In diesem Leitfaden werden die bekannten Einschränkungen von Secure Web Proxy beschrieben.
Einschränkungen von Cloud NAT
Für jede Secure Web Proxy-Instanz ist ein Cloud NAT-Gateway erforderlich, das nur für die Secure Web Proxy-Endpunkte in dieser Region aktiviert ist. Wenn Sie in einer VPC-Netzwerkregion (Virtual Private Cloud) den ersten sicheren Webproxy bereitstellen, wird auch ein Cloud NAT-Gateway bereitgestellt. Das Cloud NAT-Gateway ermöglicht den ausgehenden Traffic für alle Secure Web Proxy-Instanzen in diesem virtuellen Netzwerk und dieser Region.
Nur IPv4 wird unterstützt
Secure Web Proxy unterstützt nur IPv4. IPv6 wird nicht unterstützt.
Interne IP-Adressen sind regional
Secure Web Proxy weist virtuelle IP-Adressen innerhalb einer Region zu. Die virtuellen IP-Adressen sind nur in der Region erreichbar, der sie zugewiesen sind. Außerdem werden Secure Web Proxy-Instanzen in einer Region innerhalb eines VPC-Netzwerk bereitgestellt. Daher müssen IPv4-Adressen aus einem Subnetz der Region zugewiesen werden, in der sich die Instanz des sicheren Web-Proxys befindet.
Im Folgenden wird beschrieben, wie Secure Web Proxy IP-Adressen zuweist:
- Wenn bei der Bereitstellung eine nicht reservierte IP-Adresse angegeben wird, wird diese IP-Adresse verwendet.
- Wenn keine IP-Adresse, aber ein Subnetz und ein Netzwerk angegeben sind, wird automatisch eine IP-Adresse innerhalb des angegebenen Subnetzes zugewiesen.
- Wenn keine IP-Adresse, kein Subnetz und kein Netzwerk angegeben sind, wird automatisch eine IP-Adresse im Standardsubnetz des Standardnetzwerks zugewiesen.
Die IP-Bereitstellung schlägt fehl, wenn keine der oben genannten Voraussetzungen erfüllt ist.
Die vom Secure Web Proxy zugewiesenen IP-Adressen sind virtuelle IP-Adressen und werden einer Gruppe von Proxys zugewiesen, die auf mehrere Zellen innerhalb einer Region verteilt sind. Secure Web Proxy fungiert als expliziter Proxyserver, für den Clients eine Verbindung zur virtuellen IP-Adresse benötigen, um ausgehenden HTTP(S)-Traffic weiterzuleiten. Clients mit einer Verbindung zur virtuellen IP-Adresse können über die folgenden Methoden auf den sicheren Webproxy zugreifen:
- VPC-Netzwerk-Peering
- Freigegebene VPC
- Lokal mit Cloud VPN oder Cloud Interconnect
TLS-verschlüsselter Traffic und HTTPS
Sicherheitsrichtlinien haben den Zugriff auf Anfrageattribute für mit TLS verschlüsselten Traffic zwischen dem Client und dem Ziel eingeschränkt. Diese Verschlüsselung unterscheidet sich von der optionalen TLS-Verschlüsselung zwischen dem Client und Secure Web Proxy.
Quellinformationen und Zielhost sind verfügbar. Pfad, HTTP-Methode und Header sind jedoch nicht betroffen. Wenn Sie die request-Attribute in einer GatewaySecurityPolicyRule-ApplicationMatcher verwenden, wird also implizit eine Übereinstimmung mit HTTP-Traffic, aber nicht mit HTTPS-Traffic vorausgesetzt.
Unterstützte HTTP-Versionen
Es werden die HTTP-Versionen 0.9, 1.0, 1.1 und 2.0 unterstützt. HTTP 3 wird nicht unterstützt.
Secure Web Proxy in einer freigegebene VPC
Sie können Secure Web Proxy nur in einem Hostprojekt bereitstellen. Sie können Secure Web Proxy nicht in einem Dienstprojekt bereitstellen.