Secure Web Proxy-Instanz bereitstellen

Hinweis: Auf dieser Seite wird beschrieben, wie Sie Secure Web Proxy als expliziten Proxy bereitstellen. Alternativ können Sie Secure Web Proxy als Private Service Connect-Dienstanhang oder als nächster Hop.

In dieser Kurzanleitung erfahren Sie, wie Sie eine Secure Web Proxy-Instanz bereitstellen und testen.

Hinweis

  1. Führen Sie die Schritte zur Ersteinrichtung aus.

  2. Zum Ausführen der Befehle auf dieser Seite richten Sie die Google Cloud CLI in einer der folgenden Entwicklungsumgebungen:

    Cloud Shell

    Wenn Sie ein Onlineterminal mit bereits eingerichteter gcloud CLI verwenden möchten, aktivieren Sie Cloud Shell.

    Am Ende dieser Seite wird eine Cloud Shell-Sitzung gestartet und . Das Initialisieren der Sitzung kann einige Sekunden dauern.

    Lokale Shell

    So verwenden Sie eine lokale Entwicklungsumgebung:

    1. Installieren Sie das gcloud-CLI.
    2. Initialisieren Sie die gcloud CLI.
  3. Google Cloud-Projekt erstellen oder auswählen.

    Console

    Wählen Sie in der Google Cloud Console auf der Seite der Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie eines.

    Zur Projektauswahl

    Cloud Shell

    • Erstellen Sie ein Google Cloud-Projekt:

      gcloud projects create PROJECT_ID
      

      Ersetzen Sie PROJECT_ID durch die gewünschte Projekt-ID.

    • Wählen Sie das von Ihnen erstellte Google Cloud-Projekt aus:

      gcloud config set project PROJECT_ID
      
  4. Erstellen Sie eine Linux-VM-Instanz:

    gcloud compute instances create swp-test-vm \
        --subnet=default \
        --zone=ZONE \
        --image-project=debian-cloud \
        --image-family=debian-11
    

    Die Compute Engine erteilt dem Nutzer, der die VM mit der Compute Engine erstellt, Rolle "Instanzadministrator" (roles/compute.instanceAdmin). Compute Engine fügt ihn der sudo-Gruppe hinzu.

  5. Firewallregel erstellen

    gcloud compute firewall-rules create default-allow-ssh \
        --direction=INGRESS \
        --priority=1000 \
        --network=default \
        --action=ALLOW \
        --rules=tcp:22 \
        --source-ranges=0.0.0.0/0
    

Secure Web Proxy-Richtlinie erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Secure Web Proxy.

  3. Klicken Sie auf den Tab Richtlinien.

  4. Klicken Sie auf Richtlinie erstellen.

  5. Geben Sie einen Namen für die Richtlinie ein, die Sie erstellen möchten, wie myswppolicy.

  6. Geben Sie eine Beschreibung der Richtlinie ein, z. B. My new swp policy.

  7. Wählen Sie in der Liste Regionen die Region aus, in der Sie die Webproxy-Richtlinie erstellen möchten.

  8. Wenn Sie die TLS-Prüfung für den Webproxy konfigurieren möchten, wählen Sie Konfigurieren Sie die TLS-Prüfung.

  9. Wählen Sie in der Liste TLS-Prüfungsrichtlinie die von Ihnen erstellte TLS-Prüfungsrichtlinie aus. Die TLS-Prüfungsrichtlinie wird nur in der Liste angezeigt, wenn Sie sie erstellt haben.

  10. Wenn Sie Regeln für die Richtlinie erstellen möchten, klicken Sie auf Weiter und dann auf Regel hinzufügen. Weitere Informationen finden Sie unter Secure Web Proxy-Regeln erstellen

  11. Klicken Sie auf Erstellen.

Cloud Shell

  1. Einige Webproxy-Richtlinien erfordern, dass der Traffic für die Auswertung TLS-verschlüsselt ist. Je nachdem, ob Sie TLS-Verschlüsselung Sie können eine der folgenden Methoden verwenden, um eine Richtlinie zu erstellen:

    • Erstellen Sie eine Richtlinie mit der TLS-Prüfungskonfiguration.

