In diesem Leitfaden erfahren Sie, wie Sie mithilfe von URL-Listen URLs definieren, die Ihre Nutzer Zugriff haben.
Hinweis
Schließen Sie die Ersteinrichtung ab Schritte.
Prüfen Sie, ob die Google Cloud CLI Version 406.0.0 oder höher installiert ist:
gcloud version | head -n1
Wenn Sie eine frühere Version der gcloud CLI installiert haben, aktualisieren Sie die Version:
gcloud components update --version=406.0.0
Secure Web Proxy-Instanz mit einer leeren Richtlinie erstellen
Wenn Sie eine Instanz eines sicheren Web-Proxys erstellen möchten, erstellen Sie zuerst eine leere Sicherheitsrichtlinie und dann einen Web-Proxy.
Leere Sicherheitsrichtlinie erstellen
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf Sicherer Web-Proxy.
Klicken Sie auf den Tab Richtlinien.
Klicken Sie auf Richtlinie erstellen.
Geben Sie einen Namen für die Richtlinie ein, die Sie erstellen möchten, wie
myswppolicy
.Geben Sie eine Beschreibung der Richtlinie ein, z. B.
My new swp policy
.Wählen Sie in der Liste Regionen die Region aus, in der Sie den erstellen Sie die Richtlinie.
Klicken Sie auf Erstellen.
Cloud Shell
Erstellen Sie mit Ihrem bevorzugten Texteditor die Datei
POLICY_FILE
.yaml. Ersetzen SiePOLICY_FILE
durch den gewünschten Dateinamen für die Richtliniendatei.Fügen Sie der von Ihnen erstellten YAML-Datei Folgendes hinzu:
name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME description: POLICY_DESCRIPTION
Ersetzen Sie Folgendes:
PROJECT_NAME
: Name Ihres ProjektsREGION
: Region, für die diese Richtlinie giltPOLICY_NAME
: der Name der Richtlinie, die Sie erstellenPOLICY_DESCRIPTION
: die Beschreibung der Richtlinie, die Sie erstellen
Importieren Sie die Sicherheitsrichtlinie:
gcloud network-security gateway-security-policies import POLICY_NAME \ --source=POLICY_FILE.yaml \ --location=REGION
Web-Proxy erstellen
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf Sicherer Web-Proxy.
Klicken Sie auf Web-Proxy einrichten.
Geben Sie einen Namen für den zu erstellenden Web-Proxy ein. wie
myswp
.Geben Sie eine Beschreibung des Web-Proxys ein, z. B.
My new swp
.Wählen Sie in der Liste Regionen die Region aus, in der Sie den Erstellen Sie den Web-Proxy.
Wählen Sie in der Liste Netzwerk das Netzwerk aus, für das Sie Erstellen Sie den Web-Proxy.
Wählen Sie in der Liste Subnetzwerk das Subnetzwerk aus, in dem Sie den Webproxy erstellen möchten.
Geben Sie die IP-Adresse des Web-Proxys ein.
Wählen Sie in der Liste Zertifikat das Zertifikat aus, mit dem Sie den Webproxy erstellen möchten.
Wählen Sie in der Liste Richtlinie die Richtlinie aus, die Sie erstellt haben, um den Webproxy zu verknüpfen.
Klicken Sie auf Erstellen.
Cloud Shell
Verwenden Sie Ihren bevorzugten Texteditor, um die Datei zu erstellen.
GATEWAY_FILE
.yaml. Ersetzen SieGATEWAY_FILE
durch den gewünschten Dateinamen für die Webproxydatei.Fügen Sie der von Ihnen erstellten YAML-Datei Folgendes hinzu:
name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME type: SECURE_WEB_GATEWAY ports: [GATEWAY_PORT_NUMBERS] certificateUrls: [CERTIFICATE_URLS] gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME network: projects/PROJECT_NAME/global/networks/NETWORK_NAME subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME addresses: [GATEWAY_IP_ADDRESS] scope: samplescope
Ersetzen Sie Folgendes:
GATEWAY_NAME
: der Name dieser InstanzGATEWAY_PORT_NUMBERS
: eine Liste der Portnummern für dieses Gateway, z. B.[80,443]
CERTIFICATE_URLS
: eine Liste von SSL-Zertifikat-URLsSUBNET_NAME
: Name des Subnetzes, dasGATEWAY_IP_ADDRESS
enthältGATEWAY_IP_ADDRESS
: Eine optionale Liste von IP-Adressen für Ihre sicheren Web-Proxy-Instanzen innerhalb der Proxy-Subnetze, die in den ersten Einrichtungsschritten erstellt wurden.Wenn Sie keine IP-Adressen angeben möchten, lassen Sie das Feld leer, damit der Webproxy eine IP-Adresse für Sie auswählt.
So erstellen Sie eine Secure Web Proxy-Instanz:
gcloud network-services gateways import GATEWAY_NAME \ --source=GATEWAY_FILE.yaml \ --location=REGION
Verbindung testen
Testen Sie die Verbindung mit dem Befehl curl
auf einer beliebigen VM in Ihrem
VPC-Netzwerk (Virtual Private Cloud):
curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure
Es wird ein 403 Forbidden
-Fehler erwartet.
URL-Liste erstellen
Führen Sie die Aufgaben in den folgenden Abschnitten aus, um eine URL-Liste zu erstellen und eine Regel hinzuzufügen.
URL-Liste erstellen und konfigurieren
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf Sicherer Web-Proxy.
Klicken Sie auf den Tab URL-Listen.
Klicken Sie auf URL-Liste erstellen.
Geben Sie einen Namen für die URL-Liste ein, die Sie erstellen möchten, z. B.
myurllist
.Geben Sie eine Beschreibung der URL-Liste ein, z. B.
