Panduan ini menjelaskan batasan umum Proxy Web Aman.
Batasan Cloud NAT
Setiap instance Secure Web Proxy memerlukan gateway Cloud NAT yang hanya diaktifkan untuk endpoint Secure Web Proxy di region tersebut. Proxy Web Aman pertama yang disediakan di region jaringan Virtual Private Cloud (VPC) juga menyediakan gateway Cloud NAT. Gateway Cloud NAT mengaktifkan traffic keluar untuk semua instance Secure Web Proxy di jaringan dan region virtual tersebut.
Keterbatasan jaringan pada identitas
Informasi identitas klien tidak dapat diakses di semua VPC atau batas project.
Hanya IPv4 yang didukung
Proxy Web Aman hanya mendukung IPv4. IPv6 tidak didukung.
Alamat IP internal bersifat regional
Proxy Web Aman mengalokasikan alamat IP virtual dalam suatu region. Alamat IP virtual hanya dapat dijangkau di region tempat alamat tersebut ditetapkan. Selain itu, instance Proxy Web yang Aman disediakan di region dalam jaringan VPC. Akibatnya, alamat IPv4 harus dialokasikan dari dalam subnet region tempat instance Proxy Web Aman berada.
Berikut ini menjelaskan cara Proxy Web Aman mengalokasikan alamat IP:
- Jika alamat IP yang tidak dicadangkan ditetapkan selama penyediaan, alamat IP tersebut akan digunakan.
- Jika alamat IP tidak ditentukan, tetapi subnet dan jaringan ditentukan, alamat IP akan otomatis dialokasikan dalam subnet yang ditentukan.
- Jika alamat IP, subnet, dan jaringan tidak ditentukan, maka alamat IP akan otomatis dialokasikan dalam subnet default jaringan default.
Penyediaan IP akan gagal jika tidak ada item sebelumnya yang terpenuhi.
Alamat IP yang dialokasikan oleh Proxy Web Aman adalah IP virtual dan ditetapkan ke sekelompok proxy yang didistribusikan ke beberapa sel dalam suatu region. Proxy Web Aman bertindak sebagai server proxy eksplisit, yang mengharuskan klien memiliki konektivitas ke alamat IP virtual untuk meneruskan traffic HTTP(S) keluar. Klien yang memiliki konektivitas ke alamat IP virtual dapat mengakses Secure Web Proxy melalui metode berikut:
- Peering Jaringan VPC
- VPC Bersama
- Lokal menggunakan Cloud VPN atau Cloud Interconnect
Traffic terenkripsi TLS dan HTTPS
Kebijakan keamanan telah mengurangi akses untuk meminta atribut untuk traffic yang dienkripsi dengan TLS antara klien dan tujuan. Enkripsi ini berbeda dengan TLS opsional antara klien dan Secure Web Proxy.
Informasi sumber dan host tujuan tersedia. Namun, jalur, metode HTTP, dan header tidak demikian. Akibatnya, penggunaan atribut request
dalam
GatewaySecurityPolicyRule
ApplicationMatcher
secara implisit
menyiratkan pencocokan pada traffic HTTP, tetapi tidak pada traffic HTTPS.
Versi HTTP yang didukung
HTTP versi 0.9, 1.0, 1.1, dan 2.0 didukung. HTTP 3 tidak didukung.