Implantar uma instância do Secure Web Proxy
Neste guia de início rápido, você vai aprender a implantar e testar uma instância do Secure Web Proxy.
Antes de começar
Conclua as etapas de configuração inicial.
Para executar os comandos nesta página, configure a CLI do Google Cloud em um dos seguintes ambientes de desenvolvimento:
Cloud Shell
Para usar um terminal on-line com a CLI gcloud já configurada, faça o seguinte: Ative o Cloud Shell:
No final desta página, uma sessão do Cloud Shell é iniciada e exibe uma prompt da linha de comando. A inicialização da sessão pode levar alguns segundos.
Shell local
Para usar um ambiente de desenvolvimento local, siga estas etapas:
Criar ou selecionar um projeto do Google Cloud.
Console
No console do Google Cloud, na página do seletor de projetos, Selecione ou crie um projeto do Google Cloud.
Cloud Shell
Crie um projeto do Google Cloud:
gcloud projects create PROJECT_ID
Substitua
PROJECT_ID
pelo ID do projeto que você quer.Selecione o projeto do Google Cloud que você criou:
gcloud config set project PROJECT_ID
Crie uma instância de máquina virtual (VM) do Linux:
gcloud compute instances create swp-test-vm \ --subnet=default \ --zone=ZONE \ --image-project=debian-cloud \ --image-family=debian-11
O Compute Engine concede ao usuário que cria a VM com a Papel de administrador de instância (
roles/compute.instanceAdmin
). O Compute Engine também adiciona esse usuário ao grupo sudo.Criar uma regra de firewall
gcloud compute firewall-rules create default-allow-ssh \ --direction=INGRESS \ --priority=1000 \ --network=default \ --action=ALLOW \ --rules=tcp:22 \ --source-ranges=0.0.0.0/0
Criar uma política do Secure Web Proxy
Console
No Console do Google Cloud, acesse a página Segurança de rede.
Clique em Secure Web Proxy.
Clique na guia Políticas.
Clique em Criar uma política.
Digite um nome para a política que você quer criar, como
myswppolicy
.Insira uma descrição da política, como
My new swp policy
.Na lista Regiões, selecione a região em que você quer criar a política de proxy da Web.
Se você quiser configurar a inspeção TLS para o proxy da Web, selecione Configurar inspeção TLS.
Na lista Política de inspeção de TLS, selecione o a política de inspeção de TLS que você criados. A política de inspeção de TLS só aparece na lista se você a criou.
Se você quiser criar regras para a política, clique em Continuar e em Adicionar regra. Para mais detalhes, consulte Criar regras do Secure Web Proxy.
Clique em Criar.
Cloud Shell
Algumas políticas de proxy da Web exigem que o tráfego seja criptografado por TLS para avaliação. Dependendo da opção que você quer usar na criptografia TLS, use qualquer um dos seguintes métodos para criar uma política:
Crie uma política com a configuração de inspeção TLS.
Para ativar a inspeção de TLS, execute o procedimento descrito em Ativar a inspeção de TLS e crie o arquivo
policy.yaml
:description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
Crie uma política sem a configuração de inspeção TLS.
Se você não quiser ativar a inspeção TLS, crie o arquivo
policy.yaml
:description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
Crie a política do Secure Web Proxy:
gcloud network-security gateway-security-policies import policy1 \ --source=policy.yaml \ --location=REGION
Criar regras do Secure Web Proxy
Console
No Console do Google Cloud, acesse a página Segurança de rede.
Clique em Proxy seguro da Web.
Clique na guia Políticas.
Clique no nome da sua política.
Clique em Adicionar regra.
Preencha os campos da regra:
- Nome
- Descrição
- Status
- Prioridade: a ordem de avaliação numérica da regra. As regras são avaliadas da prioridade mais alta para a mais baixa, em que
0
é a mais alta. - Na seção Ação, especifique se as conexões correspondentes a regra é permitida (Allow) ou negada (Deny).
- Na seção Correspondência de sessão, especifique os critérios de
que correspondem à sessão. Para mais informações sobre a sintaxe de
SessionMatcher
, consulte a referência da linguagem do comparador CEL. - Para ativar a inspeção de TLS, selecione Ativar inspeção de TLS.
- Na seção Correspondência de aplicativo, especifique os critérios das que correspondam à solicitação. Se você não ativar a regra para TLS a solicitação poderá corresponder apenas ao tráfego HTTP.
- Clique em Criar.
Clique em Adicionar regra para adicionar outra regra.
Clique em Criar para criar a política.
