Der Firewall-Endpunkt ist eine Cloud Next Generation Firewall-Ressource, die erweiterte Layer-7-Sicherheitsfunktionen wie den URL-Filterdienst und den Dienst zur Einbruchserkennung und -abwehr in Ihrem Netzwerk ermöglicht.
Auf dieser Seite erhalten Sie eine detaillierte Übersicht über Firewall-Endpunkte und ihre Funktionen.
Spezifikationen
Ein Firewall-Endpunkt ist eine zonale Ressource, die Sie auf Organisations- oder Projektebene konfigurieren können.
Firewallendpunkte auf Organisationsebene: Organisationsadministratoren erstellen und verwalten diese Endpunkte, um die Sicherheit zentral in Ihrer Organisation zu verwalten.
Firewall-Endpunkte auf Projektebene (Vorschau): Projektadministratoren erstellen und verwalten diese Endpunkte innerhalb eines Projekts. Sie können jedes VPC-Netzwerk in der Organisation mit einem Endpunkt auf Projektebene verknüpfen. Erstellen Sie Firewallendpunkte auf Projektebene, wenn Sie keine Berechtigungen auf Organisationsebene zum Erstellen von Firewallendpunkten auf Organisationsebene erhalten können.
Firewall-Endpunkte führen eine Layer-7-Firewallprüfung für den abgefangenen Traffic aus.
Cloud Next Generation Firewall verwendet die Paketabfangstechnologie von Google Cloud, um Traffic von den Google Cloud -Arbeitslasten in einem VPC-Netzwerk (Virtual Private Cloud) transparent an die Firewall-Endpunkte weiterzuleiten.
Der Paketabfang ist eine Google Cloud -Funktion, mit der Netzwerk-Appliances transparent in den Pfad des ausgewählten Netzwerkverkehrs eingefügt werden, ohne ihre vorhandenen Routingrichtlinien zu ändern.
Cloud NGFW leitet den Arbeitslast-Traffic in einem VPC-Netzwerk nur dann an den Firewall-Endpunkt weiter, wenn die Layer-7-Prüfung für diesen Flow konfiguriert ist.
Cloud NGFW fügt jedem Paket, das zur Layer 7-Prüfung an den Firewall-Endpunkt weitergeleitet wird, eine VPC-Netzwerk-ID hinzu. Wenn Sie mehrere VPC-Netzwerke mit sich überschneidenden IP-Adressbereichen haben, sorgt diese Netzwerk-ID dafür, dass jedes umgeleitete Paket dem richtigen VPC-Netzwerk zugeordnet wird.
Sie können einen Firewall-Endpunkt in einer Zone erstellen und an ein oder mehrere VPC-Netzwerke anhängen, um Arbeitslasten in derselben Zone zu überwachen. Wenn sich Ihr VPC-Netzwerk über mehrere Zonen erstreckt, können Sie in jeder Zone einen Firewall-Endpunkt anhängen. Wenn Sie keinen Firewall-Endpunkt an ein VPC-Netzwerk in einer bestimmten Zone anhängen, wird keine Layer-7-Prüfung für den Arbeitslast-Traffic für diese Zone durchgeführt.
Sie verwenden Firewall-Endpunktverknüpfung, um einen Firewall-Endpunkt an ein VPC-Netzwerk anzuhängen.
Der Endpunkt und die Arbeitslasten, für die Sie die Layer-7-Prüfung aktivieren möchten, müssen sich in derselben Zone befinden. Das Erstellen des Firewall-Endpunkts in derselben Zone wie die Arbeitslasten hat folgende Vorteile:
Geringere Latenz. Da Firewall-Endpunkte den Traffic abfangen, untersuchen und wieder in das Netzwerk einfügen können, ist die Latenz geringer als bei Firewall-Endpunkten in unterschiedlichen Zonen.
Kein zonenübergreifender Traffic. Wenn Sie den Traffic innerhalb derselben Zone halten, werden die Kosten gesenkt.
Zuverlässigerer Traffic. Wenn Sie den Traffic innerhalb derselben Zone halten, verringern Sie das Risiko von zonenübergreifenden Ausfällen.
Firewall-Endpunkte können bis zu 2 Gbit/s Traffic mit TLS-Prüfung (Transport Layer Security) und 10 Gbit/s Traffic ohne TLS-Prüfung verarbeiten. Bei übermäßigem Traffic kann der Endpunkt überlastet werden und es kann zu Paketverlusten kommen. Informationen zum Überwachen der Kapazitätsauslastung des Firewall-Endpunkts finden Sie unter
firewall_endpoint-Messwerte für Netzwerksicherheit.Da der Endpunkt nicht genehmigte Nachrichten nicht weiterleitet, kann es bei einem überlasteten Endpunkt zu Verlusten bei legitimem Traffic kommen, wenn er den Traffic nicht prüfen kann.
