLs: Eine durch Kommas getrennte Liste von Matcher-Strings. Beispiel: www.example.com und www.altostrat.com.

  2. Führen Sie den gcloud network-security security-profiles import-Befehl aus, um das Sicherheitsprofil für die URL-Filterung zu erstellen:

    gcloud network-security security-profiles import NAME \
    --location LOCATION \
    --source FILE_NAME \
    --organization = ORGANIZATION_ID

    Alternativ können Sie ein Sicherheitsprofil für die URL-Filterung ohne YAML-Datei mit dem Befehl gcloud network-security security-profiles url-filtering create erstellen:

    gcloud network-security security-profiles url-filtering create NAME \
    --location LOCATION \
    --organization ORGANIZATION_ID \
    --description DESCRIPTION

    Ersetzen Sie Folgendes:

    • NAME: der Name des Sicherheitsprofils für die URL-Filterung. Sie können den Namen als String oder als eindeutige URL-ID angeben.

      Wenn Sie eine eindeutige URL-ID für das Flag NAME verwenden, können Sie die Flags LOCATION und ORGANIZATION weglassen.

    • LOCATION: der Standort des Sicherheitsprofils für die URL-Filterung.

      Der Standort ist immer auf global festgelegt. Wenn Sie eine eindeutige URL-ID für das Flag NAME verwenden, können Sie das Flag LOCATION weglassen.

    • FILE_NAME: der Name der YAML-Datei. Beispiel: url-filtering-sp.yaml

    • ORGANIZATION_ID: die Organisation, in der das Sicherheitsprofil für die URL-Filterung erstellt wird. Wenn Sie eine eindeutige URL-ID für das Flag name verwenden, können Sie das Flag ORGANIZATION_ID weglassen.

    • DESCRIPTION: eine optionale Beschreibung für das Sicherheitsprofil für die URL-Filterung.

    Das folgende Code-Snippet zeigt beispielsweise ein Sicherheits-Profil für die URL-Filterung, das Anfragen an www.example.com und www.altostrat.com zulässt, Anfragen an alle anderen Domains jedoch ablehnt:

    url_filtering_profile:
url_filters:
  - filtering_action: ALLOW
    priority: 1000
    urls: ['www.example.com', 'www.altostrat.com']
  # the following URL filter is implicit and will be processed last
  - filtering_action: DENY
    priority: 2147483647
    urls: ['*']

URL-Filter mit impliziter Ablehnung

Das Sicherheitsprofil für die URL-Filterung enthält immer einen Standard-URL-Filter mit der niedrigsten Priorität (2147483647), der alle Verbindungen ablehnt, die nicht mit den URL-Filtern mit höherer Priorität übereinstimmen. Das folgende Code-Snippet zeigt ein Beispiel für den URL-Filter „Implizit verweigern“:

  url_filtering_profile:
  url_filters:
    # user-specified URL filters
    - filtering_action: DENY
      priority: 1000
      urls: ['www.example.com','www.altostrat.com']
    - filtering_action: ALLOW
      priority: 2000
      urls: ['www.example.org','www.example.net']
    # implicit deny URL filter that will be processed last
    - filtering_action: DENY
      priority: 2147483647
      urls: ['*']

Sie können den URL-Filter für die implizite Ablehnung sehen, wenn Sie ein Sicherheitsprofil für URL-Filter aufrufen oder exportieren. Der implizite Filter kann nicht geändert oder entfernt werden. Wenn Sie beispielsweise die Standardaktion eines Profils von DENY (durch impliziten Filter erzwungen) in ALLOW ändern möchten, müssen Sie einen expliziten Filter hinzufügen, den Cloud NGFW vor dem impliziten Filter verarbeitet.

  url_filtering_profile:
  url_filters:
    # user-specified filters
    - filtering_action: DENY
      priority: 1000
      urls: ['www.example.com','www.altostrat.com']
    # explicit allow URL filter that you can add
    - filtering_action: ALLOW
      priority: 2000
      urls: ['*']
    # implicit deny URL filter that will be processed last
    - filtering_action: DENY
      priority: 2147483647
      urls: ['*']

Matcher-Strings für URLs

Matcher-Strings sind die Werte, die Sie im Feld urls eines URL-Filters angeben. Sie können einen oder mehrere Abgleichstrings in einem URL-Filter angeben.

Platzhalter

Jeder Abgleichstring in einer URL-Liste unterstützt ein Platzhalterzeichen (*) in begrenztem Umfang.

