防火牆端點是 Cloud Next Generation Firewall 資源,可在您的網路中啟用第 7 層進階保護功能,例如網址篩選服務,以及入侵偵測與防範服務。
本頁詳細說明防火牆端點及其功能。
規格
防火牆端點是可用區資源,您可以在機構層級或專案層級設定。
機構層級的防火牆端點:機構管理員可以建立及管理這些端點,集中管理整個機構的安全防護。
專案層級防火牆端點 (搶先版):專案管理員可在專案中建立及管理這些端點。您可以將機構中的任何虛擬私有雲網路與專案層級端點建立關聯。如果無法取得機構層級權限來建立機構層級防火牆端點,請建立專案層級防火牆端點。
防火牆端點會對攔截的流量執行第 7 層防火牆檢查。
Cloud Next Generation Firewall 使用 Google Cloud的封包攔截技術,將虛擬私有雲 (VPC) 網路中 Google Cloud 工作負載的流量,以透明方式重新導向至防火牆端點。
封包攔截是一項 Google Cloud 功能,可在所選網路流量的路徑中透明地插入網路設備,且不會修改現有的轉送政策。
只有在設定第 7 層檢查要套用至這個流量時,Cloud NGFW 才會將虛擬私有雲網路中的工作負載流量重新導向至防火牆端點。
Cloud NGFW 會將虛擬私有雲網路 ID 新增至每個重新導向至防火牆端點的封包,以進行第 7 層檢查。如果您有多個虛擬私有雲網路,且 IP 位址範圍重疊,這個網路 ID 可確保每個重新導向的封包都正確地與其虛擬私有雲網路建立關聯。
您可以在可用區中建立防火牆端點,並將其附加至一或多個虛擬私有雲網路,監控相同可用區中的工作負載。如果您的虛擬私有雲網路涵蓋多個可用區,您可以在每個可用區中附加一個防火牆端點。如果未將防火牆端點附加至特定可用區的虛擬私有雲網路,系統就不會對該可用區的工作負載流量執行第 7 層檢查。
您可以使用防火牆端點關聯,將防火牆端點連結至虛擬私有雲網路。
端點和要啟用第 7 層檢查的工作負載必須位於相同區域。在與工作負載相同的區域中建立防火牆端點,具有下列優點:
延遲時間更短。由於防火牆端點可以攔截、檢查流量,並將流量重新注入網路,因此延遲時間比不同可用區的防火牆端點更短。
沒有跨可用區流量。將流量維持在同一可用區內,可確保費用較低。
更可靠的流量。將流量維持在同一可用區內,可避免跨可用區中斷的風險。
防火牆端點可處理高達 2 Gbps 的流量 (含傳輸層安全標準 (TLS) 檢查),以及 10 Gbps 的流量 (不含 TLS 檢查)。流量過多可能會導致端點超載,並造成封包遺失。 如要監控防火牆端點的容量使用率,請參閱
firewall_endpoint網路安全指標。由於端點不會轉送未獲核准的訊息,如果端點過載,可能無法檢查流量,進而捨棄正當流量。
防火牆端點的每個連線總處理量上限為 250 Mbps (含 TLS 檢查),或 1.25 Gbps (不含 TLS 檢查)。
您可以建立防火牆端點,處理大小最多 8,500 個位元組的巨型封包。或者,您也可以建立不支援巨型封包的端點。詳情請參閱「支援的封包大小」。
只有在沒有與防火牆端點建立關聯的 VPC 網路時,才能刪除該端點。
Google 會管理防火牆端點的基礎架構、負載平衡、自動調度資源和生命週期。建立防火牆端點時,Google 會提供一組專屬的虛擬機器 (VM) 執行個體,確保流量的可靠性、效能和安全隔離,並提供憑證管理服務。
Google 會為防火牆端點採用適當的容錯移轉機制,提供高可用性,確保附加虛擬私有雲網路涵蓋的所有 VM 執行個體都能獲得可靠的防火牆保護。
防火牆端點關聯
防火牆端點關聯會將防火牆端點連結至同一個可用區中的虛擬私有雲網路。定義這項關聯後,Cloud NGFW 會將虛擬私有雲網路中需要第 7 層檢查的區域工作負載流量,轉送至附加的防火牆端點。
您可以將虛擬私有雲網路與機構層級或專案層級的防火牆端點建立關聯 (預先發布版)。如要建立虛擬私有雲網路的關聯,請注意下列事項:
跨專案關聯:如果端點和虛擬私有雲網路位於不同專案中,這兩個專案必須屬於同一個機構。