Firewall-Endpunkte können einen maximalen Durchsatz von 250 Mbit/s pro Verbindung für Traffic mit TLS-Prüfung und 1,25 Gbit/s für Traffic ohne TLS-Prüfung haben.
Sie können einen Firewallendpunkt erstellen,der Jumbo-Frames mit einer Größe von bis zu 8.500 Bytes verarbeitet. Alternativ können Sie einen Endpunkt ohne Unterstützung für Jumbo-Frames erstellen. Weitere Informationen finden Sie unter Unterstützte Paketgröße.
Sie können einen Firewall-Endpunkt nur löschen, wenn ihm keine VPC-Netzwerke zugeordnet sind.
Google verwaltet die Infrastruktur, das Load Balancing, das Autoscaling und den Lebenszyklus der Firewall-Endpunkte. Wenn Sie einen Firewall-Endpunkt erstellen, bietet Google eine Reihe dedizierter VM-Instanzen, die neben der Zertifikatsverwaltung eine hohe Zuverlässigkeit, Leistung und Sicherheitsisolation für Ihren Traffic gewährleisten.
Google bietet Hochverfügbarkeit mithilfe ordnungsgemäßer Failover-Mechanismen für die Firewall-Endpunkte. Dadurch wird ein zuverlässiger Firewallschutz für alle VM-Instanzen gewährleistet, die im verbundenen VPC-Netzwerk abgedeckt sind.
Firewall-Endpunktverknüpfungen
Die Firewall-Endpunktverknüpfung verknüpft einen Firewall-Endpunkt mit einem VPC-Netzwerk in derselben Zone. Nachdem Sie diese Verknüpfung definiert haben, leitet Cloud NGFW den zonalen Arbeitslast-Traffic in Ihrem VPC-Netzwerk, der eine Layer-7-Prüfung erfordert, an den angehängten Firewall-Endpunkt weiter.
Sie können ein VPC-Netzwerk mit einem Firewall-Endpunkt auf Organisations- oder Projektebene verknüpfen (Vorschau). Beachten Sie beim Verknüpfen eines VPC-Netzwerk Folgendes:
Projektübergreifende Zuordnung: Wenn sich der Endpunkt und das VPC-Netzwerk in verschiedenen Projekten befinden, müssen beide Projekte zur selben Organisation gehören.
Zonales Limit: Verknüpfen Sie ein VPC-Netzwerk pro Zone nur mit einem Firewall-Endpunkt. Dieses Limit umfasst sowohl Endpunkte auf Organisationsebene als auch auf Projektebene.
Abfangen von Traffic durch Firewall-Endpunkte auf Projektebene
Wenn Sie Traffic mit einem Firewall-Endpunkt auf Projektebene abfangen und untersuchen möchten, müssen die folgenden Anforderungen erfüllt sein:
- Ein VPC-Netzwerk in der Zone der VM-Instanz ist mit dem Zielfirewall-Endpunkt verknüpft.
- Der Traffic entspricht einer Firewallrichtlinienregel mit der Aktion
apply_security_profile_group. - Die Sicherheitsprofilgruppe ist im selben Projekt wie der Firewall-Endpunkt vorhanden.
Unterstützte Paketgröße
Ein Firewallendpunkt unterstützt entweder Jumbo Frames oder nicht.
Ein Firewallendpunkt mit Unterstützung für Jumbo-Frames kann Pakete mit einer Größe von bis zu 8.500 Bytes akzeptieren.
Cloud NGFW reserviert zusätzlich 396 Byte für die GENEVE-Kapselung (erforderlich für die Datenprüfung) und für andere Erweiterungen. Die Gesamtpaketgröße von 8.896 Byte entspricht also der höchstmöglichen maximalen Übertragungseinheit (MTU), die von Google Cloud unterstützt wird.
Ein Firewallendpunkt ohne Unterstützung für Jumbo Frames kann Pakete mit einer Größe von bis zu 1.460 Bytes akzeptieren.
Damit die Layer-7-Prüfung erfolgreich durchgeführt werden kann, müssen Sie die mit dem Endpunkt verknüpften VPC-Netzwerke so konfigurieren, dass sie die folgenden MTU-Grenzwerte einhalten:
Achten Sie bei einem Endpunkt mit Unterstützung für Jumbo Frames darauf, dass die VPC-Netzwerke eine MTU von 8.500 Byte oder weniger verwenden.