My new URL list
.Wählen Sie in der Liste Regionen die Region aus, in der Sie die URL-Liste erstellen möchten.
Klicken Sie auf Listen hochladen, um die Liste der Hosts, URLs oder Muster zu vergleichen. Weitere Informationen finden Sie in der Syntaxreferenz für UrlList.
Klicken Sie auf Erstellen.
Cloud Shell
Verwenden Sie Ihren bevorzugten Texteditor, um die Datei zu erstellen. URL_LIST_FILE
.yaml. Replace
URL_LIST_FILE` durch den gewünschten Dateinamen.name: projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME values: URL_LIST
Ersetzen Sie Folgendes:
PROJECT_ID
: Ihre ProjektnummerREGION
: die Region, für die diese URL-Liste giltURL_LIST_NAME
: ein Name für die URL-Liste, die Sie erstellenURL_LIST
: Liste der Hosts, URLs oder Muster, die abgeglichen werden sollen
Weitere Informationen finden Sie in der Syntaxreferenz für UrlList.
Hier sehen Sie ein Beispiel für eine Regeldatei mit einer URL-Liste:
name: projects/PROJECT_ID/locations/REGION/urlLists/example-org-allowed-list values: - www.example.com - about.example.com - "*.google.com" - "github.com/example-org/*"
Das Sternchen (
*
) hat in YAML eine besondere Bedeutung. Dementsprechend wird müssen Sie URLs, die ein*
-Zeichen enthalten, in Anführungszeichen setzen.URL-Liste hinzufügen, damit ein Secure Web Proxy darauf verweisen kann Regel:
gcloud network-security url-lists import URL_LIST_NAME \ --location=REGION \ --project=PROJECT_ID \ --source=URL_LIST_FILE.yaml
Regel hinzufügen
Console
Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.
Klicken Sie auf Secure Web Proxy.
Wählen Sie im Projektauswahlmenü Ihre Organisations-ID oder den Ordner aus der Ihre Richtlinie enthält.
Klicken Sie auf den Namen Ihrer Richtlinie.
Klicken Sie auf Regel hinzufügen.
Füllen Sie die Regelfelder aus:
- Name
- Beschreibung
- Status
- Priorität: die numerische Auswertungsreihenfolge der Regel. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei
0
die höchste Priorität ist. - Geben Sie im Abschnitt Aktion an, ob Verbindungen, die der Regel entsprechen, zugelassen (Zulassen) oder abgelehnt (Ablehnen) werden sollen.
Geben Sie im Bereich Sitzungsabgleich den Namen der URL-Liste an. die Sie zuvor erstellt haben. Beispiel:
sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"
Wählen Sie TLS-Prüfung aktivieren aus, um die TLS-Prüfung zu aktivieren.
Geben Sie im Abschnitt Anwendungsabgleich die Kriterien für den Abgleich der Anfrage an.
Klicken Sie auf Erstellen.
Klicken Sie auf Regel hinzufügen, um eine weitere Regel hinzuzufügen.
Klicken Sie auf Erstellen, um die Richtlinie zu erstellen.
Cloud Shell
Erstellen Sie die Datei
RULE_FILE
.yaml mit einem Texteditor Ihrer Wahl. Ersetzen SieRULE_FILE
durch den gewünschten Dateinamen.name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME basicProfile: ALLOW enabled: true priority: PRIORITY_VALUE description: RULE_DESCRIPTION sessionMatcher: SESSION_CEL_EXPRESSION applicationMatcher: APPLICATION_CEL_EXPRESSION
Ersetzen Sie Folgendes:
PROJECT_ID
: Ihre ProjektnummerREGION
: Region, für die diese Regel giltPOLICY_NAME
: der Name einer vorhandenenGatewaySecurityPolicy
, die von Ihrer Secure Web Proxy-Instanz verwendet wirdRULE_NAME
: Name für dieGatewaySecurityPolicyRule
, die Sie erstellenPRIORITY_VALUE
: ein Prioritätswert für diese Regel. Niedrigere Zahlen entsprechen höheren Prioritäten.RULE_DESCRIPTION
: eine Beschreibung der Richtlinie, die Sie erstellenSESSION_CEL_EXPRESSION
: ein Common Expression Language (CEL)-Ausdruck für die SitzungAPPLICATION_CEL_EXPRESSION
: einen CEL-Ausdruck für die Anwendung
Hier ist eine Beispielregeldatei:
name: projects/PROJECT_ID/locations/REGION/urlLists/allow-repos basicProfile: ALLOW enabled: true priority: 100 description: Allow access to our list of known code repos. sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"
Fügen Sie mithilfe der URL-Liste, die Sie zuvor erstellt haben, eine Secure Web Proxy-Regel hinzu:
gcloud network-security gateway-security-policies rules import RULE_NAME \ --location=REGION \ --project=PROJECT_ID \ --source=RULE_FILE.yaml \ --gateway-security-policy=POLICY_NAME
Verbindung testen
Testen Sie die Verbindung mit dem folgenden curl
-Befehl:
curl -x https://SWP_IP_ADDRESS:SWP_PORT_NUMBER HTTP_TEST_ADDRESS
--proxy-insecure
Ersetzen Sie Folgendes:
SWP_IP_ADDRESS
: die IP-Adresse zu Ihrem Web-ProxySWP_PORT_NUMBER
: die Portnummer für Ihren Webproxy, z. B.443
HTTP_TEST_ADDRESS
: Eine zu testende Adresse, z. B.https://www.example.com
, die mit einem Host- oder URL-Eintrag inURL_LIST
übereinstimmt.
Die Anfrage sollte eine erfolgreiche Antwort zurückgeben.