Firewall-Endpunkte

Der Firewall-Endpunkt ist eine Cloud Next Generation Firewall-Ressource, die erweiterte Layer-7-Sicherheitsfunktionen wie den URL-Filterdienst und den Dienst zur Erkennung und Abwehr von Einbrüchen in Ihrem Netzwerk ermöglicht.

Auf dieser Seite erhalten Sie eine detaillierte Übersicht über Firewall-Endpunkte und ihre Funktionen.

Spezifikationen

  • Ein Firewall-Endpunkt ist eine Organisationsressource, die auf zonaler Ebene erstellt wurde.

  • Firewall-Endpunkte führen eine Layer-7-Firewallprüfung für den abgefangenen Traffic aus.

  • Cloud Next Generation Firewall verwendet die Paketabfangstechnologie von Google Cloud, um Traffic von den Google Cloud -Arbeitslasten in einem VPC-Netzwerk (Virtual Private Cloud) transparent an die Firewall-Endpunkte weiterzuleiten.

    Der Paketabfang ist eine Google Cloud -Funktion, mit der Netzwerk-Appliances transparent in den Pfad des ausgewählten Netzwerk-Traffics eingefügt werden, ohne ihre vorhandenen Routingrichtlinien zu ändern.

  • Cloud NGFW leitet den Arbeitslast-Traffic in einem VPC-Netzwerk nur dann an den Firewall-Endpunkt weiter, wenn die Layer-7-Prüfung für diesen Flow konfiguriert ist.

  • Cloud NGFW fügt jedem Paket, das zur Layer 7-Prüfung an den Firewall-Endpunkt weitergeleitet wird, eine VPC-Netzwerk-ID hinzu. Wenn Sie mehrere VPC-Netzwerke mit sich überschneidenden IP-Adressbereichen haben, sorgt diese Netzwerk-ID dafür, dass jedes umgeleitete Paket dem richtigen VPC-Netzwerk zugeordnet wird.

  • Sie können einen Firewall-Endpunkt in einer Zone erstellen und an ein oder mehrere VPC-Netzwerke anhängen, um Arbeitslasten in derselben Zone zu überwachen. Wenn sich Ihr VPC-Netzwerk über mehrere Zonen erstreckt, können Sie in jeder Zone einen Firewall-Endpunkt anhängen. Wenn Sie keinen Firewall-Endpunkt an ein VPC-Netzwerk in einer bestimmten Zone anhängen, wird keine Layer-7-Prüfung für den Arbeitslast-Traffic für diese Zone durchgeführt.

    Sie verwenden Firewall-Endpunktverknüpfung, um einen Firewall-Endpunkt an ein VPC-Netzwerk anzuhängen.

  • Der Endpunkt und die Arbeitslasten, für die Sie die Layer-7-Prüfung aktivieren möchten, müssen sich in derselben Zone befinden. Das Erstellen des Firewall-Endpunkts in derselben Zone wie die Arbeitslasten hat folgende Vorteile:

    • Geringere Latenz. Da Firewall-Endpunkte den Traffic abfangen, untersuchen und wieder in das Netzwerk einfügen können, ist die Latenz geringer als bei Firewall-Endpunkten in unterschiedlichen Zonen.

    • Kein zonenübergreifender Traffic. Wenn Sie den Traffic innerhalb derselben Zone halten, werden die Kosten gesenkt.

    • Zuverlässigerer Traffic. Wenn Sie den Traffic innerhalb derselben Zone halten, verringern Sie das Risiko von zonenübergreifenden Ausfällen.

  • Firewall-Endpunkte können bis zu 2 Gbit/s Traffic mit TLS-Prüfung (Transport Layer Security) und 10 Gbit/s Traffic ohne TLS-Prüfung verarbeiten. Wenn Sie mehr Traffic senden, kann es zu Paketverlusten kommen. Informationen zum Überwachen der Kapazitätsauslastung des Firewall-Endpunkts finden Sie unter firewall_endpoint-Messwerte zur Netzwerksicherheit.

  • Firewall-Endpunkte können einen maximalen Durchsatz von 250 Mbit/s pro Verbindung für Traffic mit TLS-Prüfung und 1,25 Gbit/s für Traffic ohne TLS-Prüfung haben.