可用區限制:每個可用區只能將一個防火牆端點與虛擬私有雲網路建立關聯。這項限制包含機構層級和專案層級端點。
專案層級防火牆端點攔截流量
如要使用專案層級的防火牆端點攔截及檢查流量,請確保符合下列規定:
- VM 執行個體所在可用區的虛擬私有雲網路會與目標防火牆端點建立關聯。
- 流量符合動作為
apply_security_profile_group的防火牆政策規則。 - 安全性設定檔群組與防火牆端點位於同一專案。
支援的封包大小
防火牆端點支援或不支援巨型封包。
支援巨型封包的防火牆端點可接受大小上限為 8,500 個位元組的封包。
Cloud NGFW 會額外保留 396 個位元組,用於 GENEVE 封裝 (資料檢查需要此封裝) 和其他擴充功能。因此,8,896 個位元組的封包總大小符合 Google Cloud 支援的最大傳輸單位 (MTU) 上限。
不支援巨型封包的防火牆端點最多可接受 1,460 個位元組的封包。
如要順利執行第 7 層檢查,請設定與端點相關聯的虛擬私有雲網路,遵守下列 MTU 限制:
如果端點支援巨型封包,請確保虛擬私有雲網路使用的 MTU 為 8,500 位元組以下。
如果端點不支援巨型封包,請確保虛擬私有雲網路使用的 MTU 為 1,460 位元組或更少。
您可以建立支援或不支援巨型封包的防火牆端點。不過,您無法重新設定現有端點,新增或移除巨型框架支援。如要新增或移除巨型封包支援功能,請刪除端點並重新建立。詳情請參閱「建立防火牆端點」。
身分與存取權管理角色
Identity and Access Management (IAM) 角色可控管下列防火牆端點管理動作:
- 在機構或專案中建立防火牆端點
- 修改或刪除機構或專案中的防火牆端點
- 查看機構或專案中防火牆端點的詳細資料
- 查看機構或專案中設定的所有防火牆端點
如要管理機構層級的端點,您必須在機構層級獲授防火牆端點管理員角色 (roles/networksecurity.firewallEndpointAdmin)。如要管理專案層級的端點,您必須在專案層級 (預覽版) 或其父項機構中,獲授予 Firewall Endpoint Admin 角色 (roles/networksecurity.firewallEndpointAdmin)。
下表說明每個步驟所需的角色。
| 能力 | 必要角色 |
|---|---|
| 建立新的防火牆端點 | 在機構或防火牆端點所在的專案中,擁有下列任一角色:
|
| 修改現有的防火牆端點 | 在建立防火牆端點的機構或專案中,擁有下列任一角色:
|
| 查看防火牆端點的詳細資料 | 在機構或防火牆端點所在的專案中,具備下列任一角色:
|
| 查看所有防火牆端點 | 在機構或防火牆端點所在的專案中,具備下列任一角色:
|
IAM 角色會控管防火牆端點關聯的下列動作:
- 在專案中建立防火牆端點關聯
- 修改或刪除防火牆端點關聯
- 查看防火牆端點關聯的詳細資料
- 查看專案中設定的所有防火牆端點關聯
下表說明每個步驟所需的角色。
| 能力 | 必要角色 |
|---|---|
| 建立防火牆端點關聯 | 在防火牆端點關聯所在的機構或專案中,具備下列任一角色:
|
| 修改 (更新或刪除) 防火牆端點關聯 | 在虛擬私有雲網路所在的專案中,具備下列任一角色:
|
| 查看專案中防火牆端點關聯的詳細資料 | 在建立防火牆端點關聯的機構或專案 ([預覽版](https://cloud.google.com/products#product-launch-stages)) 中,具備下列任一角色:
|
| 查看專案中的所有防火牆端點關聯。 | 在建立防火牆端點關聯的機構或專案 ([預覽版](https://cloud.google.com/products#product-launch-stages)) 中,具備下列任一角色:
|
配額
如要查看與防火牆端點相關聯的配額,請參閱「配額與限制」。
定價
如要瞭解防火牆端點的定價,請參閱 Cloud NGFW 定價。