En esta guía, se describen las limitaciones conocidas del proxy web seguro.
Limitaciones de Cloud NAT
Cada instancia de Proxy web seguro requiere una puerta de enlace de Cloud NAT que esté habilitada solo para los extremos del Proxy web seguro en esa región. El primer proxies web seguro aprovisionado en una región de red de nube privada virtual (VPC) también aprovisiona una puerta de enlace de Cloud NAT. La puerta de enlace de Cloud NAT permite la salida de todas las instancias de proxy web seguro en esa red virtual y región.
Solo se admite IPv4
El Proxy web seguro solo es compatible con IPv4. IPv6 no es compatible.
Las direcciones IP internas son regionales
El proxy web seguro asigna direcciones IP virtuales dentro de una región. Solo se puede acceder a las direcciones IP virtuales en la región a la que se asignan. Además, las instancias de Secure Web Proxy se aprovisionan en una región dentro de una red de VPC. Como resultado, las direcciones IPv4 se deben asignar desde una subred de la región en la que se encuentra la instancia del Proxy web seguro.
A continuación, se describe cómo el Proxy web seguro asigna direcciones IP:
- Si se especifica una dirección IP no reservada durante el aprovisionamiento, se usa esa dirección IP.
- Si no se especifica una dirección IP, pero se especifican una subred y una red, se asigna una dirección IP automáticamente dentro de la subred especificada.
- Si no se especifican una dirección IP, una subred ni una red, se asignará una dirección IP de forma automática dentro de la subred predeterminada de la red predeterminada.
El aprovisionamiento de IP falla si no se cumple ninguno de los elementos anteriores.
Las direcciones IP que asigna el proxy web seguro son IP virtuales y se asignan a un grupo de proxies distribuidos en varias celdas dentro de una región. El Proxy web seguro actúa como un servidor proxy explícito, lo que requiere que los clientes tengan conectividad con la dirección IP virtual para pasar el tráfico HTTP(S) de salida. Los clientes que tienen conectividad a la dirección IP virtual pueden acceder al Proxy web seguro mediante los siguientes métodos:
- Intercambio de tráfico entre redes de VPC
- VPC compartida
- De forma local con Cloud VPN o Cloud Interconnect
Tráfico encriptado con TLS y HTTPS
Las políticas de seguridad redujeron el acceso a los atributos de solicitud para el tráfico encriptado con TLS entre el cliente y el destino. Esta encriptación es distinta del TLS opcional entre el cliente y el proxy web seguro.
La información de origen y el host de destino están disponibles. Sin embargo, la ruta de acceso, el método HTTP y los encabezados no lo son. Como resultado, usar los atributos request en un GatewaySecurityPolicyRule
ApplicationMatcher implica implícitamente la coincidencia en el tráfico HTTP, pero no en el tráfico HTTPS.
Versiones de HTTP compatibles
Se admiten las versiones HTTP 0.9, 1.0, 1.1 y 2.0. HTTP 3 no es compatible.
Proxy web seguro en VPC compartida
Solo puedes implementar el proxy web seguro en un proyecto host. No puedes implementar el proxy web seguro en un proyecto de servicio.