  • Sie können einen Firewallendpunkt erstellen,der Jumbo Frames mit einer Größe von bis zu 8.500 Bytes verarbeitet. Alternativ können Sie einen Endpunkt ohne Unterstützung für Jumbo-Frames erstellen. Weitere Informationen finden Sie unter Unterstützte Paketgröße.

  • Sie können einen Firewall-Endpunkt nur löschen, wenn ihm keine VPC-Netzwerke zugeordnet sind.

  • Google verwaltet die Infrastruktur, das Load Balancing, das Autoscaling und den Lebenszyklus der Firewall-Endpunkte. Wenn Sie einen Firewall-Endpunkt erstellen, bietet Google eine Reihe dedizierter VM-Instanzen, die neben der Zertifikatsverwaltung eine hohe Zuverlässigkeit, Leistung und Sicherheitsisolation für Ihren Traffic gewährleisten.

  • Google bietet Hochverfügbarkeit mithilfe ordnungsgemäßer Failover-Mechanismen für die Firewall-Endpunkte. Dadurch wird ein zuverlässiger Firewallschutz für alle VM-Instanzen gewährleistet, die im verbundenen VPC-Netzwerk abgedeckt sind.

Firewall-Endpunktverknüpfungen

Die Firewall-Endpunktverknüpfung verknüpft einen Firewall-Endpunkt mit einem VPC-Netzwerk in derselben Zone. Nachdem Sie diese Verknüpfung definiert haben, leitet Cloud NGFW den zonalen Arbeitslast-Traffic in Ihrem VPC-Netzwerk, der eine Layer-7-Prüfung erfordert, an den angehängten Firewall-Endpunkt weiter.

Unterstützte Paketgröße

Ein Firewallendpunkt unterstützt entweder Jumbo Frames oder nicht.

  • Ein Firewallendpunkt mit Unterstützung für Jumbo Frames kann Pakete mit einer Größe von bis zu 8.500 Bytes akzeptieren.

    Cloud NGFW reserviert zusätzlich 396 Byte für die GENEVE-Kapselung (erforderlich für die Datenprüfung) und für andere Erweiterungen. Die Gesamtpaketgröße von 8.896 Byte entspricht also der höchstmöglichen maximalen Übertragungseinheit (MTU), die von Google Cloud unterstützt wird.

  • Ein Firewallendpunkt ohne Unterstützung für Jumbo Frames kann Pakete mit einer Größe von bis zu 1.460 Bytes akzeptieren.

Wenn ein Endpunkt größere Pakete empfängt, führt Cloud NGFW den Dienst zur Einbruchserkennung und ‑vermeidung nicht aus. Damit der Dienst zur Erkennung und Abwehr von Eindringlingen ausgeführt und die Layer-7-Prüfung durchgeführt werden kann, müssen Sie die VPC-Netzwerke, die dem Endpunkt zugeordnet sind, so konfigurieren, dass diese MTU-Limits eingehalten werden:

  • Achten Sie bei einem Endpunkt mit Unterstützung für Jumbo Frames darauf, dass die VPC-Netzwerke eine MTU von 8.500 Byte oder weniger verwenden.

  • Achten Sie bei einem Endpunkt ohne Jumbo-Frame-Unterstützung darauf, dass die VPC-Netzwerke eine MTU von 1.460 Byte oder weniger verwenden.

Sie können einen Firewallendpunkt mit oder ohne Unterstützung für Jumbo Frames erstellen. Sie können einen vorhandenen Endpunkt jedoch nicht neu konfigurieren, um Jumbo-Frames zu aktivieren oder zu deaktivieren. Wenn Sie die Unterstützung für Jumbo-Frames hinzufügen oder entfernen möchten, löschen Sie den Endpunkt und erstellen Sie ihn neu. Weitere Informationen finden Sie unter Firewall-Endpunkt erstellen.

Identitäts- und Zugriffsverwaltungsrollen

IAM-Rollen (Identity and Access Management) steuern die folgenden Aktionen zum Verwalten der Firewall-Endpunkte:

  • Firewall-Endpunkt in einer Organisation erstellen
  • Firewall-Endpunkt ändern oder löschen
  • Details eines Firewall-Endpunkts ansehen
  • Alle in einer Organisation konfigurierten Firewall-Endpunkte ansehen

In der folgenden Tabelle werden die Rollen beschrieben, die für jeden Schritt erforderlich sind.