Achten Sie bei einem Endpunkt ohne Jumbo-Frame-Unterstützung darauf, dass die VPC-Netzwerke eine MTU von 1.460 Byte oder weniger verwenden.
Sie können einen Firewall-Endpunkt mit oder ohne Unterstützung für Jumbo-Frames erstellen. Sie können einen vorhandenen Endpunkt jedoch nicht neu konfigurieren, um Jumbo-Frames zu aktivieren oder zu deaktivieren. Wenn Sie die Unterstützung für Jumbo-Frames hinzufügen oder entfernen möchten, löschen Sie den Endpunkt und erstellen Sie ihn neu. Weitere Informationen finden Sie unter Firewall-Endpunkt erstellen.
Identitäts- und Zugriffsverwaltungsrollen
IAM-Rollen (Identity and Access Management) steuern die folgenden Aktionen zum Verwalten der Firewall-Endpunkte:
- Firewall-Endpunkt in einer Organisation oder einem Projekt erstellen
- Firewall-Endpunkt in einer Organisation oder einem Projekt ändern oder löschen
- Details eines Firewall-Endpunkts in einer Organisation oder einem Projekt ansehen
- Alle in einer Organisation oder einem Projekt konfigurierten Firewall-Endpunkte ansehen
Zum Verwalten von Endpunkten auf Organisationsebene benötigen Sie die Rolle Administrator für Firewall-Endpunkte (roles/networksecurity.firewallEndpointAdmin) auf Organisationsebene. Zum Verwalten von Endpunkten auf Projektebene benötigen Sie die Rolle „Firewall Endpoint Admin“ (roles/networksecurity.firewallEndpointAdmin) auf Projektebene (Vorabversion) oder in der übergeordneten Organisation.
In der folgenden Tabelle werden die Rollen beschrieben, die für jeden Schritt erforderlich sind.
| Funktion | Erforderliche Rolle |
|---|---|
| Neuen Firewall-Endpunkt erstellen | Eine der folgenden Rollen für die Organisation oder das Projekt, in dem der Firewall-Endpunkt vorhanden ist:
|
| Vorhandenen Firewall-Endpunkt ändern | Eine der folgenden Rollen für die Organisation oder das Projekt, in dem der Firewall-Endpunkt erstellt wird:
|
| Details zum Firewall-Endpunkt ansehen | Eine der folgenden Rollen für die Organisation oder das Projekt, in dem der Firewall-Endpunkt vorhanden ist:
|
| Alle Firewall-Endpunkte ansehen | Eine der folgenden Rollen für die Organisation oder das Projekt, in dem der Firewall-Endpunkt vorhanden ist:
|
IAM-Rollen regeln die folgenden Aktionen für die Firewall-Endpunktverknüpfungen:
- Firewall-Endpunktverknüpfung in einem Projekt erstellen
- Firewall-Endpunktverknüpfung ändern oder löschen
- Details einer Firewall-Endpunktverknüpfung ansehen
- Alle in einem Projekt konfigurierten Firewall-Endpunktverknüpfungen ansehen
In der folgenden Tabelle werden die Rollen beschrieben, die für jeden Schritt erforderlich sind.
| Funktion | Erforderliche Rolle |
|---|---|
| Firewall-Endpunktverknüpfung erstellen | Eine der folgenden Rollen für die Organisation oder das Projekt, in dem die Firewall-Endpunktverknüpfung vorhanden ist:
|
| Firewall-Endpunktverknüpfungen ändern (aktualisieren oder löschen) | Eine der folgenden Rollen für das Projekt, in dem sich das VPC-Netzwerk befindet:
|
| Details zur Firewall-Endpunktverknüpfung in einem Projekt ansehen | Eine der folgenden Rollen für die Organisation oder das Projekt ([Vorabversion](https://cloud.google.com/products#product-launch-stages)), in dem die Firewall-Endpunktverknüpfung erstellt wird:
|
| Alle Firewall-Endpunktverknüpfungen in einem Projekt ansehen. | Eine der folgenden Rollen für die Organisation oder das Projekt ([Vorabversion](https://cloud.google.com/products#product-launch-stages)), in dem die Firewall-Endpunktverknüpfung erstellt wird:
|
Kontingente
Informationen zu Kontingenten für Firewall-Endpunkte finden Sie unter Kontingente und Limits.
Preise
Die Preise für Firewall-Endpunkte finden Sie unter Cloud NGFW-Preise.
Nächste Schritte
- URL-Filterdienst konfigurieren
- Dienst zur Einbruchserkennung und -vermeidung konfigurieren
- Firewall-Endpunkte erstellen und verwalten
- Firewall-Endpunktverknüpfungen erstellen und verwalten