防火墙端点是一种 Cloud Next Generation Firewall 资源,可在网络中启用第 7 层高级保护功能(例如网址过滤服务以及入侵检测与防御服务)。
本页面详细介绍防火墙端点及其功能。
规格
防火墙端点是一种可用区级资源,您可以在组织级层或项目级层进行配置。
组织级防火墙端点:组织管理员创建和管理这些端点,以便在整个组织内集中管理安全性。
项目级防火墙端点(预览版):项目管理员在项目中创建和管理这些端点。您可以将组织中的任何 VPC 网络与项目级端点相关联。如果您无法获得组织级权限来创建组织级防火墙端点,请创建项目级防火墙端点。
防火墙端点会对拦截的流量执行第 7 层防火墙检查。
Cloud Next Generation Firewall 使用 Google Cloud的数据包拦截技术,以透明方式将来自 Google Cloud Virtual Private Cloud (VPC) 网络中工作负载的流量重定向到防火墙端点。
数据包拦截是一项 Google Cloud 功能,可透明地 将网络设备插入所选网络流量的路径,而无需 修改其现有路由政策。
仅当第 7 层检查配置为应用于此流量时,Cloud NGFW 才会将 VPC 网络中的工作负载流量重定向到防火墙端点。
Cloud NGFW 会为重定向到防火墙端点进行第 7 层检查的每个数据包添加 VPC 网络标识符。如果您有多个 VPC 网络且其 IP 地址范围有重叠,此网络标识符有助于确保每个重定向的数据包都与其 VPC 网络正确关联。
您可以在某个可用区中创建防火墙端点,并将其关联到一个或多个 VPC 网络,以监控同一可用区中的工作负载。如果您的 VPC 网络跨多个可用区,您可以在每个可用区中关联一个防火墙端点。如果您未将防火墙端点关联到特定可用区中的 VPC 网络,则不会对该可用区的工作负载流量执行第 7 层检查。
您可以使用防火墙端点关联将防火墙端点关联到 VPC 网络。
要启用第 7 层检查的端点和工作负载必须位于同一可用区。在工作负载所在的可用区中创建防火墙端点有以下好处:
低延迟。由于防火墙端点可以拦截、检查流量并将流量重新注入回网络,因此延迟时间会低于在不同可用区中的防火墙端点。
无跨可用区流量。使流量在同一可用区流动可确保降低费用。
更可靠的流量。使流量在同一可用区流动可以消除跨可用区服务中断的风险。
防火墙端点通过传输层安全协议 (TLS) 检查可以处理高达 2 Gbps 的流量,不通过 TLS 检查可以处理高达 10 Gbps 的流量。 流量过大会导致端点过载并造成丢包。 如需监控防火墙端点的容量利用率,请参阅
firewall_endpoint网络安全指标。由于端点不会转发未经批准的消息,因此过载的端点可能会丢弃合法流量(如果无法检查流量)。
防火墙端点通过 TLS 检查的每个连接的吞吐量上限为 250 Mbps,不通过 TLS 检查的每个连接的吞吐量上限为 1.25 Gbps。
您可以创建处理大小不超过 8,500 字节的巨型帧的防火墙端点。或者,您也可以创建不支持巨型帧的端点。如需了解详情,请参阅 支持的数据包大小。
仅当没有 VPC 网络与防火墙端点关联时,您才能删除该防火墙端点。
Google 管理防火墙端点的基础架构、负载均衡、自动扩缩和生命周期。当您创建防火墙端点时,Google 会提供一组专用虚拟机 (VM) 实例,以确保您的流量的可靠性、性能和安全隔离,同时还提供证书管理。
Google 通过为防火墙端点采用适当的故障切换机制来提供高可用性,这可确保关联 VPC 网络中覆盖的所有虚拟机实例都获得可靠的防火墙保护。
防火墙端点关联
防火墙端点关联可将防火墙端点与同一可用区中的 VPC 网络相关联。定义此关联后,Cloud NGFW 会将 VPC 网络中需要第 7 层检查的可用区级工作负载流量转发到关联的防火墙端点。
您可以将 VPC 网络与组织级或项目级防火墙端点(预览版)相关联。如需关联 VPC 网络,请考虑以下事项:
跨项目关联:如果端点和 VPC 网络位于不同的项目中,则这两个项目必须属于同一 组织。
可用区限制:每个可用区只能将 VPC 网络与一个 防火墙端点相关联。此限制包括组织级和项目级端点。
项目级防火墙端点拦截流量
如需使用项目级防火墙端点拦截和检查流量,请确保满足以下要求:
- 虚拟机实例所在可用区中的 VPC 网络与目标防火墙端点相关联。
- 流量与具有
apply_security_profile_group操作的防火墙政策规则匹配。 - 安全配置文件组与防火墙端点位于同一项目中。
支持的数据包大小
防火墙端点支持或不支持巨型帧。
支持巨型帧的防火墙端点可以接受不超过 8,500 字节的数据包。
Cloud NGFW 会为 GENEVE 封装 (数据检查所需)和其他扩展预留额外的 396 字节。因此,8,896 字节的总 数据包大小与支持的最高最大传输 单元 (MTU) 相匹配。 Google Cloud
不支持巨型帧的防火墙端点可以接受不超过 1,460 字节的数据包。
如需成功执行第 7 层检查, 请将与端点关联的 VPC 网络 配置为遵循以下 MTU 限制:
对于支持巨型帧的端点,请确保 VPC 网络使用的 MTU 不超过 8,500 字节。
对于不支持巨型帧的端点,请确保 VPC 网络使用的 MTU 不超过 1,460 字节。
您可以创建支持或不支持巨型帧的防火墙端点。但是,您无法重新配置现有端点以添加或移除巨型帧支持。如需添加或移除巨型帧支持,请删除端点并重新创建。如需了解详情,请参阅 创建防火墙端点。
Identity and Access Management 角色
Identity and Access Management (IAM) 角色控制以下管理防火墙端点的操作:
- 在组织或项目中创建防火墙端点
- 在组织或项目中修改或删除防火墙端点
- 查看组织或项目中的防火墙端点的详细信息
- 查看在组织或项目中配置的所有防火墙端点
如需管理组织级端点,您必须在组织级层获授 Firewall Endpoint
Admin 角色
(roles/networksecurity.firewallEndpointAdmin)
。如需管理项目级端点,您必须
在项目级层(预览版)或其父级组织中获授 Firewall Endpoint Admin 角色
(roles/networksecurity.firewallEndpointAdmin)
。
下表介绍了每个步骤所需的角色。
| 特性 | 必要角色 |
|---|---|
| 创建新的防火墙端点 | 在防火墙端点所在的组织或项目中拥有以下任一角色:
|
| 修改现有防火墙端点 | 以下任一角色:
|
| 查看防火墙端点的详细信息 | 在防火墙端点所在的组织或项目中拥有以下任一角色:
|
| 查看所有防火墙端点 | 在防火墙端点所在的组织或项目中拥有以下任一角色:
|
IAM 角色控制防火墙端点关联的以下操作:
- 在项目中创建防火墙端点关联
- 修改或删除防火墙端点关联
- 查看防火墙端点关联的详细信息
- 查看在项目中配置的所有防火墙端点关联
下表介绍了每个步骤所需的角色。
| 特性 | 必要角色 |
|---|---|
| 创建防火墙端点关联 | 在防火墙端点
关联所在的组织或项目中拥有以下任一角色:
|
| 修改(更新或删除)防火墙端点关联 | 在 VPC 网络所在的项目中拥有以下任一角色:
|
| 查看项目中防火墙端点关联的详细信息 | 在创建防火墙端点关联的组织或项目([预览版](https://cloud.google.com/products#product-launch-stages))中拥有以下任一角色:
|
| 查看项目中的所有防火墙端点关联。 | 在创建防火墙端点关联的组织或项目([预览版](https://cloud.google.com/products#product-launch-stages))中拥有以下任一角色:
|
配额
如需查看与防火墙端点关联的配额,请参阅配额和限制。