סקירה כללית על בדיקה בשכבת האפליקציה

בדיקת שכבת האפליקציה של Cloud Next Generation Firewall מספקת הגנה מתקדמת למשאבים שלכם. Google Cloud בדיקה בשכבת האפליקציה (נקראת גם בדיקה מעמיקה של חבילות או בדיקה בשכבה 7) היא תהליך אבטחה שבו נבדק התוכן של חבילות ברשת כשהן עוברות דרך חומת האש.

במסמך הזה מתוארים השירותים והרכיבים שמשמשים לבדיקה של שכבת האפליקציה ב-Cloud NGFW.

שירותי בדיקה של שכבת האפליקציות

‫Cloud NGFW מציע את שירותי הבדיקה הבאים בשכבת האפליקציה: שירות סינון כתובות URL ושירות לגילוי ולמניעת חדירות. תכונות של בדיקה בשכבת האפליקציה זמינות ברמת Cloud NGFW Enterprise. מידע נוסף זמין במאמר Cloud NGFW Enterprise.

שירות סינון כתובות URL

שירות סינון כתובות URL מאפשר לכם לשלוט בגישה לאתרים על ידי חסימה או מתן גישה לכתובות URL ספציפיות. השירות הזה יכול להשתמש ב-Server Name Indication ‏ (SNI) כדי לסנן לפי דומיין. מידע נוסף מופיע במאמר סקירה כללית של שירות סינון כתובות URL.

שירות גילוי ומניעת חדירות

שירות לזיהוי פריצות ולמניעתן שעוקב באופן רציף אחרי התנועה של עומס העבודה Google Cloud כדי לזהות פעילות זדונית ונוקט פעולות מנע כדי למנוע אותה. הפעילות הזדונית יכולה לכלול איומים כמו פריצות, תוכנות זדוניות, תוכנות ריגול ומתקפות להשגת שליטה ברשת. מידע נוסף זמין במאמר סקירה כללית של שירות גילוי חדירות ומניעה.

רכיבי ליבה

שירותי בדיקה בשכבת האפליקציה משתמשים ברכיבים הבאים:

  • נקודות קצה של חומת אש ושיוכים של נקודות קצה של חומת אש: נקודת קצה של חומת אש היא משאב של תחום מוגדר שמנוהל על ידי Google ומבצע בדיקה מעמיקה של חבילות ברשת. שיוך של נקודת קצה של חומת אש מקשר בין נקודת קצה של חומת אש לבין אזור ברשת VPC. יוצרים נקודת קצה אחת לכל אזור באזור שבו רוצים לבדוק את התעבורה. מידע נוסף מופיע במאמר סקירה כללית על נקודות קצה של חומת אש.

    כדי לבדוק את התוכן של תעבורה מוצפנת, צריך ליצור מדיניות בדיקת TLS ולהוסיף את המדיניות לשיוך של נקודת הקצה של חומת האש. מידע נוסף זמין במאמר סקירה כללית על בדיקת TLS.

  • פרופילי אבטחה: אובייקט שמכיל את ההגדרה של שירות אבטחה ספציפי. נקודות קצה של חומת אש משתמשות בפרופילי אבטחה כדי לסרוק תנועה שנקלטה. מידע נוסף זמין במאמר סקירה כללית על פרופילי אבטחה.

    ‫Cloud NGFW תומך בסוגים הבאים של פרופילי אבטחה:

    • url-filtering: מגדיר כללים לשירות סינון כתובות URL.
    • threat-prevention: הגדרת שירות זיהוי ומניעת פריצות.

  • קבוצת פרופילים של אבטחה: מאגר לפרופילים של אבטחה. קבוצת פרופילים של אבטחה יכולה להכיל רק פרופיל אבטחה אחד מכל סוג. מידע נוסף מופיע במאמר סקירה כללית על קבוצות של פרופילי אבטחה.

  • apply_security_profile_group פעולה: פעולה של כלל חומת אש שמפנה את התנועה שנקלטה לנקודת קצה של חומת אש לצורך בדיקה. מידע נוסף מופיע במאמר בנושא פעולה בהתאמה.

כדי להבין איך רכיבי הליבה פועלים יחד, אפשר לעיין במאמרים איך פועל שירות סינון כתובות URL ואיך פועל שירות גילוי חדירות ומניעתן.

המאמרים הבאים