Richtlinien mit einer URL-Liste erstellen

In diesem Leitfaden erfahren Sie, wie Sie mithilfe von URL-Listen URLs definieren, die Ihre Nutzer Zugriff haben.

Hinweis

  • Schließen Sie die Ersteinrichtung ab Schritte.

  • Prüfen Sie, ob die Google Cloud CLI Version 406.0.0 oder höher installiert ist:

    gcloud version | head -n1
    

    Wenn Sie eine frühere Version der gcloud CLI installiert haben, aktualisieren Sie die Version:

    gcloud components update --version=406.0.0
    

Secure Web Proxy-Instanz mit einer leeren Richtlinie erstellen

Wenn Sie eine Instanz eines sicheren Web-Proxys erstellen möchten, erstellen Sie zuerst eine leere Sicherheitsrichtlinie und dann einen Web-Proxy.

Leere Sicherheitsrichtlinie erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Sicherer Web-Proxy.

  3. Klicken Sie auf den Tab Richtlinien.

  4. Klicken Sie auf Richtlinie erstellen.

  5. Geben Sie einen Namen für die Richtlinie ein, die Sie erstellen möchten, wie myswppolicy.

  6. Geben Sie eine Beschreibung der Richtlinie ein, z. B. My new swp policy.

  7. Wählen Sie in der Liste Regionen die Region aus, in der Sie den erstellen Sie die Richtlinie.

  8. Klicken Sie auf Erstellen.

Cloud Shell

  1. Erstellen Sie mit Ihrem bevorzugten Texteditor die Datei POLICY_FILE.yaml. Ersetzen Sie POLICY_FILE durch den gewünschten Dateinamen für die Richtliniendatei.

  2. Fügen Sie der von Ihnen erstellten YAML-Datei Folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
    description: POLICY_DESCRIPTION
    

    Ersetzen Sie Folgendes:

    • PROJECT_NAME: Name Ihres Projekts
    • REGION: Region, für die diese Richtlinie gilt
    • POLICY_NAME: der Name der Richtlinie, die Sie erstellen
    • POLICY_DESCRIPTION: die Beschreibung der Richtlinie, die Sie erstellen
  3. Importieren Sie die Sicherheitsrichtlinie:

    gcloud network-security gateway-security-policies import POLICY_NAME \
        --source=POLICY_FILE.yaml \
        --location=REGION
    

Web-Proxy erstellen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Sicherer Web-Proxy.

  3. Klicken Sie auf Web-Proxy einrichten.

  4. Geben Sie einen Namen für den zu erstellenden Web-Proxy ein. wie myswp.

  5. Geben Sie eine Beschreibung des Web-Proxys ein, z. B. My new swp.

  6. Wählen Sie in der Liste Regionen die Region aus, in der Sie den Erstellen Sie den Web-Proxy.

  7. Wählen Sie in der Liste Netzwerk das Netzwerk aus, für das Sie Erstellen Sie den Web-Proxy.

  8. Wählen Sie in der Liste Subnetzwerk das Subnetzwerk aus, in dem Sie den Webproxy erstellen möchten.

  9. Geben Sie die IP-Adresse des Web-Proxys ein.

  10. Wählen Sie in der Liste Zertifikat das Zertifikat aus, mit dem Sie den Webproxy erstellen möchten.

  11. Wählen Sie in der Liste Richtlinie die Richtlinie aus, die Sie erstellt haben, um den Webproxy zu verknüpfen.

  12. Klicken Sie auf Erstellen.

Cloud Shell

  1. Verwenden Sie Ihren bevorzugten Texteditor, um die Datei zu erstellen. GATEWAY_FILE.yaml. Ersetzen Sie GATEWAY_FILE durch den gewünschten Dateinamen für die Webproxydatei.

