應用程式層檢查總覽

Cloud Next Generation Firewall 應用程式層檢查功能可為資源提供進階防護。 Google Cloud 應用程式層檢查 (也稱為深層封包檢查或第 7 層檢查) 是一種安全程序,可檢查網路封包通過防火牆時的內容。

本文說明 Cloud NGFW 中用於應用程式層檢查的服務和元件。

應用程式層檢查服務

Cloud NGFW 提供下列應用程式層檢查服務:網址篩選服務和入侵偵測與防範服務。Cloud NGFW Enterprise 級別提供應用程式層檢查功能,詳情請參閱 Cloud NGFW Enterprise

網址篩選服務

網址篩選服務可讓您封鎖或允許特定網址,藉此控管網站存取權。這項服務可使用伺服器名稱指示 (SNI) 依網域進行篩選。詳情請參閱 網址篩選服務總覽

入侵偵測與防範服務

入侵偵測與防範服務會持續監控 Google Cloud 工作負載流量,找出惡意活動並採取預防措施。惡意活動可能包括網路入侵、惡意軟體、間諜軟體和指令與控制攻擊等威脅。詳情請參閱「 入侵偵測與防範服務總覽」。

核心元件

應用層檢查服務使用下列元件:

  • 防火牆端點防火牆端點關聯:防火牆端點是 Google 管理的可用區資源,可在您的網路中執行深層封包檢查。防火牆端點關聯會將防火牆端點連結至虛擬私有雲網路的可用區。在要檢查流量的區域中,每個可用區建立一個端點。詳情請參閱「防火牆端點總覽」。

    如要檢查加密流量的內容,請建立 TLS 檢查政策,並將該政策新增至防火牆端點關聯。詳情請參閱「TLS 檢查總覽」。

  • 安全設定檔:包含特定安全服務設定的物件。防火牆端點會使用安全性設定檔掃描攔截的流量。詳情請參閱「安全性設定檔總覽」。

    Cloud NGFW 支援下列類型的安全性設定檔:

    • url-filtering:定義網址篩選服務的規則。
    • threat-prevention:設定入侵偵測與防範服務。
  • 安全性設定檔群組:安全性設定檔的容器。安全性設定檔群組只能包含每種類型的一個安全性設定檔。詳情請參閱「安全性設定檔群組總覽」。

  • apply_security_profile_group 動作:防火牆規則動作,可將攔截到的流量重新導向至防火牆端點進行檢查。詳情請參閱「比對後的動作」。

如要瞭解核心元件如何搭配運作,請參閱「網址篩選服務的運作方式」和「入侵偵測和防範服務的運作方式」。

機構層級和專案層級資源

您可以在機構層級或專案層級,建立及設定應用程式層檢查元件。機構層級資源會透過階層式防火牆政策套用至整個機構。專案層級資源僅適用於具有全域網路防火牆政策的專案。

  • 如要強制執行機構層級的必要安全性政策,請使用機構層級的資源。
  • 如要管理特定應用程式的規則,請使用專案層級的資源。

下表比較機構層級和專案層級資源的特性:

功能 機構層級資源 專案層級資源
權限 必須具備機構層級的 IAM 角色才能設定。 需要專案層級的 IAM 角色才能設定。
階層結構式政策 可供階層式防火牆政策參照。 無法由階層式防火牆政策參照。
範圍 機構層級的安全性設定檔群組會自動套用至機構中的所有防火牆端點。 專案層級安全設定檔群組只會套用至特定專案中的防火牆端點。無法跨專案套用。
帳單 防火牆端點正常運作時間的費用會計入您提供的指定帳單專案。 防火牆端點正常運作時間的費用,會直接計入擁有資源的專案。

限制

  • 專案層級的安全性設定檔群組只會套用至相同專案中的防火牆端點。您無法跨專案套用這些設定。

  • 如果專案包含專案層級的資源,就無法遷移至其他機構。

  • 每個區域只能將一個防火牆端點與虛擬私有雲網路建立關聯。每個區域都必須使用專案層級或機構層級端點。

  • 如果您將虛擬私有雲網路與不同專案中的專案層級防火牆端點建立關聯,這兩個專案必須位於同一機構。

後續步驟