Prüfung der Anwendungsebene – Übersicht

Die Prüfung der Anwendungsebene der Cloud Next Generation Firewall bietet erweiterten Schutz für Ihre Google Cloud Ressourcen. Die Prüfung der Anwendungsebene (auch als Deep Packet Inspection oder Layer-7-Prüfung bezeichnet) ist ein Sicherheitsprozess, bei dem der Inhalt von Netzwerkpaketen untersucht wird, während sie die Firewall passieren.

In diesem Dokument werden die Dienste und Komponenten beschrieben, die für die Prüfung der Anwendungsebene in Cloud NGFW verwendet werden.

Dienste zur Prüfung der Anwendungsebene

Cloud NGFW bietet die folgenden Dienste zur Prüfung der Anwendungsebene: URL-Filterdienst und Dienst zur Einbruchserkennung und -vermeidung. Funktionen zur Prüfung der Anwendungsebene sind in der Cloud NGFW Enterprise-Stufe verfügbar. Weitere Informationen finden Sie unter Cloud NGFW Enterprise.

URL-Filterdienst

Mit dem URL-Filterdienst können Sie den Zugriff auf Websites steuern, indem Sie bestimmte URLs blockieren oder zulassen. Dieser Dienst kann Server Name Indication (SNI) verwenden, um nach Domain zu filtern. Weitere Informationen finden Sie unter URL-Filterdienst – Übersicht.

Dienst zur Einbruchserkennung und -vermeidung

Der Dienst zur Einbruchserkennung und -vermeidung überwacht Ihren Google Cloud Arbeitslast- Traffic kontinuierlich auf schädliche Aktivitäten und ergreift präventive Maßnahmen, um diese zu verhindern. Zu den schädlichen Aktivitäten gehören Bedrohungen wie Einbrüche, Malware, Spyware und Command-and-Control-Angriffe in Ihrem Netzwerk. Weitere Informationen finden Sie unter Dienst zur Einbruchserkennung und -vermeidung – Übersicht.

Kernkomponenten

Für die Dienste zur Prüfung der Anwendungsebene werden die folgenden Komponenten verwendet:

• Firewall-Endpunkte und Firewall-Endpunktverknüpfungen: Ein Firewall Endpunkt ist eine von Google verwaltete zonale Ressource, die eine Deep Packet Inspection in Ihrem Netzwerk durchführt. Eine Firewall-Endpunktverknüpfung verknüpft einen Firewall-Endpunkt mit einer Zone eines VPC-Netzwerk. Sie erstellen einen Endpunkt pro Zone in der Region, in der Sie Traffic prüfen möchten. Weitere Informationen finden Sie unter Firewall-Endpunkt – Übersicht.

  Wenn Sie den Inhalt von verschlüsseltem Traffic prüfen möchten, erstellen Sie eine TLS-Prüfungsrichtlinie und fügen Sie sie der Firewall-Endpunktverknüpfung hinzu. Weitere Informationen finden Sie unter TLS-Prüfung – Übersicht.

• Sicherheitsprofile: Ein Objekt, das die Konfiguration für einen bestimmten Sicherheitsdienst enthält. Firewall-Endpunkte verwenden Sicherheitsprofile, um abgefangenen Traffic zu scannen. Weitere Informationen finden Sie unter Sicherheitsprofile – Übersicht.

  Cloud NGFW unterstützt die folgenden Arten von Sicherheitsprofilen:

  • url-filtering: Definiert Regeln für den URL-Filterdienst.
  • threat-prevention: Konfiguriert den Dienst zur Einbruchserkennung und -vermeidung.

• Sicherheitsprofilgruppe: Ein Container für Sicherheitsprofile. Eine Sicherheitsprofilgruppe kann nur ein Sicherheitsprofil jedes Typs enthalten. Weitere Informationen finden Sie unter Sicherheitsprofilgruppe – Übersicht.

• Aktion apply_security_profile_group: Eine Firewallregelaktion, die den abgefangenen Traffic zur Prüfung an einen Firewall-Endpunkt weiterleitet. Weitere Informationen finden Sie unter Aktion bei Übereinstimmung.

Informationen zum Zusammenspiel der Kernkomponenten finden Sie unter Funktionsweise des URL-Filterdienstes und Funktionsweise des Dienstes zur Einbruchserkennung und -vermeidung.

Nächste Schritte

• URL-Filterdienst – Übersicht
• Dienst zur Einbruchserkennung und -vermeidung – Übersicht
• TLS-Prüfung – Übersicht