  2. Fügen Sie der von Ihnen erstellten YAML-Datei Folgendes hinzu:

    name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
    type: SECURE_WEB_GATEWAY
    ports: [GATEWAY_PORT_NUMBERS]
    certificateUrls: [CERTIFICATE_URLS]
    gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
    network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
    subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNET_NAME
    addresses: [GATEWAY_IP_ADDRESS]
    scope: samplescope
    

    Ersetzen Sie Folgendes:

    • GATEWAY_NAME: der Name dieser Instanz
    • GATEWAY_PORT_NUMBERS: eine Liste der Portnummern für dieses Gateway, z. B. [80,443]
    • CERTIFICATE_URLS: eine Liste von SSL-Zertifikat-URLs
    • SUBNET_NAME: Name des Subnetzes, das GATEWAY_IP_ADDRESS enthält

    • GATEWAY_IP_ADDRESS: Eine optionale Liste von IP-Adressen für Ihre sicheren Web-Proxy-Instanzen innerhalb der Proxy-Subnetze, die in den ersten Einrichtungsschritten erstellt wurden.

      Wenn Sie keine IP-Adressen angeben möchten, lassen Sie das Feld leer, damit der Webproxy eine IP-Adresse für Sie auswählt.

  3. So erstellen Sie eine Secure Web Proxy-Instanz:

    gcloud network-services gateways import GATEWAY_NAME \
        --source=GATEWAY_FILE.yaml \
        --location=REGION
    

Verbindung testen

Testen Sie die Verbindung mit dem Befehl curl auf einer beliebigen VM in Ihrem VPC-Netzwerk (Virtual Private Cloud):

  curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure

Es wird ein 403 Forbidden-Fehler erwartet.

URL-Liste erstellen

Führen Sie die Aufgaben in den folgenden Abschnitten aus, um eine URL-Liste zu erstellen und eine Regel hinzuzufügen.

URL-Liste erstellen und konfigurieren

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Sicherer Web-Proxy.

  3. Klicken Sie auf den Tab URL-Listen.

  4. Klicken Sie auf URL-Liste erstellen.

  5. Geben Sie einen Namen für die URL-Liste ein, die Sie erstellen möchten, z. B. myurllist.

  6. Geben Sie eine Beschreibung der URL-Liste ein, z. B. My new URL list.

  7. Wählen Sie in der Liste Regionen die Region aus, in der Sie die URL-Liste erstellen möchten.

  8. Klicken Sie auf Listen hochladen, um die Liste der Hosts, URLs oder Muster zu vergleichen. Weitere Informationen finden Sie in der Syntaxreferenz für UrlList.

  9. Klicken Sie auf Erstellen.

Cloud Shell

  1. Verwenden Sie Ihren bevorzugten Texteditor, um die Datei zu erstellen. URL_LIST_FILE.yaml. ReplaceURL_LIST_FILE` durch den gewünschten Dateinamen.

      name: projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME
      values: URL_LIST
    

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Ihre Projektnummer
    • REGION: die Region, für die diese URL-Liste gilt
    • URL_LIST_NAME: ein Name für die URL-Liste, die Sie erstellen
    • URL_LIST: Liste der Hosts, URLs oder Muster, die abgeglichen werden sollen

    Weitere Informationen finden Sie in der Syntaxreferenz für UrlList.

    Hier sehen Sie ein Beispiel für eine Regeldatei mit einer URL-Liste:

    name: projects/PROJECT_ID/locations/REGION/urlLists/example-org-allowed-list
    values:
      - www.example.com
      - about.example.com
      - "*.google.com"
      - "github.com/example-org/*"
    

    Das Sternchen (*) hat in YAML eine besondere Bedeutung. Dementsprechend wird müssen Sie URLs, die ein *-Zeichen enthalten, in Anführungszeichen setzen.

