Questa guida descrive i limiti noti di Secure Web Proxy.
Limitazioni di Cloud NAT
Ogni istanza Secure Web Proxy richiede un gateway Cloud NAT abilitato solo per gli endpoint Secure Web Proxy in quella regione. Il primo Secure Web Proxy di cui è stato eseguito il provisioning in una regione di rete Virtual Private Cloud (VPC) esegue anche il provisioning di un gateway Cloud NAT. Il gateway Cloud NAT consente il traffico in uscita per tutte le istanze Secure Web Proxy in quella rete virtuale regione.
Limitazioni di rete sulle identità
Le informazioni sull'identità del client non sono accessibili in nessun VPC o progetto confini.
È supportato solo IPv4
Secure Web Proxy supporta solo IPv4. Il protocollo IPv6 non è supportato.
Gli indirizzi IP interni sono a livello di regione
Secure Web Proxy alloca indirizzi IP virtuali all'interno di una regione. Lo strumento virtuale Gli indirizzi IP sono raggiungibili solo nella regione in cui sono assegnati. Inoltre, Il provisioning delle istanze Secure Web Proxy viene eseguito in una regione all'interno di rete VPC. Di conseguenza, gli indirizzi IPv4 devono essere allocati all'interno di una subnet della regione in cui si trova l'istanza Secure Web Proxy in.
Di seguito viene descritto in che modo Secure Web Proxy alloca gli indirizzi IP:
- Se durante il provisioning viene specificato un indirizzo IP non prenotato, .
- Se non viene specificato un indirizzo IP, ma una subnet e una rete, viene allocato automaticamente un indirizzo IP all'interno una subnet.
- Se non sono specificati indirizzo IP, subnet e rete, verrà viene allocato automaticamente all'interno della subnet predefinita rete predefinita.
Il provisioning IP non riesce se non viene soddisfatto nessuno degli elementi precedenti.
Gli indirizzi IP allocati da Secure Web Proxy sono IP virtuali assegnati a un gruppo di proxy distribuiti in più celle all'interno di regione. Secure Web Proxy agisce come un server proxy esplicito, che richiede ai client di avere connettività all'indirizzo IP virtuale per passare HTTP(S) in uscita per via del traffico. I client che dispongono della connettività all'indirizzo IP virtuale possono accedere Secure Web Proxy con i seguenti metodi:
- Peering di rete VPC
- VPC condiviso
- On-premise mediante Cloud VPN o Cloud Interconnect
Traffico con crittografia TLS e HTTPS
I criteri di sicurezza hanno un accesso ridotto agli attributi delle richieste per il traffico criptato con TLS tra il client e la destinazione. Questa crittografia è distinto dal TLS facoltativo tra il client e il proxy web sicuro.
Sono disponibili le informazioni di origine e l'host di destinazione. Tuttavia, il percorso, HTTP,
, mentre le intestazioni non lo sono. Di conseguenza, l'utilizzo degli attributi request in una
GatewaySecurityPolicyRule
ApplicationMatcher in modo implicito
implica la corrispondenza nel traffico HTTP, ma non nel traffico HTTPS.
Versioni HTTP supportate
Sono supportate le versioni HTTP 0.9, 1.0, 1.1 e 2.0. HTTP 3 non supportato.
Proxy web sicuro nel VPC condiviso
Puoi eseguire il deployment di Secure Web Proxy solo in un progetto host. Non puoi eseguire il deployment Secure Web Proxy in un progetto di servizio.