防火墙端点是一种 Cloud 新一代防火墙资源,可在网络中启用第 7 层高级保护功能,例如网址过滤服务以及入侵检测和防御服务。
本页面详细介绍防火墙端点及其功能。
规格
防火墙端点是在可用区级层创建的组织资源。
防火墙端点会对拦截的流量执行第 7 层防火墙检查。
Cloud 新一代防火墙使用 Google Cloud的数据包拦截技术以透明方式将来自 Virtual Private Cloud (VPC) 网络中 Google Cloud 工作负载的流量重定向到防火墙端点。
数据包拦截是一项 Google Cloud 功能,可透明地将网络设备插入所选网络流量的路径,而无需修改其现有路由政策。
仅当第 7 层检查配置为应用于此流量时,Cloud NGFW 才会将 VPC 网络中的工作负载流量重定向到防火墙端点。
Cloud NGFW 会为重定向到防火墙端点进行第 7 层检查的每个数据包添加 VPC 网络标识符。如果您有多个 VPC 网络且其 IP 地址范围有重叠,此网络标识符有助于确保每个重定向的数据包都与其 VPC 网络正确关联。
您可以在某个可用区中创建防火墙端点,并将其关联到一个或多个 VPC 网络,以监控同一可用区中的工作负载。如果您的 VPC 网络跨多个可用区,您可以在每个可用区中关联一个防火墙端点。如果您未将防火墙端点关联到特定可用区中的 VPC 网络,则不会对该可用区的工作负载流量执行第 7 层检查。
您可以使用防火墙端点关联将防火墙端点关联到 VPC 网络。
要启用第 7 层检查的端点和工作负载必须位于同一可用区。在工作负载所在的可用区中创建防火墙端点有以下好处:
低延迟。由于防火墙端点可以拦截、检查流量并将流量重新注入回网络,因此延迟时间会低于在不同可用区中的防火墙端点。
无跨可用区流量。使流量在同一可用区流动可确保降低费用。
更可靠的流量。使流量在同一可用区流动可以消除跨可用区服务中断的风险。
防火墙端点通过传输层安全协议 (TLS) 检查可以处理高达 2 Gbps 的流量,不通过 TLS 检查可以处理高达 10 Gbps 的流量。发送更多流量可能会导致数据包丢失。如需监控防火墙端点的容量利用率,请参阅
firewall_endpoint网络安全指标。防火墙端点通过 TLS 检查可以处理的每个连接的流量吞吐量上限为 250 Mbps,不通过 TLS 检查可以处理的每个连接的流量吞吐量上限为 1.25 Gbps。
您可以创建处理大小不超过 8,500 字节的巨型帧的防火墙端点。或者,您也可以创建不支持巨型帧的端点。如需了解详情,请参阅支持的数据包大小。
仅当没有 VPC 网络与防火墙端点关联时,您才能删除该防火墙端点。
Google 管理防火墙端点的基础架构、负载均衡、自动扩缩和生命周期。当您创建防火墙端点时,Google 会提供一组专用虚拟机 (VM) 实例,以确保您的流量的可靠性、性能和安全隔离,同时还提供证书管理。
Google 通过为防火墙端点采用适当的故障切换机制来提供高可用性,这可确保关联 VPC 网络中覆盖的所有虚拟机实例都获得可靠的防火墙保护。
防火墙端点关联
防火墙端点关联可将防火墙端点与同一可用区中的 VPC 网络相关联。定义此关联后,Cloud NGFW 会将 VPC 网络中需要第 7 层检查的可用区级工作负载流量转发到关联的防火墙端点。
支持的数据包大小
防火墙端点要么支持巨型帧,要么不支持。
支持巨型帧的防火墙端点可以接受最大为 8,500 字节的数据包。
Cloud NGFW 会预留额外的 396 字节,用于 GENEVE 封装(数据检查所需)和其他扩展。因此,8,896 字节的总数据包大小与 Google Cloud 支持的最高可能最大传输单元 (MTU) 相匹配。
不支持巨型帧的防火墙端点可以接受最大为 1,460 字节的数据包。
当端点收到较大的数据包时,Cloud NGFW 不会执行入侵检测与防御服务。因此,如需成功运行入侵检测和防御服务并执行第 7 层检查,请配置与端点关联的 VPC 网络,使其遵循以下 MTU 限制:
对于支持巨型帧的端点,请确保 VPC 网络使用的 MTU 不超过 8,500 字节。
对于不支持巨型帧的端点,请确保 VPC 网络使用的 MTU 不超过 1,460 字节。
您可以创建支持或不支持巨型帧的防火墙端点。不过,您无法重新配置现有端点来添加或移除巨型帧支持。如需添加或移除巨型帧支持,请删除端点并重新创建。如需了解详情,请参阅创建防火墙端点。
Identity and Access Management 角色
Identity and Access Management (IAM) 角色控制以下管理防火墙端点的操作:
- 在组织中创建防火墙端点
- 修改或删除防火墙端点
- 查看防火墙端点的详细信息
- 查看在组织中配置的所有防火墙端点
下表介绍了每个步骤所需的角色。
| 特性 | 必要角色 |
|---|---|
| 创建新的防火墙端点 | 创建防火墙端点的组织的以下任何角色:
Compute Network Admin ( |
| 修改现有防火墙端点 | 组织中的以下任何角色:
Compute Network Admin ( |
| 查看组织中的防火墙端点的详细信息 | 组织中的以下任何角色:
Compute Network Admin ( |
| 查看组织中的所有防火墙端点 | 组织中的以下任何角色:
Compute Network Admin ( |
IAM 角色控制防火墙端点关联的以下操作:
- 在项目中创建防火墙端点关联
- 修改或删除防火墙端点关联
- 查看防火墙端点关联的详细信息
- 查看在项目中配置的所有防火墙端点关联
下表介绍了每个步骤所需的角色。
| 特性 | 必要角色 |
|---|---|
| 创建防火墙端点关联 | 创建防火墙端点关联的项目的以下任一角色:
组织的 Compute Network Admin ( |
| 修改(更新或删除)防火墙端点关联 | VPC 网络所在项目的以下任一角色:
Compute Network Admin ( |
| 查看项目中防火墙端点关联的详细信息 | 组织中的以下任何角色:
Compute Network Admin ( |
| 查看项目中的所有防火墙端点关联。 | 组织中的以下任何角色:
Compute Network Admin ( |
配额
如需查看与防火墙端点关联的配额,请参阅配额和限制。
价格
如需了解防火墙端点的价格,请参阅 Cloud NGFW 价格。