應用程式層檢查總覽

Cloud Next Generation Firewall 應用程式層檢查功能可為 Google Cloud 資源提供進階防護。應用程式層檢查 (也稱為深層封包檢查或第 7 層檢查) 是一種安全程序，可檢查網路封包通過防火牆時的內容。

本文說明 Cloud NGFW 中用於應用程式層檢查的服務和元件。

應用程式層檢查服務

Cloud NGFW 提供下列應用程式層檢查服務：網址篩選服務和入侵偵測與防範服務。Cloud NGFW Enterprise 級別提供應用程式層檢查功能，詳情請參閱「Cloud NGFW Enterprise」。

網址篩選服務可讓您封鎖或允許特定網址，藉此控管網站存取權。這項服務可使用伺服器名稱指示 (SNI) 依網域進行篩選。詳情請參閱網址篩選服務總覽。

入侵偵測與防範服務會持續監控您的 Google Cloud 工作負載流量，找出惡意活動並採取預防措施。惡意活動可能包括網路入侵、惡意軟體、間諜軟體和指令與控制攻擊等威脅。詳情請參閱「入侵偵測與防範服務總覽」。

應用層檢查服務使用下列元件：

防火牆端點和防火牆端點關聯：防火牆端點是 Google 管理的可用區資源，可在您的網路中執行深層封包檢查。建立防火牆端點關聯之後，防火牆端點就會連結至虛擬私有雲網路的可用區。在要檢查流量的區域中，每個可用區建立一個端點。詳情請參閱「防火牆端點總覽」。

如要檢查加密流量的內容，請建立 TLS 檢查政策，並將該政策新增至防火牆端點關聯。詳情請參閱「TLS 檢查總覽」。
安全性設定檔：包含特定安全服務設定的物件。防火牆端點會使用安全性設定檔掃描攔截的流量。詳情請參閱「安全性設定檔總覽」。

Cloud NGFW 支援下列類型的安全性設定檔：
- url-filtering：定義網址篩選服務的規則。
- threat-prevention：設定入侵偵測與防範服務。
安全性設定檔群組：安全性設定檔的容器。安全性設定檔群組只能包含每種類型的一個安全性設定檔。詳情請參閱「安全性設定檔群組總覽」。
apply_security_profile_group 動作：防火牆規則動作，可將攔截的流量重新導向至防火牆端點進行檢查。詳情請參閱「比對時的動作」。