Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

政策和规则

本页介绍了如何使用 Secure Web Proxy 为出站 Web 流量配置规则。您可以根据各种条件控制允许或拒绝哪些流量，确保只有经过授权的流量离开您的网络。Secure Web Proxy 提供了两种主要机制来定义这些控制措施：授权政策和网关安全政策。

授权政策提供了一个灵活的框架来保护出站流量。您可以使用这些政策来实现精细的控制，包括基于身份和基于内容的政策，并通过使用Service Extensions来支持向外部授权引擎进行委托。

网关安全政策是用于在 Secure Web Proxy 中定义安全规则的基础。它们可根据来源身份（例如服务账号或安全标记）和目标属性（例如网址列表）来允许或拒绝请求。

使用适当的政策类型

借助 Secure Web Proxy，您可以使用授权政策或网关安全政策来管理出站流量。您无法在同一网关上同时使用这两种政策类型。

根据您的需求选择政策类型：

授权政策：使用此政策类型可实现通过 Service Extensions 使用自定义授权扩展程序或前端 mTLS 等功能。

如果您想在现有部署中采用这些功能，则必须将网关安全政策中的出站流量规则迁移到授权政策。

注意：在迁移规则之前，您必须验证授权政策是否支持所有必需的匹配条件。例如，授权政策不支持网址列表。
网关安全政策：如果您需要在政策中使用基于来源身份和目标属性的标准连接级过滤或网址列表，请使用此政策类型。网关安全政策不支持使用自定义授权扩展程序或前端 mTLS 等功能。

授权政策

通过授权政策，您可以在通过 Secure Web Proxy 处理出站请求时建立基于身份的访问权限控制检查。您可以配置授权政策 (AuthzPolicy) 来验证访问互联网的源工作负载或代理的身份。

借助授权政策，您可以指定条件，以根据请求的来源、目标和其他请求属性来允许、拒绝或委托请求授权。通过这些检查的请求会转发到 Web 目标。未通过检查的请求会被拒绝，并显示 403 Forbidden 错误。

对于 Secure Web Proxy，您可以将授权政策附加到网关资源，以定义出站流量的安全边界，并在 Secure Web Proxy 中评估授权政策规则。此外，您还可以配置 Secure Web Proxy，以使用 Service Extensions（授权扩展程序）将授权决策委托给外部授权引擎。

如需详细了解如何配置授权政策，请参阅为 Secure Web Proxy 设置授权政策。

与标准网关安全政策相比，授权政策具有以下优势：

一致的政策界面：使用统一的 AuthzPolicy API 来管理 Secure Web Proxy 以及应用负载平衡器和 Cloud Service Mesh (CSM) 等其他服务的流量授权。
支持 Service Extensions：使用 Service Extensions 将授权决策委托给自定义逻辑。您可以使用授权扩展程序来执行请求级授权（基于标头、身份等）和内容清理（例如敏感数据保护或威胁检测）。
以身份为中心的安全：虽然仍支持基于 IP 的规则，但授权政策可让您根据身份强制执行控制措施，从而提供更强大的安全态势。您可以使用服务账号、标记或前端双向 TLS 来定义安全边界。您还可以使用 Service Extensions 将授权决策委托给基于身份的服务（例如 Identity-Aware Proxy）。

网关安全政策和规则

网关安全政策是定义所有出站 Web 流量访问权限控制的核心安全项目。

网关安全政策包含以下主要功能：

政策控制：政策包含代理用于允许或拒绝 Web 请求的网关安全规则。您可以创建单个政策，并在多个 Secure Web Proxy 实例中重复使用该政策，以确保安全规则的一致性和高效性。
默认安全：网关安全政策默认处于 deny-all 状态。代理会阻止每个 HTTP 和 HTTPS 请求，直到您创建允许该请求的特定规则。这从一开始就强制执行零信任架构。
政策逻辑：每项政策都基于两项核心检查：确定流量来源和验证允许的目标。

网关安全规则是网关安全政策中的一条指令，用于匹配并定义最终操作：允许或拒绝。

您的 Secure Web Proxy 实例会根据优先级评估规则，首先检查优先级值最低的规则。代理会停止并根据与请求匹配的第一条规则采取行动。

会话匹配器：在设置网络连接时检查有关网络连接的基本信息。会话匹配器包含以下项：
- 来源身份（服务账号或安全标记）
- 目标主机名（域名）
- 目标端口
应用匹配器：检查实际 Web 请求的内容。它通常用于确保精细控制，并且需要 TLS 检查来检查加密流量。应用匹配器包括以下项：
- 完整网址路径
- 请求方法 - 例如，屏蔽所有 DELETE 操作
- 特定 HTTP 标头

限制

在 Secure Web Proxy 中配置政策时，会受到以下限制：

网关安全政策：这些政策不支持授权扩展服务。只有通过授权政策才能使用高级功能，例如使用自定义逻辑或将授权决策委托给外部服务。
授权政策：这些政策不支持网址列表或网址字符串的正则表达式 (regex) 匹配。