  • Jeder Abgleichstring darf nur ein einzelnes Sternchen (*) enthalten, das entweder das erste oder das einzige Zeichen ist.

  • Das Sternchen (*) kann die folgenden Bedeutungen haben:

    • Ein Sternchen (*) vor einem Punkt (.) gibt alle Subdomains der Domain an.

      Beispiel: Der Abgleichstring *.example.com stimmt mit a.example.com und a.b.c.example.com überein, aber nicht mit example.com.

      url_filtering_profile:
url_filters:
  # user-specified filters
  - filtering_action: ALLOW
    priority: 1000
    urls: ['*.example.com']
  # implicit deny URL filter that will be processed last
  - filtering_action: DENY
    priority: 2147483647
    urls: ['*']

      Im vorherigen Beispiel lässt Cloud NGFW Traffic zu den Subdomains von example.com zu, lehnt aber den restlichen ausgehenden Traffic ab.

    • Ein Sternchen (*) vor einem Label gibt die Domain und alle Subdomains an.

      Beispiel: Der Abgleichstring *example.com stimmt mit a.example.com, a.b.c.example.com und example.com überein.

      url_filtering_profile:
url_filters:
  # user-specified filters
  - filtering_action: ALLOW
    priority: 1000
    urls: ['*example.com']
  # implicit deny URL filter that will be processed last
  - filtering_action: DENY
    priority: 2147483647
    urls: ['*']

      Im vorherigen Beispiel lässt Cloud NGFW Traffic zu example.com sowie zu den Subdomains von example.com zu, lehnt aber den restlichen ausgehenden Traffic ab.

    • Cloud NGFW interpretiert das Sternchen (*) nicht als Platzhalter für reguläre Ausdrücke.

      Beispiel: *example.test stimmt nicht mit newexample.test oder a.newexample.test überein. Der Abgleichstring stimmt nur mit example.test und den Subdomains von example.test überein.

    • Ein einzelnes Sternchen (*) ohne andere Zeichen gibt an, dass alle Anfragen übereinstimmen.

      Der Abgleichstring im URL-Filter mit expliziter Zulassung und der niedrigsten Priorität enthält beispielsweise nur ein Sternchen (*) und hat die Aktion ALLOW, die die Standardaktion DENY überschreibt. Das liegt daran, dass der URL-Filter „Implizit verweigern“ die Standardeinstellung DENY für alle Anfragen erzwingt, die nicht mit URL-Filtern mit höherer Priorität übereinstimmen.

      Der URL-Filter mit der höchsten Priorität – entweder ein expliziter ALLOW oder ein impliziter DENY – bestimmt, ob Cloud NGFW Verbindungen zulässt oder ablehnt, wenn keine SNI- oder Domaininformationen vorhanden sind. Dies kann bei unverschlüsseltem HTTP-Traffic oder bei deaktivierter TLS-Prüfung für verschlüsselte Nachrichtenheader passieren.

      url_filtering_profile:
url_filters:
  # user-specified filters
  - filtering_action: DENY
    priority: 1000
    urls: ['www.example.com','www.altostrat.com']
  # explicit allow URL filter that you can add
  - filtering_action: ALLOW
    priority: 2000
    urls: ['*']
  # implicit deny URL filter that will be processed last
  - filtering_action: DENY
    priority: 2147483647
    urls: ['*']

Beschränkungen

  • Matcher-Strings stellen entweder Domains oder Subdomains dar.
  • Abgleichstrings dürfen keinen Schrägstrich (/) enthalten. Beispiel: www.example.com/images.
  • Abgleichstrings unterstützen keine Schemas oder Protokollnamen. Beispiel: http://www.example.com.
  • Abgleichstrings unterstützen keine Portnummern. Beispiel: www.example.com:80.
  • Abgleichstrings unterstützen nur ASCII-Buchstaben, Ziffern und Sonderzeichen: Bindestrich (-), Punkt (.) und Sternchen (*).

Domainnamen, die andere Zeichen als ASCII-Buchstaben, Ziffern, Bindestriche (-), Punkte (.) oder Sternchen (*) enthalten, müssen mit Punycode konvertiert werden. Punycode ist ein Codierungsstandard, der Unicode-Domainnamen in ein ASCII-kompatibles Format umwandelt.

