Bekannte Einschränkungen

In diesem Leitfaden werden die bekannten Einschränkungen von Secure Web Proxy beschrieben.

Cloud NAT-Einschränkungen

Jede Secure Web Proxy-Instanz erfordert ein Cloud NAT-Gateway, das nur für die Secure Web Proxy-Endpunkte in dieser Region aktiviert ist. Der erste Secure Web Proxy, der in einer VPC-Netzwerkregion (Virtual Private Cloud) bereitgestellt wird, stellt auch ein Cloud NAT-Gateway bereit. Das Cloud NAT-Gateway aktiviert ausgehenden Traffic für alle Secure Web Proxy-Instanzen in diesem virtuellen Netzwerk und dieser Region.

Netzwerkbeschränkungen für Identitäten

Informationen zur Clientidentität sind über VPC- oder Projektgrenzen hinweg nicht zugänglich.

Nur IPv4 wird unterstützt

Secure Web Proxy unterstützt nur IPv4. IPv6 wird nicht unterstützt.

Interne IP-Adressen sind regional

Secure Web Proxy weist virtuelle IP-Adressen innerhalb einer Region zu. Die virtuellen IP-Adressen sind nur in der Region erreichbar, der sie zugewiesen sind. Außerdem werden Secure Web Proxy-Instanzen in einer Region innerhalb eines VPC-Netzwerk bereitgestellt. Daher müssen IPv4-Adressen aus einem Subnetz der Region zugewiesen werden, in der sich die Secure Web Proxy-Instanz befindet.

Im Folgenden wird beschrieben, wie Secure Web Proxy IP-Adressen zuweist:

  • Wenn während der Bereitstellung eine nicht reservierte IP-Adresse angegeben wird, wird diese IP-Adresse verwendet.
  • Wenn keine IP-Adresse angegeben ist, aber ein Subnetz und ein Netzwerk angegeben sind, wird automatisch eine IP-Adresse innerhalb des angegebenen Subnetzes zugewiesen.
  • Wenn keine IP-Adresse, kein Subnetz und kein Netzwerk angegeben sind, wird automatisch eine IP-Adresse innerhalb des Standardsubnetzes des Standardnetzwerks zugewiesen.

Die IP-Bereitstellung schlägt fehl, wenn keines der vorherigen Elemente erfüllt ist.

Die von Secure Web Proxy zugewiesenen IP-Adressen sind virtuelle IP-Adressen und werden einer Gruppe von Proxys zugewiesen, die auf mehrere Zellen innerhalb einer Region verteilt sind. Secure Web Proxy agiert als expliziter Proxyserver. Dafür müssen Clients eine Verbindung zur virtuellen IP-Adresse haben, um ausgehenden HTTP(S)-Traffic weiterleiten zu können. Clients, die eine Verbindung zur virtuellen IP-Adresse haben, können mit den folgenden Methoden auf Secure Web Proxy zugreifen:

  • VPC-Netzwerk-Peering
  • Freigegebene VPC
  • Lokal über Cloud VPN oder Cloud Interconnect

TLS-verschlüsselter Traffic und HTTPS

Sicherheitsrichtlinien haben den Zugriff auf Anfrageattribute für Traffic eingeschränkt, der mit TLS zwischen dem Client und dem Ziel verschlüsselt ist. Diese Verschlüsselung unterscheidet sich von der optionalen TLS-Verschlüsselung zwischen dem Client und Secure Web Proxy.

Quellinformationen und Zielhost sind verfügbar. Pfad, HTTP-Methode und Header hingegen nicht. Daher impliziert die Verwendung der request-Attribute in einem GatewaySecurityPolicyRule-ApplicationMatcher implizit einen Abgleich auf HTTP-Traffic, aber nicht auf HTTPS-Traffic.

Unterstützte HTTP-Versionen

Die HTTP-Versionen 0.9, 1.0, 1.1 und 2.0 werden unterstützt. HTTP 3 wird nicht unterstützt.