Cloud 新一代防火墙是一项分布式防火墙服务,可让您保护 Google Cloud 工作负载。工作负载包括在 Google Cloud 上运行或消耗Google Cloud 资源的应用和服务。借助 Cloud NGFW,您可以保护工作负载免受来自公共互联网的外部威胁和自有网络中的内部威胁。
Cloud NGFW 具有以下优势:
分布式防火墙服务。Cloud NGFW 会将防火墙规则应用于网络中的每个工作负载,并检查每个入站和出站连接是否存在威胁。
此方法可设置零信任安全框架,防火墙服务会在每个连接到达目标之前对其进行验证。如果网络中的某个工作负载遭到入侵,Cloud NGFW 会验证与其他工作负载之间建立的每个入站或出站连接,从而确保其他工作负载的安全。
简化配置和部署。Cloud NGFW 实现网络和分层防火墙政策,可以附加到资源层次结构节点。这些政策在Google Cloud 资源层次结构中提供一致的防火墙体验。
精细控制和微细分。借助 Cloud NGFW,您可以详细控制网络流量。为此,您可以将防火墙政策与安全标记相结合。
这种方法可以精确控制网络流量,即使是单个虚拟机 (VM) 也是如此。Cloud NGFW 可帮助您管理 Google Cloud 的入站和出站流量(南北向流量),以及 Google Cloud内应用和服务之间的流量(东西向流量)。此控制措施可扩展到虚拟私有云 (VPC) 网络和组织。
Cloud NGFW 可在以下层级中使用:
- Cloud 新一代防火墙基本功能版
- Cloud 新一代防火墙标准版
- Cloud 新一代防火墙企业版
Cloud NGFW 还提供了其他功能,您可以在这些层级之上添加这些功能。 如需详细了解防火墙层级和其他功能的价格,请参阅 Cloud NGFW 价格。
Cloud NGFW 基本功能版
Cloud NGFW 基本功能版是 Google Cloud提供的基础防火墙服务。它包括以下特性和功能:
通过全球网络防火墙政策和区域级网络防火墙政策,您可以将防火墙规则分组到适用于所有区域或特定区域的政策对象中。
安全标记与网络防火墙政策相结合,可以对Google Cloud 资源进行微细分和精细控制。安全标记通过唯一 ID 和严格的 IAM 控制集中管理。您可以在网络防火墙政策规则中引用这些安全标记,以便在您的区域和网络中实现更严格、统一的访问权限控制。
地址组将多个 IP 地址和 IP 地址范围合并为一个命名的逻辑单元。您可以在多个防火墙规则中引用同一地址组以进行入站流量和出站流量控制。
使用网络标记和服务账号的 VPC 防火墙规则会在网络级层过滤传入和传出的流量。
Cloud NGFW 标准版
Cloud NGFW 标准版扩展了 Cloud NGFW 基本功能版功能,以提供增强功能来帮助保护您的云基础架构,使其免遭恶意攻击。
它包括以下功能:
防火墙政策规则中的完全限定域名 (FQDN) 对象 过滤进出特定网域的传入或传出流量。根据流量方向,与域名关联的 IP 地址会与流量的来源或目的地进行匹配。
防火墙政策规则中的地理位置对象会根据特定地理位置或区域过滤外部 IPv4 和 IPv6 流量。
- 借助防火墙政策规则的 Google Threat Intelligence,您可以根据 Google Threat Intelligence 数据列表允许或阻止流量,从而保护您的网络。
Cloud NGFW Enterprise
Cloud 新一代防火墙企业版提供高级的第 7 层安全功能,可帮助保护您的 Google Cloud 工作负载免遭威胁和恶意攻击。
Cloud 新一代防火墙企业版提供具有传输层安全协议 (TLS) 拦截和解密功能的基于签名的入侵检测和防御服务,可为网络检测威胁并防御恶意软件、间谍软件和“命令和控制”攻击。
Cloud Next Generation Firewall Enterprise 还包含 网址 过滤服务,该服务具有传输层安全协议 (TLS) 拦截和解密功能,可让您通过屏蔽或允许网站和网页的网址来控制对这些网站和网页的访问。
Cloud NGFW Enterprise 不允许在同一 Google Kubernetes Engine (GKE) 节点上的 Pod 之间进行 TLS 检查,因为它不支持 GKE 节点内可见性。
其他功能
除了 Cloud NGFW 基本功能版、Cloud NGFW 标准版和 Cloud NGFW 企业版层级提供的功能之外,Cloud NGFW 还提供以下功能: