Cloud Next Generation Firewall 应用层检查可为您的 Google Cloud 资源提供高级保护。应用层检查(也称为深度数据包检测或第 7 层检查)是一种安全流程,用于检查网络数据包在通过防火墙时的内容。
本文档介绍了 Cloud NGFW 中用于应用层检查的服务和组件。
应用层检查服务
Cloud NGFW 提供以下应用层检查服务:网址过滤服务以及入侵检测与防御服务。应用层检查功能可在 Cloud NGFW Enterprise 层级中使用。如需了解详情,请参阅 Cloud NGFW 企业版。
网址过滤服务
网址过滤服务可让您通过屏蔽或允许特定网址来控制对网站的访问权限。此服务可以使用服务器名称指示 (SNI) 按网域进行过滤。如需了解详情,请参阅 网址 过滤服务概览。
入侵检测与防御服务
入侵检测与防御服务会持续监控您的 Google Cloud 工作负载流量以检测恶意活动,并执行抢占式操作来防范威胁。恶意活动可能包括网络上的入侵、恶意软件、间谍软件和“命令和控制”攻击等威胁。如需了解详情,请参阅 入侵检测和防御服务概览。
核心组件
应用层检查服务使用以下组件:
防火墙端点和防火墙端点关联:防火墙端点是一种由 Google 管理的可用区级资源,可在您的网络中执行深度数据包检查。防火墙端点关联可将防火墙端点与 VPC 网络的可用区相关联。您可以在要检查流量的区域中为每个可用区创建一个端点。如需了解详情,请参阅防火墙端点概览。
如需检查加密流量的内容,请创建 TLS 检查政策,然后将该政策添加到防火墙端点关联。如需了解详情,请参阅 TLS 检查概览。
安全配置文件:包含特定安全服务配置的对象。防火墙端点使用安全配置文件扫描拦截的流量。如需了解详情,请参阅安全配置文件概览。
Cloud NGFW 支持以下类型的安全配置文件:
url-filtering:定义网址过滤服务的规则。threat-prevention:配置入侵检测与防御服务。
安全配置文件组:安全配置文件的容器。一个安全配置文件组只能包含一个每种类型的安全配置文件。如需了解详情,请参阅安全配置文件组概览。
apply_security_profile_group操作:一种防火墙规则操作,用于将拦截的流量重定向到防火墙端点以进行检查。如需了解详情,请参阅匹配时的操作。
如需了解核心组件如何协同工作,请参阅网址过滤服务的工作原理和入侵检测和防御服务的工作原理。