Funktion Erforderliche Rolle
Neuen Firewall-Endpunkt erstellen Eine der folgenden Rollen für die Organisation, in der der Firewall-Endpunkt erstellt wird:

Compute-Netzwerkadministrator (roles/compute.networkAdmin)
Firewall Endpoint-Administrator (roles/networksecurity.firewallEndpointAdmin)
Vorhandenen Firewall-Endpunkt ändern Eine der folgenden Rollen in der Organisation:

Compute-Netzwerkadministrator (roles/compute.networkAdmin)
Firewall Endpoint-Administrator (roles/networksecurity.firewallEndpointAdmin)
Details zum Firewall-Endpunkt in einer Organisation anzeigen Eine der folgenden Rollen in der Organisation:

Compute-Netzwerkadministrator (roles/compute.networkAdmin)
Compute-Netzwerknutzer (roles/compute.networkUser)
Compute-Netzwerkbetrachter (roles/compute.networkViewer)
Firewall-Endpunktadministrator (roles/networksecurity.firewallEndpointAdmin)
Alle Firewall-Endpunkte in einer Organisation anzeigen Eine der folgenden Rollen in der Organisation:

Compute-Netzwerkadministrator (roles/compute.networkAdmin)
Compute-Netzwerknutzer (roles/compute.networkUser)
Compute-Netzwerkbetrachter (roles/compute.networkViewer)
Firewall-Endpunktadministrator (roles/networksecurity.firewallEndpointAdmin)

IAM-Rollen regeln die folgenden Aktionen für die Firewall-Endpunktverknüpfungen:

  • Firewall-Endpunktverknüpfung in einem Projekt erstellen
  • Firewall-Endpunktverknüpfung ändern oder löschen
  • Details einer Firewall-Endpunktverknüpfung ansehen
  • Alle in einem Projekt konfigurierten Firewall-Endpunktverknüpfungen ansehen

In der folgenden Tabelle werden die Rollen beschrieben, die für jeden Schritt erforderlich sind.

Funktion Erforderliche Rolle
Firewall-Endpunktverknüpfung erstellen Eine der folgenden Rollen für das Projekt, in dem die Firewall-Endpunktverknüpfung erstellt wird:

Rolle Compute Network Admin (roles/compute.networkAdmin)
Compute Network User (roles/compute.networkUser) für die Organisation, die Berechtigungen zum Verbinden der VPC (deren Administrator der Nutzer ist) mit dem Endpunkt umfasst (einer Ressource, die der Organisation und nicht unbedingt dem VPC-Inhaber gehört).
Firewall Endpoint Admin (roles/networksecurity.firewallEndpointAdmin)
Firewall-Endpunktverknüpfungen ändern (aktualisieren oder löschen) Eine der folgenden Rollen für das Projekt, in dem sich das VPC-Netzwerk befindet:

Compute-Netzwerkadministrator (roles/compute.networkAdmin)
Firewall Endpoint-Administrator (roles/networksecurity.firewallEndpointAdmin)
Details zur Firewall-Endpunktverknüpfung in einem Projekt ansehen Eine der folgenden Rollen in der Organisation:

Compute-Netzwerkadministrator (roles/compute.networkAdmin)
Compute-Netzwerknutzer (roles/compute.networkUser)
Compute-Netzwerkbetrachter (roles/compute.networkViewer)
Firewall-Endpunktadministrator (roles/networksecurity.firewallEndpointAdmin)
Alle Firewall-Endpunktverknüpfungen in einem Projekt ansehen. Eine der folgenden Rollen in der Organisation:

Compute-Netzwerkadministrator (roles/compute.networkAdmin)
Compute-Netzwerknutzer (roles/compute.networkUser)
Compute-Netzwerkbetrachter (roles/compute.networkViewer)
Firewall-Endpunktadministrator (roles/networksecurity.firewallEndpointAdmin)

Kontingente

Informationen zu Kontingenten für Firewall-Endpunkte finden Sie unter Kontingente und Limits.

Preise

Die Preise für Firewall-Endpunkte finden Sie unter Cloud NGFW-Preise.

Nächste Schritte