防火牆端點總覽

防火牆端點是 Cloud Next Generation Firewall 資源，可在您的網路中啟用第 7 層進階保護功能，例如網址篩選服務，以及入侵偵測與防範服務。

本頁詳細說明防火牆端點及其功能。

規格

• 防火牆端點是在區域層級建立的機構資源。

• 防火牆端點會對攔截的流量執行第 7 層防火牆檢查。

• Cloud Next Generation Firewall 使用 Google Cloud's 封包攔截技術，將虛擬私有雲 (VPC) 網路中 Google Cloud 工作負載的流量，透明地重新導向至防火牆端點。

  封包攔截是一項 Google Cloud 功能，可在所選網路流量的路徑中插入網路設備，且不會修改現有的轉送政策。

• 只有在設定第 7 層檢查要套用至這個流量時，Cloud NGFW 才會將 VPC 網路中的工作負載流量重新導向至防火牆端點。

• Cloud NGFW 會將虛擬私有雲網路 ID 新增至每個重新導向至防火牆端點的封包，以進行第 7 層檢查。如果您有多個虛擬私有雲網路，且 IP 位址範圍重疊，這個網路 ID 可確保每個重新導向的封包都正確地與其虛擬私有雲網路建立關聯。

• 您可以在可用區中建立防火牆端點，並將其附加至一或多個虛擬私有雲網路，監控相同可用區中的工作負載。如果您的 VPC 網路涵蓋多個可用區，您可以在每個可用區中附加一個防火牆端點。如果未將防火牆端點附加至特定可用區的虛擬私有雲網路，系統就不會對該可用區的工作負載流量執行第 7 層檢查。

  您可以使用防火牆端點關聯，將防火牆端點連結至虛擬私有雲網路。

• 端點和要啟用第 7 層檢查的工作負載必須位於相同可用區。在與工作負載相同的區域中建立防火牆端點，具有下列優點：

  • 縮短延遲時間。由於防火牆端點可以攔截、檢查流量，並將流量重新注入網路，因此延遲時間比不同可用區的防火牆端點更短。

  • 沒有跨可用區流量。將流量維持在同一可用區內，可確保費用較低。

  • 更可靠的流量。將流量保留在同一可用區內，可避免跨可用區中斷的風險。

• 防火牆端點可處理高達 2 Gbps 的流量 (含傳輸層安全標準 (TLS) 檢查)，以及 10 Gbps 的流量 (不含 TLS 檢查)。傳送更多流量可能會導致封包遺失。如要監控防火牆端點的容量用量，請參閱firewall_endpoint 網路安全指標。

• 防火牆端點的連線總處理量上限為 250 Mbps (含 TLS 檢查) 和 1.25 Gbps (不含 TLS 檢查)。

• 您可以建立防火牆端點，處理大小上限為 8,500 個位元組的巨型封包。或者，您也可以建立不支援巨型封包的端點。詳情請參閱「支援的封包大小」。

• 只有在沒有與防火牆端點建立關聯的 VPC 網路時，才能刪除該端點。

• Google 會管理防火牆端點的基礎架構、負載平衡、自動調度資源和生命週期。建立防火牆端點時，Google 會提供一組專屬的虛擬機器 (VM) 執行個體，確保流量的可靠性、效能和安全隔離，並提供憑證管理服務。

• Google 會為防火牆端點採用適當的容錯移轉機制，確保為附加虛擬私有雲網路涵蓋的所有 VM 執行個體提供可靠的防火牆保護，進而實現高可用性。

防火牆端點關聯

防火牆端點關聯會將防火牆端點連結至同一個可用區中的虛擬私有雲網路。定義這項關聯後，Cloud NGFW 會將虛擬私有雲網路中需要第 7 層檢查的區域工作負載流量，轉送至附加的防火牆端點。

支援的封包大小

防火牆端點支援或不支援巨型封包。

• 支援巨型封包的防火牆端點可接受大小上限為 8,500 個位元組的封包。

  Cloud NGFW 會額外保留 396 個位元組，用於 GENEVE 封裝 (資料檢查需要此封裝) 和其他擴充功能。因此，8,896 個位元組的封包總大小符合 Google Cloud 支援的最大傳輸單位 (MTU) 上限。

