Implementar una instancia de proxy web seguro
Esta guía de inicio rápido explica cómo implementar y probar una instancia de proxy web seguro.
Antes de empezar
Complete los pasos de configuración inicial .
Opcional: instale la CLI de Google Cloud en cualquiera de los siguientes entornos de desarrollo si desea ejecutar los ejemplos de línea de comandos
gcloudespecificados en esta guía:Cloud Shell
Para utilizar una terminal en línea con la CLI de gcloud ya configurada, active Cloud Shell:
Al final de esta página, se inicia una sesión de Cloud Shell y se muestra un mensaje de línea de comandos. La sesión puede tardar unos segundos en inicializarse.
Shell local
Para utilizar un entorno de desarrollo local, siga estos pasos:
Crea o selecciona una Google Cloud proyecto.
Consola
En el Google Cloud consola, en la página del selector de proyectos, seleccione o cree un Google Cloud proyecto .
Cloud Shell
Crear una Google Cloud proyecto:
gcloud projects create PROJECT_IDReemplace
PROJECT_IDcon el ID del proyecto que desee.Seleccione el Google Cloud proyecto que usted creó:
gcloud config set project PROJECT_ID
Cree una instancia de máquina virtual (VM) Linux.
gcloud compute instances create swp-test-vm \ --subnet=default \ --zone=ZONE \ --image-project=debian-cloud \ --image-family=debian-11Compute Engine otorga al usuario que crea la máquina virtual el rol de administrador de instancia de cómputo (
roles/compute.instanceAdmin). Compute Engine también agrega a ese usuario al grupo sudo.Crear una regla de firewall.
gcloud compute firewall-rules create default-allow-ssh \ --direction=INGRESS \ --priority=1000 \ --network=default \ --action=ALLOW \ --rules=tcp:22 \ --source-ranges=0.0.0.0/0
Crear una política de proxy web seguro
Consola
En el Google Cloud consola, vaya a la página Políticas de SWP .
Haga clic Crear una política .
Ingrese un nombre para la política que desea crear, como
myswppolicy.Ingrese una descripción de la política, como por ejemplo
My new swp policy.En la lista Regiones , seleccione la región donde desea crear la política de proxy web.
Si desea crear reglas para su política, haga clic en "Agregar regla" . Para obtener más información, consulte la sección "Crear reglas de proxy web seguro" .
Haga clic en Crear .
Cloud Shell
Crea el archivo
policy.yaml.description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1Crear la política de proxy web seguro.
gcloud network-security gateway-security-policies import policy1 \ --source=policy.yaml \ --location=REGION
Crear reglas de proxy web seguro
Consola
En el Google Cloud consola, vaya a la página Políticas de SWP .
Haga clic en el nombre de su póliza.
Haga clic Agregar regla .
Complete los siguientes campos de reglas:
- Nombre
- Descripción
- Estado
- Prioridad : orden numérico de evaluación de la regla. Las reglas se evalúan de mayor a menor prioridad, siendo
0la prioridad más alta. - En la sección Acción , especifique si las conexiones que coinciden con la regla están permitidas ( Permitir ) o denegadas ( Denegar ).
- En la sección Coincidencia de sesión , especifique los criterios de coincidencia de la sesión. Para obtener más información sobre la sintaxis de
SessionMatcher, consulte la referencia del lenguaje de coincidencias de CEL . - Opcional: si desea habilitar la inspección TLS, seleccione Habilitar inspección TLS .
- En la sección Coincidencia de aplicaciones , especifique los criterios para la coincidencia de la solicitud. Si no habilita la regla de inspección TLS, la solicitud solo podrá coincidir con el tráfico HTTP.
- Haga clic en Crear .
Haga clic en Agregar regla para agregar otra regla.