Cloud Shell
Dependendo se você quer a criptografia TLS, use qualquer um dos seguintes métodos para criar uma regra:
Crie uma regra com a configuração de inspeção de TLS.
Para ativar a inspeção TLS, crie o arquivo
rule.yaml
:name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org description: Allow wikipedia enabled: true priority: 1 basicProfile: ALLOW sessionMatcher: host() == 'wikipedia.org' applicationMatcher: request.path.contains('index.html') tlsInspectionEnabled: true
Crie uma regra sem a configuração de inspeção de TLS.
Se você não quiser ativar a inspeção TLS, crie o arquivo
rule.yaml
:name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org description: Allow wikipedia.org enabled: true priority: 1 basicProfile: ALLOW sessionMatcher: host() == 'wikipedia.org'
Crie a regra da política de segurança:
gcloud network-security gateway-security-policies rules import allow-wikipedia-org \ --source=rule.yaml \ --location=REGION \ --gateway-security-policy=policy1
Configurar um proxy da Web
Console
No Console do Google Cloud, acesse a página Segurança de rede.
Clique em Secure Web Proxy.
Clique na guia Proxies da Web.
Clique em Configurar um proxy da Web.
Digite um nome para o proxy da Web que você quer criar, como
myswp
.Insira uma descrição do proxy da Web, como
My new swp
.Na lista Regiões, selecione a região em que você quer criar o proxy da Web.
Na lista Rede, selecione a rede em que você quer criar o proxy da Web.
Na lista Sub-rede, selecione a sub-rede em que você quer criar o proxy da Web.
Digite o endereço IP do proxy da Web.
Na lista Certificado, selecione o certificado que você quer usar. para criar o proxy da Web.
Na lista Política, selecione a política que você criou para associar o proxy da Web.
Clique em Criar.
Cloud Shell
Crie o arquivo
gateway.yaml
:name: projects/PROJECT_ID/locations/REGION/gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["10.128.0.99"] ports: [443] certificateUrls: ["projects/PROJECT_ID/locations/REGION/certificates/cert1"] gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/default subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/default scope: samplescope
Crie uma instância do Secure Web Proxy:
gcloud network-services gateways import swp1 \ --source=gateway.yaml \ --location=REGION
A implantação de uma instância do Secure Web Proxy pode levar vários minutos.
testar a conectividade
Conecte-se à VM que você provisionou anteriormente:
gcloud compute ssh swp-test-vm \ --zone=ZONE
Teste a instância do Secure Web Proxy:
curl -x http://10.128.0.99:80 https://wikipedia.org
Se você configurou a instância do Secure Web Proxy para inspeção TLS, use este comando:
curl -x http://10.128.0.99:80 https://wikipedia.org/index.html
Limpar
Para evitar cobranças na conta do Google Cloud pelos recursos usados nesta página, siga estas etapas.
Exclua a instância do Secure Web Proxy swp1
Console
No Console do Google Cloud, acesse a página Segurança de rede.
Clique em Secure Web Proxy. Confira uma lista de todos os proxies da Web ou apenas aqueles de uma rede específica.
Selecione o proxy da Web que você quer excluir.
Clique em Excluir.
Clique em Excluir novamente para confirmar.
Cloud Shell
gcloud network-services gateways delete swp1 \
--location=REGION
Excluir a regra allow-wikipedia-org
Console
No Console do Google Cloud, acesse a página Segurança de rede.
Clique em Secure Web Proxy. Confira uma lista de todos os proxies da Web ou apenas aqueles de uma rede específica.
Clique na guia Políticas.
Clique na sua política.
Selecione a regra que você quer excluir.
Clique em Excluir.
Clique em Excluir novamente para confirmar.
Cloud Shell
gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
--location=REGION \
--gateway-security-policy=policy1
Exclua a política do Secure Web Proxy policy1
Console
No Console do Google Cloud, acesse a página Segurança de rede.
Clique em Proxy seguro da Web. É possível conferir uma lista de todos os proxies da Web ou apenas aqueles em uma rede específica.
Clique na guia Políticas.
Selecione a política que você quer excluir.
Clique em Excluir.
Clique em Excluir novamente para confirmar.
Cloud Shell
gcloud network-security gateway-security-policies delete policy1 \
--location=REGION
Exclua a instância de VM do Linux swp-test-vm
Console
No console do Google Cloud, acesse a página Instâncias de VMs.
Selecione as instâncias que você quer excluir.
Clique em Excluir.
Cloud Shell
gcloud compute instances delete swp-test-vm