• 不支援巨型封包的防火牆端點可接受大小上限為 1,460 個位元組的封包。

如果端點收到較大的封包，Cloud NGFW 就不會執行入侵偵測與防範服務。因此，如要順利執行入侵偵測和防護服務，並執行第 7 層檢查，請設定與端點相關聯的虛擬私有雲網路，遵守下列 MTU 限制：

• 如果端點支援巨型封包，請確保虛擬私有雲網路使用的 MTU 為 8,500 位元組或更少。

• 如果端點不支援巨型封包，請確保虛擬私有雲網路使用的 MTU 為 1,460 位元組或更少。

您可以建立支援或不支援巨型封包的防火牆端點。不過，您無法重新設定現有端點，新增或移除巨型封包支援功能。如要新增或移除巨型封包支援，請刪除端點並重新建立。詳情請參閱建立防火牆端點。

身分與存取權管理角色

Identity and Access Management (IAM) 角色可控管下列防火牆端點管理動作：

• 在機構中建立防火牆端點
• 修改或刪除防火牆端點
• 查看防火牆端點的詳細資料
• 查看機構中設定的所有防火牆端點

下表說明每個步驟所需的角色。

能力	必要角色
建立新的防火牆端點	在建立防火牆端點的機構中，具有下列任一角色： Compute 網路管理員 (roles/compute.networkAdmin) 防火牆端點管理員 (roles/networksecurity.firewallEndpointAdmin)
修改現有的防火牆端點	機構的下列任一角色： Compute 網路管理員 (roles/compute.networkAdmin) 防火牆端點管理員 (roles/networksecurity.firewallEndpointAdmin)
查看機構中防火牆端點的詳細資料	機構的下列任一角色： Compute 網路管理員 (roles/compute.networkAdmin) Compute 網路使用者 (roles/compute.networkUser) Compute 網路檢視者 (roles/compute.networkViewer) 防火牆端點管理員 (roles/networksecurity.firewallEndpointAdmin)
查看機構中的所有防火牆端點	機構的下列任一角色： Compute 網路管理員 (roles/compute.networkAdmin) Compute 網路使用者 (roles/compute.networkUser) Compute 網路檢視者 (roles/compute.networkViewer) 防火牆端點管理員 (roles/networksecurity.firewallEndpointAdmin)

IAM 角色會控管防火牆端點關聯的下列動作：

• 在專案中建立防火牆端點關聯
• 修改或刪除防火牆端點關聯
• 查看防火牆端點關聯的詳細資料
• 查看專案中設定的所有防火牆端點關聯

下表說明每個步驟所需的角色。

能力	必要角色
建立防火牆端點關聯	在建立防火牆端點關聯的專案中，具備下列任一角色： 機構的「Compute Network Admin」(Compute 網路管理員) (roles/compute.networkAdmin) 「Compute Network User」(Compute 網路使用者) (roles/compute.networkUser) 角色，代表將 VPC (使用者是管理員) 與端點 (機構擁有的資源，不一定由 VPC 擁有者擁有) 建立關聯的權限。 防火牆端點管理員 (roles/networksecurity.firewallEndpointAdmin)
修改 (更新或刪除) 防火牆端點關聯	在虛擬私有雲網路所在的專案中，具備下列任一角色： Compute 網路管理員 (roles/compute.networkAdmin) 防火牆端點管理員 (roles/networksecurity.firewallEndpointAdmin)
查看專案中防火牆端點關聯的詳細資料	機構的下列任一角色： Compute 網路管理員 (roles/compute.networkAdmin) Compute 網路使用者 (roles/compute.networkUser) Compute 網路檢視者 (roles/compute.networkViewer) 防火牆端點管理員 (roles/networksecurity.firewallEndpointAdmin)
查看專案中的所有防火牆端點關聯。	機構的下列任一角色： Compute 網路管理員 (roles/compute.networkAdmin) Compute 網路使用者 (roles/compute.networkUser) Compute 網路檢視者 (roles/compute.networkViewer) 防火牆端點管理員 (roles/networksecurity.firewallEndpointAdmin)

配額

如要查看與防火牆端點相關聯的配額，請參閱「配額與限制」。

定價

如要瞭解防火牆端點的定價，請參閱 Cloud NGFW 定價。

後續步驟

• 設定網址篩選服務
• 設定入侵偵測與防範服務
• 建立及管理防火牆端點
• 建立及管理防火牆端點關聯