Richtlinien mit einer URL-Liste erstellen

In diesem Leitfaden erfahren Sie, wie Sie mithilfe von URL-Listen URLs definieren, auf die Ihre Nutzer zugreifen können.

Hinweise

  • Führen Sie die Schritte zur Ersteinrichtung aus.

  • Prüfen Sie, ob die Google Cloud CLI-Version 406.0.0 oder höher installiert ist:

    gcloud version | head -n1

    Wenn Sie eine ältere Version der gcloud CLI installiert haben, aktualisieren Sie sie:

    gcloud components update --version=406.0.0

Secure Web Proxy-Instanz mit einer leeren Richtlinie erstellen

Wenn Sie eine Instanz eines sicheren Web-Proxys erstellen möchten, erstellen Sie zuerst eine leere Sicherheitsrichtlinie und dann einen Web-Proxy.

Leere Sicherheitsrichtlinie erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Sicherer Web-Proxy.

  3. Klicken Sie auf den Tab Richtlinien.

  4. Klicken Sie auf Richtlinie erstellen.

  5. Geben Sie einen Namen für die Richtlinie ein, die Sie erstellen möchten, z. B. myswppolicy.

  6. Geben Sie eine Beschreibung der Richtlinie ein, z. B. My new swp policy.

  7. Wählen Sie in der Liste Regionen die Region aus, in der Sie die Richtlinie erstellen möchten.

  8. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor die Datei POLICY_FILE.yaml. Ersetzen Sie POLICY_FILE durch den gewünschten Dateinamen für die Richtliniendatei.

  2. Fügen Sie der von Ihnen erstellten YAML-Datei Folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
description: POLICY_DESCRIPTION

    Ersetzen Sie Folgendes:

    • PROJECT_NAME: Name Ihres Projekts
    • REGION: die Region, auf die diese Richtlinie angewendet wird
    • POLICY_NAME: der Name der Richtlinie, die Sie erstellen
    • POLICY_DESCRIPTION: die Beschreibung der Richtlinie, die Sie erstellen

  3. Importieren Sie die Sicherheitsrichtlinie:

    gcloud network-security gateway-security-policies import POLICY_NAME \
    --source=POLICY_FILE.yaml \
    --location=REGION

Web-Proxy erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Sicherer Web-Proxy.

  3. Klicken Sie auf Webproxy einrichten.

  4. Geben Sie einen Namen für den Webproxy ein, den Sie erstellen möchten, z. B. myswp.

  5. Geben Sie eine Beschreibung des Web-Proxys ein, z. B. My new swp.

  6. Wählen Sie in der Liste Regionen die Region aus, in der Sie den Webproxy erstellen möchten.

  7. Wählen Sie in der Liste Netzwerk das Netzwerk aus, in dem Sie den Webproxy erstellen möchten.

  8. Wählen Sie in der Liste Subnetzwerk das Subnetzwerk aus, in dem Sie den Webproxy erstellen möchten.

  9. Geben Sie die IP-Adresse des Web-Proxys ein.

  10. Wählen Sie in der Liste Zertifikat das Zertifikat aus, mit dem Sie den Webproxy erstellen möchten.

  11. Wählen Sie in der Liste Richtlinie die Richtlinie aus, die Sie erstellt haben, um den Webproxy zu verknüpfen.

  12. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor die Datei GATEWAY_FILE.yaml. Ersetzen Sie GATEWAY_FILE durch den gewünschten Dateinamen für die Webproxydatei.

  2. Fügen Sie der von Ihnen erstellten YAML-Datei Folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
type: SECURE_WEB_GATEWAY
ports: [GATEWAY_PORT_NUMBERS]
certificateUrls: [CERTIFICATE_URLS]
gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME
addresses: [GATEWAY_IP_ADDRESS]
scope: samplescope

    Ersetzen Sie Folgendes:

    • GATEWAY_NAME: der Name dieser Instanz
    • GATEWAY_PORT_NUMBERS: eine Liste von Portnummern für dieses Gateway, z. B. [80,443]
    • CERTIFICATE_URLS: eine Liste von SSL-Zertifikat-URLs

    • SUBNET_NAME: Name des Subnetzes, das GATEWAY_IP_ADDRESS enthält

    • GATEWAY_IP_ADDRESS: Eine optionale Liste von IP-Adressen für Ihre sicheren Web-Proxy-Instanzen innerhalb der Proxy-Subnetze, die in den ersten Einrichtungsschritten erstellt wurden.

      Wenn Sie keine IP-Adressen angeben möchten, lassen Sie das Feld leer, damit der Webproxy eine IP-Adresse für Sie auswählt.

  3. So erstellen Sie eine Secure Web Proxy-Instanz:

    gcloud network-services gateways import GATEWAY_NAME \
    --source=GATEWAY_FILE.yaml \
    --location=REGION

Verbindung testen

Verwenden Sie den Befehl curl auf einer beliebigen VM in Ihrem VPC-Netzwerk (Virtual Private Cloud), um die Konnektivität zu testen:

  curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure

Es wird ein 403 Forbidden-Fehler erwartet.

URL-Liste erstellen

Führen Sie die Aufgaben in den folgenden Abschnitten aus, um eine URL-Liste zu erstellen und eine Regel hinzuzufügen.

URL-Liste erstellen und konfigurieren

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Sicherer Web-Proxy.

