Cloud NGFW 總覽

Cloud Next Generation Firewall 是一種分散式防火牆服務,可保護 Google Cloud 工作負載。工作負載包括在 Google Cloud 或使用Google Cloud 資源執行的應用程式和服務。您可以透過 Cloud NGFW,保護工作負載免受公用網際網路的外部威脅,以及自家網路內的內部威脅侵擾。

Cloud NGFW 具備下列優點:

  • 分散式防火牆服務。Cloud NGFW 會將防火牆規則套用至網路中的每個工作負載,並檢查每個傳入和傳出連線是否有威脅。

    這種做法會建立零信任安全架構,防火牆服務會在連線抵達目的地前進行驗證。如果網路的工作負載遭到入侵,Cloud NGFW 會驗證其他工作負載的所有連入或連出連線,確保其他工作負載安全無虞。

  • 簡化設定和部署作業。Cloud NGFW 會實作網路和階層式防火牆政策,這些政策可附加至資源階層節點。這些政策可在整個資源階層中提供一致的防火牆體驗。Google Cloud

  • 精細的控制和微區隔。Cloud NGFW 可讓您詳細控管網路流量。方法是將防火牆政策與安全標記結合。

    這種做法可精確控管網路流量,即使是單一虛擬機器 (VM) 也不例外。Cloud NGFW 可協助您管理進出 Google Cloud (南北向流量) 和應用程式與服務間 Google Cloud(東西向流量) 的流量。這項控制項會擴及虛擬私有雲 (VPC) 網路和機構。

Cloud NGFW 提供下列級別:

  • Cloud Next Generation Firewall Essentials
  • Cloud Next Generation Firewall Standard
  • Cloud Next Generation Firewall Enterprise

Cloud NGFW 也提供額外功能,可加購這些層級。 如要進一步瞭解防火牆層級和額外功能的定價,請參閱「Cloud NGFW 定價」。

Cloud NGFW Essentials

Cloud NGFW Essentials 是 Google Cloud提供的基礎防火牆服務,這類環境的功能/特色如下:

  • 全域網路防火牆政策區域網路防火牆政策可將防火牆規則編成政策物件群組,並套用至所有區域或特定區域。

  • 安全標記搭配網路防火牆政策,可提供微區隔機制,並精細控管Google Cloud 資源。安全標記會透過專屬 ID 和嚴格的 IAM 控制項集中管理。您可以在網路防火牆政策規則中參照這些安全標記,在區域和網路中,更嚴格且一致地控管存取權。

  • 位址群組會將多個 IP 位址和 IP 範圍組合成單一具名的邏輯單元。您可以在多個防火牆規則中參照相同的位址群組,以控管輸入和輸出流量。

  • 使用網路標記和服務帳戶的虛擬私有雲防火牆規則,可在網路層級篩選輸入和輸出流量。

Cloud NGFW Standard

Cloud NGFW Standard 擴充了 Cloud NGFW Essentials 的功能,提供更強大的防護機制,協助您保護雲端基礎架構免受惡意攻擊。

這類環境的功能/特色如下:

  • 防火牆政策規則中的完整網域名稱 (FQDN) 物件,可篩選進出特定網域的流量。根據流量方向,系統會比對與網域名稱相關聯的 IP 位址與流量來源或目的地。

  • 防火牆政策規則中的地理位置物件,可根據特定地理位置或區域篩選外部 IPv4 和 IPv6 流量。

Cloud NGFW Enterprise

Cloud Next Generation Firewall Enterprise 提供先進的第 7 層安全性功能,可協助保護 Google Cloud 工作負載不受威脅和惡意攻擊侵擾。

Cloud Next Generation Firewall Enterprise 包含以簽章為基礎的入侵偵測與防範服務,以及傳輸層安全標準 (TLS) 攔截和解密功能,可偵測及防範網路上的惡意軟體、間諜軟體和指令與控制攻擊。

Cloud Next Generation Firewall Enterprise 也包含 網址篩選服務,可攔截及解密傳輸層安全標準 (TLS),讓您封鎖或允許網址,控管網站和網頁的存取權。

Cloud NGFW Enterprise 不允許在相同 Google Kubernetes Engine (GKE) 節點上的 Pod 之間進行 TLS 檢查,因為它不支援 GKE 節點內瀏覽權限。

其他功能

除了 Cloud NGFW Essentials、Cloud NGFW Standard 和 Cloud NGFW Enterprise 級別提供的功能外,Cloud NGFW 還提供下列功能:

  • 階層式防火牆政策規則:在整個機構中建立及強制執行一致的防火牆政策。 您可以將階層式防火牆政策指派給整個機構 或個別資料夾。

  • 防火牆規則記錄可讓您確認防火牆規則是否按照預期使用。

後續步驟