      Führen Sie zum Aktivieren der TLS-Prüfung die unter TLS-Prüfung aktivieren beschriebene Vorgehensweise aus und erstellen Sie dann die Datei policy.yaml:

      description: basic Secure Web Proxy policy
      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
      tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
      
    • Erstellen Sie eine Richtlinie ohne die TLS-Prüfungskonfiguration.

      Wenn Sie die TLS-Prüfung nicht aktivieren möchten, erstellen Sie die Datei policy.yaml:

      description: basic Secure Web Proxy policy
      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
      
  2. Erstellen Sie die Secure Web Proxy-Richtlinie:

    gcloud network-security gateway-security-policies import policy1 \
        --source=policy.yaml \
        --location=REGION
    

Secure Web Proxy-Regeln erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Secure Web Proxy.

  3. Klicken Sie auf den Tab Richtlinien.

  4. Klicken Sie auf den Namen Ihrer Richtlinie.

  5. Klicken Sie auf Regel hinzufügen.

  6. Füllen Sie die Regelfelder aus:

    1. Name
    2. Beschreibung
    3. Status
    4. Priorität: die numerische Auswertungsreihenfolge der Regel. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist.
    5. Geben Sie im Abschnitt Aktion an, ob Verbindungen, die der Regel entsprechen, zugelassen (Zulassen) oder abgelehnt (Ablehnen) werden sollen.
    6. Geben Sie im Bereich Sitzungsabgleich die Kriterien für den Sitzungsabgleich an. Weitere Informationen zur Syntax für SessionMatcher finden Sie in der Referenz zur CEL-Abgleichssprache.
    7. Wählen Sie TLS-Prüfung aktivieren aus, um die TLS-Prüfung zu aktivieren.
    8. Geben Sie im Abschnitt Anwendungsabgleich die Kriterien für der Anfrage entsprechen. Wenn Sie die Regel für TLS nicht aktivieren kann die Anfrage nur mit HTTP-Traffic übereinstimmen.
    9. Klicken Sie auf Erstellen.
  7. Klicken Sie auf Regel hinzufügen, um eine weitere Regel hinzuzufügen.

  8. Klicken Sie auf Erstellen, um die Richtlinie zu erstellen.

Cloud Shell

  1. Je nachdem, ob Sie eine TLS-Verschlüsselung verwenden möchten, können Sie eine beliebige der folgenden Methoden verwenden, um eine Regel zu erstellen:

    • Erstellen Sie eine Regel mit der TLS-Prüfungskonfiguration.

      Erstellen Sie die Datei rule.yaml, um die TLS-Prüfung zu aktivieren:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
      description: Allow wikipedia
      enabled: true
      priority: 1
      basicProfile: ALLOW
      sessionMatcher: host() == 'wikipedia.org'
      applicationMatcher: request.path.contains('index.html')
      tlsInspectionEnabled: true
      
    • Erstellen Sie eine Regel ohne TLS-Prüfungskonfiguration.

      Wenn Sie die TLS-Prüfung nicht aktivieren möchten, erstellen Sie die Datei rule.yaml:

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org
      description: Allow wikipedia.org
      enabled: true
      priority: 1
      basicProfile: ALLOW
      sessionMatcher: host() == 'wikipedia.org'
      
  2. Erstellen Sie die Sicherheitsrichtlinienregel:

    gcloud network-security gateway-security-policies rules import allow-wikipedia-org \
        --source=rule.yaml \
        --location=REGION \
        --gateway-security-policy=policy1
    

Web-Proxy einrichten

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Secure Web Proxy.