  • Wenn Sie zwei oder mehr Labels haben, trennen Sie sie durch Punkte (.). Ein Label kann einen oder mehrere Bindestriche (-) enthalten, darf aber nicht mit einem Bindestrich beginnen oder enden. Jedes Label kann maximal 63 Zeichen enthalten.

  • In einem URL-Filter kann kein Punkt am Anfang eines Domainnamens oder aufeinanderfolgende Punkte in einem Abgleichstring verwendet werden. Ein URL-Filter kann nachgestellte Punkte enthalten, Cloud NGFW entfernt diese jedoch vor dem Speichern eines URL-Filters.

  • Cloud NGFW konvertiert die Abgleichstrings in Kleinbuchstaben, bevor der URL-Filter gespeichert wird. Cloud NGFW führt keine andere Normalisierung durch.

  • Jeder Domainname darf maximal 255 Zeichen enthalten.

Sicherheitsprofil für die URL-Filterung ansehen

Sie können die Details eines bestimmten Sicherheitsprofils für die URL-Filterung in einer Organisation aufrufen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.

    Zu „Sicherheitsprofile“

  2. Wählen Sie den Tab Sicherheitsprofile aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofile.

  3. Klicken Sie auf ein Sicherheitsprofil vom Typ URL-Filterung, um die Profildetails aufzurufen.

gcloud

Wenn Sie die Details eines Sicherheitsprofils für die URL-Filterung aufrufen möchten, verwenden Sie den Befehl gcloud network-security security-profiles url-filtering describe:

gcloud network-security security-profiles url-filtering describe NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \

Ersetzen Sie Folgendes:

  • NAME: der Name des Sicherheitsprofils vom Typ url-filtering, das Sie beschreiben möchten. Sie können den Namen als String oder als eindeutige URL-ID angeben.

  • ORGANIZATION_ID: die Organisation, in der das Sicherheitsprofil für die URL-Filterung erstellt wird. Wenn Sie eine eindeutige URL-ID für das Flag NAME verwenden, können Sie das Flag ORGANIZATION_ID weglassen.

  • LOCATION: der Standort des Sicherheitsprofils für die URL-Filterung. Der Standort ist immer auf global festgelegt. Wenn Sie eine eindeutige URL-ID für das Flag NAME verwenden, können Sie das Flag LOCATION weglassen.

Sicherheitsprofile für die URL-Filterung auflisten

Sie können alle Sicherheitsprofile für die URL-Filterung in einer Organisation auflisten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.

    Zu „Sicherheitsprofile“

  2. Wählen Sie den Tab Sicherheitsprofile aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofile.

gcloud

Verwenden Sie den Befehl gcloud network-security security-profiles url-filtering list, um alle Sicherheitsprofile für die URL-Filterung aufzulisten:

gcloud network-security security-profiles url-filtering list \
    --organization ORGANIZATION_ID \
    --location LOCATION

Ersetzen Sie Folgendes:

  • ORGANIZATION_ID: die Organisation, in der die Sicherheitsprofile für die URL-Filterung erstellt werden.

  • LOCATION: der Standort der Sicherheitsprofile für die URL-Filterung. Der Standort ist immer auf global festgelegt.

URL-Filter-Sicherheitsprofil löschen

Sie können ein Sicherheitsprofil für die URL-Filterung löschen, indem Sie dessen Namen, Standort und Organisation angeben. Wenn jedoch von einer Sicherheitsprofilgruppe auf ein Sicherheitsprofil verwiesen wird, kann dieses nicht gelöscht werden.

Console

  1. Rufen Sie in der Google Cloud Console die Seite Sicherheitsprofile auf.

    Zu „Sicherheitsprofile“

  2. Wählen Sie den Tab Sicherheitsprofile aus. Der Tab enthält eine Liste der konfigurierten Sicherheitsprofile.

  3. Wählen Sie das Sicherheitsprofil aus, das Sie löschen möchten, und klicken Sie dann auf Löschen.

  4. Klicken Sie zum Bestätigen noch einmal auf Löschen.

gcloud

Verwenden Sie den gcloud network-security security-profiles url-filtering delete-Befehl, um ein Sicherheitsprofil für die URL-Filterung zu löschen:

gcloud network-security security-profiles url-filtering delete NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION

Ersetzen Sie Folgendes:

  • NAME: der Name des URL-Filter-Sicherheitsprofils, das Sie löschen möchten. Sie können den Namen als String oder als eindeutige URL-ID angeben.