Cloud Shell
Cree el archivo
rule.yamlcomo se muestra aquí.```yaml name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org description: Allow wikipedia.org enabled: true priority: 1 basicProfile: ALLOW sessionMatcher: host() == 'wikipedia.org' ```Opcional: como alternativa, si desea crear una regla con la configuración de inspección TLS, cree el archivo
rule.yamlcomo se muestra aquí.```yaml name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-wikipedia-org description: Allow wikipedia.org enabled: true priority: 1 basicProfile: ALLOW sessionMatcher: host() == 'wikipedia.org' applicationMatcher: request.path.contains('index.html') tlsInspectionEnabled: true
Crear la regla de política de seguridad.
gcloud network-security gateway-security-policies rules import allow-wikipedia-org \ --source=rule.yaml \ --location=REGION \ --gateway-security-policy=policy1
Configurar un proxy web
Esta sección explica cómo implementar Secure Web Proxy como un proxy explícito .
Como alternativa, puede implementar Secure Web Proxy como un archivo adjunto de servicio de Conexión de servicio privado o como un siguiente salto .
Consola
En el Google Cloud consola, vaya a la página de Proxies Web .
Haga clic en Crear un proxy web seguro .
Ingrese un nombre para el proxy web que desea crear, como
myswp.Ingrese una descripción del proxy web, como
My new swp.Para el modo de enrutamiento , seleccione la opción Explícito .
En la lista Regiones , seleccione la región donde desea crear el proxy web.
En la lista Red , seleccione la red donde desea crear el proxy web.
En la lista Subred , seleccione la subred donde desea crear el proxy web.
Introduzca la dirección IP del proxy web.
En la lista Certificado , seleccione el certificado que desea utilizar para crear el proxy web.
En la lista Política , seleccione la política que creó para asociar el proxy web.
Haga clic en Crear .
Cloud Shell
Crea el archivo
gateway.yaml.name: projects/PROJECT_ID/locations/REGION/gateways/swp1 type: SECURE_WEB_GATEWAY addresses: ["IP_ADDRESS"] ports: [443] gatewaySecurityPolicy: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1 network: projects/PROJECT_ID/global/networks/NETWORK subnetwork: projects/PROJECT_ID/regions/REGION/subnetworks/SUBNETWORK routingMode: EXPLICIT_ROUTING_MODECrear una instancia de proxy web seguro.
gcloud network-services gateways import swp1 \ --source=gateway.yaml \ --location=REGIONLa implementación de una instancia de proxy web seguro puede tardar varios minutos.
Probar la conectividad
Conéctese a la máquina virtual que aprovisionó previamente.
gcloud compute ssh swp-test-vm \ --zone=ZONEPruebe la instancia de proxy web seguro.
curl -x IP_ADDRESS
Limpiar
Para evitar incurrir en cargos a su Google Cloud Para dar cuenta de los recursos utilizados en esta página, siga estos pasos.
Eliminar la instancia del proxy web seguro swp1
Consola
En el Google Cloud En la consola, vaya a la página Proxies Web . Puede ver la lista de todos los proxies web o solo los disponibles en una red específica.
Seleccione el proxy web que desea eliminar.
Haga clic en Eliminar .
Haga clic en Eliminar nuevamente para confirmar.
Cloud Shell
gcloud network-services gateways delete swp1 \
--location=REGION
Eliminar la regla allow-wikipedia-org
Consola
En el Google Cloud En la consola, vaya a la página Proxies Web . Puede ver la lista de todos los proxies web o solo los disponibles en una red específica.
Haga clic en su póliza.
Seleccione la regla que desea eliminar.
Haga clic en Eliminar .
Haga clic en Eliminar nuevamente para confirmar.
Cloud Shell
gcloud network-security gateway-security-policies rules delete allow-wikipedia-org \
--location=REGION \
--gateway-security-policy=policy1
Eliminar la policy1 Política de proxy web seguro
Consola
En el Google Cloud En la consola, vaya a la página Proxies Web . Puede ver la lista de todos los proxies web o solo los disponibles en una red específica.
Seleccione la política que desea eliminar.
Haga clic en Eliminar .
Haga clic en Eliminar nuevamente para confirmar.
Cloud Shell
gcloud network-security gateway-security-policies delete policy1 \
--location=REGION
Eliminar la instancia de máquina virtual Linux swp-test-vm
Consola
En el Google Cloud consola, vaya a la página de instancias de VM .
Seleccione las instancias que desea eliminar.
Haga clic en Eliminar .
Cloud Shell
gcloud compute instances delete swp-test-vm