  2. URL-Liste hinzufügen, damit ein Secure Web Proxy darauf verweisen kann Regel:

    gcloud network-security url-lists import URL_LIST_NAME \
        --location=REGION \
        --project=PROJECT_ID \
        --source=URL_LIST_FILE.yaml
    

Regel hinzufügen

Console

  1. Rufen Sie in der Google Cloud Console die Seite Netzwerksicherheit auf.

    Netzwerksicherheit aufrufen

  2. Klicken Sie auf Secure Web Proxy.

  3. Wählen Sie im Projektauswahlmenü Ihre Organisations-ID oder den Ordner aus der Ihre Richtlinie enthält.

  4. Klicken Sie auf den Namen Ihrer Richtlinie.

  5. Klicken Sie auf Regel hinzufügen.

  6. Füllen Sie die Regelfelder aus:

    1. Name
    2. Beschreibung
    3. Status
    4. Priorität: die numerische Auswertungsreihenfolge der Regel. Die Regeln werden von der höchsten bis zur niedrigsten Priorität ausgewertet, wobei 0 die höchste Priorität ist.
    5. Geben Sie im Abschnitt Aktion an, ob Verbindungen, die der Regel entsprechen, zugelassen (Zulassen) oder abgelehnt (Ablehnen) werden sollen.
    6. Geben Sie im Bereich Sitzungsabgleich den Namen der URL-Liste an. die Sie zuvor erstellt haben. Beispiel:

        sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"
      
    7. Wählen Sie TLS-Prüfung aktivieren aus, um die TLS-Prüfung zu aktivieren.

    8. Geben Sie im Abschnitt Anwendungsabgleich die Kriterien für den Abgleich der Anfrage an.

    9. Klicken Sie auf Erstellen.

  7. Klicken Sie auf Regel hinzufügen, um eine weitere Regel hinzuzufügen.

  8. Klicken Sie auf Erstellen, um die Richtlinie zu erstellen.

Cloud Shell

  1. Erstellen Sie die Datei RULE_FILE.yaml mit einem Texteditor Ihrer Wahl. Ersetzen Sie RULE_FILE durch den gewünschten Dateinamen.

    name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
    basicProfile: ALLOW
    enabled: true
    priority: PRIORITY_VALUE
    description: RULE_DESCRIPTION
    sessionMatcher: SESSION_CEL_EXPRESSION
    applicationMatcher: APPLICATION_CEL_EXPRESSION
    

    Ersetzen Sie Folgendes:

    • PROJECT_ID: Ihre Projektnummer
    • REGION: Region, für die diese Regel gilt
    • POLICY_NAME: der Name einer vorhandenen GatewaySecurityPolicy, die von Ihrer Secure Web Proxy-Instanz verwendet wird
    • RULE_NAME: Name für die GatewaySecurityPolicyRule, die Sie erstellen
    • PRIORITY_VALUE: ein Prioritätswert für diese Regel. Niedrigere Zahlen entsprechen höheren Prioritäten.
    • RULE_DESCRIPTION: eine Beschreibung der Richtlinie, die Sie erstellen
    • SESSION_CEL_EXPRESSION: ein Common Expression Language (CEL)-Ausdruck für die Sitzung
    • APPLICATION_CEL_EXPRESSION: einen CEL-Ausdruck für die Anwendung

    Hier ist eine Beispielregeldatei:

    name: projects/PROJECT_ID/locations/REGION/urlLists/allow-repos
    basicProfile: ALLOW
    enabled: true
    priority: 100
    description: Allow access to our list of known code repos.
    sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"
    

  2. Fügen Sie mithilfe der URL-Liste, die Sie zuvor erstellt haben, eine Secure Web Proxy-Regel hinzu:

        gcloud network-security gateway-security-policies rules import RULE_NAME \
          --location=REGION \
          --project=PROJECT_ID \
          --source=RULE_FILE.yaml \
          --gateway-security-policy=POLICY_NAME
    

Verbindung testen

Testen Sie die Verbindung mit dem folgenden curl-Befehl:

curl -x https://SWP_IP_ADDRESS:SWP_PORT_NUMBER HTTP_TEST_ADDRESS
--proxy-insecure

Ersetzen Sie Folgendes:

  • SWP_IP_ADDRESS: die IP-Adresse zu Ihrem Web-Proxy

  • SWP_PORT_NUMBER: die Portnummer für Ihren Webproxy, z. B. 443

  • HTTP_TEST_ADDRESS: Eine zu testende Adresse, z. B. https://www.example.com, die mit einem Host- oder URL-Eintrag in URL_LIST übereinstimmt.

Die Anfrage sollte eine erfolgreiche Antwort zurückgeben.

Nächste Schritte