  • ORGANIZATION_ID: die Organisation, in der das Sicherheitsprofil für die URL-Filterung erstellt wird. Wenn Sie eine eindeutige URL-ID für das Flag NAME verwenden, können Sie das Flag ORGANIZATION_ID weglassen.

  • LOCATION: der Standort des Sicherheitsprofils für die URL-Filterung.

    Der Standort ist immer auf global festgelegt. Wenn Sie eine eindeutige URL-ID für das Flag NAME verwenden, können Sie das Flag LOCATION weglassen.

URL-Filter-Sicherheitsprofil importieren

Sie können ein Sicherheitsprofil für die URL-Filterung (entweder benutzerdefiniert oder zuvor exportiert) aus einer YAML-Datei importieren. Wenn Sie ein Sicherheitsprofil für die URL-Filterung importieren und bereits ein Profil mit demselben Namen vorhanden ist, wird das vorhandene Profil von Cloud NGFW aktualisiert.

gcloud

Verwenden Sie den Befehl gcloud network-security security-profiles import, um ein Sicherheitsprofil für die URL-Filterung aus einer YAML-Datei zu importieren:

gcloud network-security security-profiles import NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --source FILE_NAME

Ersetzen Sie Folgendes:

  • NAME: der Name des Sicherheitsprofils vom Typ url-filtering, das Sie importieren möchten. Sie können den Namen als String oder als eindeutige URL-ID angeben.

    Wenn Sie eine eindeutige URL-ID für das Flag NAME verwenden, können Sie die Flags ORGANIZATION_ID und LOCATION weglassen.

  • ORGANIZATION_ID: die Organisation, in der das Sicherheitsprofil für die URL-Filterung erstellt wird. Wenn Sie eine eindeutige URL-ID für das Flag NAME verwenden, können Sie das Flag ORGANIZATION_ID weglassen.

  • LOCATION: der Standort des Sicherheitsprofils für die URL-Filterung. Der Standort ist immer auf global festgelegt. Wenn Sie eine eindeutige URL-ID für das Flag NAME verwenden, können Sie das Flag LOCATION weglassen.

  • FILE_NAME: der Pfad zur YAML-Datei mit den Konfigurationsexportdaten für das Sicherheitsprofil für die URL-Filterung. Beispiel: url-filtering-sp.yaml.

    Die YAML-Datei darf keine Felder enthalten, die nur zur Ausgabe zulässig sind. Alternativ können Sie das Flag source weglassen, um aus der Standardeingabe zu lesen.

Sicherheitsprofil für die URL-Filterung exportieren

Sie können ein Sicherheits-Profil für die URL-Filterung in eine YAML-Datei exportieren. Anstatt beispielsweise ein großes Sicherheitsprofil über die Benutzeroberfläche zu ändern, können Sie es exportieren, schnell ändern und wieder importieren.

gcloud

Verwenden Sie den Befehl gcloud network-security security-profiles export, um ein Sicherheitsprofil für die URL-Filterung in eine YAML-Datei zu exportieren:

gcloud network-security security-profiles export NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --destination FILE_NAME

Ersetzen Sie Folgendes:

  • NAME: der Name des Sicherheitsprofils vom Typ url-filtering, das Sie exportieren möchten. Sie können den Namen als String oder als eindeutige URL-ID angeben.

    Wenn Sie eine eindeutige URL-ID für das Flag NAME verwenden, können Sie die Flags ORGANIZATION_ID und LOCATION weglassen.

  • ORGANIZATION_ID: die Organisation, in der das Sicherheitsprofil für die URL-Filterung erstellt wird. Wenn Sie eine eindeutige URL-ID für das Flag NAME verwenden, können Sie das Flag ORGANIZATION_ID weglassen.

  • LOCATION: der Standort des Sicherheitsprofils für die URL-Filterung. Der Standort ist immer auf global festgelegt. Wenn Sie eine eindeutige URL-ID für das Flag NAME verwenden, können Sie das Flag LOCATION weglassen.

  • FILE_NAME: Der Pfad zur YAML-Datei, in die Cloud NGFW die Konfiguration für das Sicherheits-URL-Filterprofil exportiert. Zum Beispiel url-filtering-sp.yaml.

    Die exportierten Konfigurationsdaten enthalten keine reinen Ausgabefelder. Alternativ können Sie das Flag destination weglassen, um in die Standardausgabe zu schreiben.

Nächste Schritte