  3. Klicken Sie auf den Tab Web-Proxys.

  4. Klicken Sie auf Web-Proxy einrichten.

  5. Geben Sie einen Namen für den Web-Proxy ein, den Sie erstellen möchten, z. B. myswp.

  6. Geben Sie eine Beschreibung des Web-Proxys ein, z. B. My new swp.

  7. Wählen Sie in der Liste Regionen die Region aus, in der Sie die Anwendung erstellen möchten. Web-Proxy.

  8. Wählen Sie in der Liste Netzwerk das Netzwerk aus, in dem Sie den Webproxy erstellen möchten.

  9. Wählen Sie in der Liste Subnetzwerk das Subnetzwerk aus, für das Sie Erstellen Sie den Web-Proxy.

  10. Geben Sie die IP-Adresse des Web-Proxys ein.

  11. Wählen Sie aus der Liste Zertifikat das Zertifikat aus, das Sie verwenden möchten. um den Web-Proxy zu erstellen.

  12. Wählen Sie in der Liste Richtlinie die Richtlinie aus, die Sie erstellt haben, um den Webproxy zu verknüpfen.

  13. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie die Datei gateway.yaml:

    name: projects/PROJECT_ID/locations/REGION/gateways/swp1
    type: SECURE_WEB_GATEWAY
    addresses: ["10.128.0.99"]
    ports: [443]
    certificateUrls: ["projects/PROJECT_ID/locations/REGION/certificates/cert1"]
    gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
    network: projects/PROJECT_ID/global/networks/default
    subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/default
    scope: samplescope
    
  2. Erstellen Sie eine Secure Web Proxy-Instanz:

    gcloud network-services gateways import swp1 \
        --source=gateway.yaml \
        --location=REGION
    

    Das Bereitstellen einer Secure Web Proxy-Instanz kann einige Minuten dauern.

Verbindung testen

  1. Stellen Sie eine Verbindung zur VM her, die Sie zuvor bereitgestellt haben:

    gcloud compute ssh swp-test-vm \
        --zone=ZONE
    
  2. Secure Web Proxy-Instanz testen:

    curl -x http://10.128.0.99:80 https://wikipedia.org
    

    Wenn Sie die Secure Web Proxy-Instanz für die TLS-Prüfung konfiguriert haben, verwenden Sie den folgenden Befehl:

    curl -x http://10.128.0.99:80 https://wikipedia.org/index.html
    

Bereinigen

Mit den folgenden Schritten vermeiden Sie, dass Ihrem Google Cloud-Konto die in dieser Anleitung verwendeten Ressourcen in Rechnung gestellt werden:

Secure Web Proxy-Instanz swp1 löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Secure Web Proxy. Sie können eine Liste aller Webproxys oder nur derjenigen in einem bestimmten Netzwerk aufrufen.

  3. Wählen Sie den Web-Proxy aus, den Sie löschen möchten.

  4. Klicken Sie auf Löschen.

  5. Klicken Sie zum Bestätigen noch einmal auf Löschen.

Cloud Shell

gcloud network-services gateways delete swp1 \
    --location=REGION

Regel allow-wikipedia-org löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Secure Web Proxy. Sie können eine Liste aller Webproxys oder nur derjenigen in einem bestimmten Netzwerk aufrufen.

  3. Klicken Sie auf den Tab Richtlinien.

  4. Klicken Sie auf die Richtlinie.

  5. Wählen Sie die Regel aus, die Sie löschen möchten.

  6. Klicken Sie auf Löschen.

  7. Klicken Sie zum Bestätigen noch einmal auf Löschen.

Cloud Shell

gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
    --location=REGION \
    --gateway-security-policy=policy1

Richtlinie „Secure Web Proxy“ policy1 löschen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Secure Web Proxy. Sie können eine Liste aller Webproxys oder nur derjenigen in einem bestimmten Netzwerk aufrufen.

  3. Klicken Sie auf den Tab Richtlinien.

  4. Wählen Sie die Richtlinie aus, die Sie löschen möchten.

  5. Klicken Sie auf Löschen.

  6. Klicken Sie zum Bestätigen noch einmal auf Löschen.

Cloud Shell

gcloud network-security gateway-security-policies delete policy1 \
    --location=REGION

Löschen Sie die Linux-VM-Instanz swp-test-vm.

Console

  1. Rufen Sie in der Google Cloud Console die Seite VM-Instanzen auf.

    Zu „VM-Instanzen“

  2. Wählen Sie die Instanzen aus, die Sie löschen möchten.

  3. Klicken Sie auf Löschen.

Cloud Shell

gcloud compute instances delete swp-test-vm

Nächste Schritte