  3. Klicken Sie auf den Tab URL-Listen.

  4. Klicken Sie auf URL-Liste erstellen.

  5. Geben Sie einen Namen für die URL-Liste ein, die Sie erstellen möchten, z. B. myurllist.

  6. Geben Sie eine Beschreibung der URL-Liste ein, z. B. My new URL list.

  7. Wählen Sie in der Liste Regionen die Region aus, in der Sie die URL-Liste erstellen möchten.

  8. Klicken Sie auf Listen hochladen, um die Liste der zu vergleichenden Hosts, URLs oder Muster hochzuladen. Weitere Informationen finden Sie in der Syntaxreferenz für UrlList.

  9. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor die Datei URL_LIST_FILE.yaml. ReplaceURL_LIST_FILE mit dem gewünschten Dateinamen.

      name: projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME
  values: URL_LIST

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Ihre Projektnummer
    • REGION: die Region, für die diese URL-Liste gilt
    • URL_LIST_NAME: Ein Name für die URL-Liste, die Sie erstellen.
    • URL_LIST: Liste der Hosts, URLs oder Muster, die abgeglichen werden sollen

    Weitere Informationen finden Sie in der Syntaxreferenz für UrlList.

    Hier sehen Sie eine Beispielregeldatei für eine URL-Liste:

    name: projects/PROJECT_ID/locations/REGION/urlLists/example-org-allowed-list
values:
  - www.example.com
  - about.example.com
  - "*.google.com"
  - "github.com/example-org/*"

    Das Sternchen (*) hat in YAML eine spezielle Bedeutung. Daher müssen URLs, die das Zeichen * enthalten, in Anführungszeichen gesetzt werden.

  2. Fügen Sie die URL-Liste hinzu, damit sie in einer Secure Web Proxy-Regel referenziert werden kann:

    gcloud network-security url-lists import URL_LIST_NAME \
    --location=REGION \
    --project=PROJECT_ID \
    --source=URL_LIST_FILE.yaml

Regel hinzufügen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Sicherer Web-Proxy.

  3. Wählen Sie im Menü „Projektauswahl“ Ihre Organisations-ID oder den Ordner aus, der die Richtlinie enthält.

  4. Klicken Sie auf den Namen Ihrer Richtlinie.

  5. Klicken Sie auf Regel hinzufügen.

  6. Füllen Sie die Regelfelder aus:

    1. Name
    2. Beschreibung
    3. Status
    4. Priorität: die numerische Auswertungsreihenfolge der Regel. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist.
    5. Geben Sie im Abschnitt Aktion an, ob Verbindungen, die der Regel entsprechen, zugelassen (Zulassen) oder abgelehnt (Ablehnen) werden sollen.

    6. Geben Sie im Abschnitt Sitzungsabgleich den Namen der URL-Liste an, die Sie zuvor erstellt haben. Beispiel:

        sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"

    7. Wählen Sie TLS-Prüfung aktivieren aus, um die TLS-Prüfung zu aktivieren.

    8. Geben Sie im Abschnitt Anwendungsabgleich die Kriterien für den Abgleich der Anfrage an.

    9. Klicken Sie auf Erstellen.

  7. Klicken Sie auf Regel hinzufügen, um eine weitere Regel hinzuzufügen.

  8. Klicken Sie auf Erstellen, um die Richtlinie zu erstellen.

Cloud Shell

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor die Datei RULE_FILE.yaml. Ersetzen Sie RULE_FILE durch den gewünschten Dateinamen.

    name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
basicProfile: ALLOW
enabled: true
priority: PRIORITY_VALUE
description: RULE_DESCRIPTION
sessionMatcher: SESSION_CEL_EXPRESSION
applicationMatcher: APPLICATION_CEL_EXPRESSION

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Ihre Projektnummer
    • REGION: die Region, auf die diese Regel angewendet wird
    • POLICY_NAME: der Name einer vorhandenen GatewaySecurityPolicy, die von Ihrer Secure Web Proxy-Instanz verwendet wird
    • RULE_NAME: Name für die GatewaySecurityPolicyRule, die Sie erstellen
    • PRIORITY_VALUE: Prioritätswert für diese Regel. Niedrigere Zahlen entsprechen höheren Prioritäten.
    • RULE_DESCRIPTION: eine Beschreibung der Richtlinie, die Sie erstellen
    • SESSION_CEL_EXPRESSION: ein Common Expression Language (CEL)-Ausdruck für die Sitzung
    • APPLICATION_CEL_EXPRESSION: einen CEL-Ausdruck für die Anwendung

    Hier ist eine Beispielregeldatei:

    name: projects/PROJECT_ID/locations/REGION/urlLists/allow-repos
basicProfile: ALLOW
enabled: true
priority: 100
description: Allow access to our list of known code repos.
sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"

  2. Fügen Sie eine Secure Web Proxy-Regel mithilfe der zuvor erstellten URL-Liste hinzu:

        gcloud network-security gateway-security-policies rules import RULE_NAME \
      --location=REGION \
      --project=PROJECT_ID \
      --source=RULE_FILE.yaml \
      --gateway-security-policy=POLICY_NAME

Verbindung testen

Verwenden Sie den folgenden curl-Befehl, um die Verbindung zu testen:

curl -x https://SWP_IP_ADDRESS:SWP_PORT_NUMBER HTTP_TEST_ADDRESS
--proxy-insecure

Ersetzen Sie Folgendes:

  • SWP_IP_ADDRESS: die IP-Adresse Ihres Web-Proxys

  • SWP_PORT_NUMBER: die Portnummer für Ihren Webproxy, z. B. 443

  • HTTP_TEST_ADDRESS: Eine zu testende Adresse, z. B. https://www.example.com, die mit einem Host- oder URL-Eintrag in URL_LIST übereinstimmt.

Die Anfrage sollte eine erfolgreiche Antwort zurückgeben.

Nächste Schritte