Cloud Next Generation Firewall 是一种分布式现代云防火墙服务,可让您保护 Google Cloud 工作负载,例如在 Google Cloud 上运行或使用 Google Cloud资源的应用程序和服务。
Cloud NGFW 可为南北向流量(进入或离开虚拟私有云 [VPC] 网络)和东西向流量(VPC 网络内资源之间的通信)提供有状态检测和第 7 层应用控制。为了提供高级安全性,Cloud NGFW 包含入侵检测与防御服务和 网址 过滤服务。入侵检测和防御服务会在应用层检查流量,以识别和阻止基于网络的威胁。借助网址过滤服务,您可以屏蔽或允许访问特定网址,从而控制对网站和网页的访问权限。
本文档简要介绍了 Cloud NGFW 的功能、服务层级以及 Cloud NGFW 支持的不同网络。
Cloud NGFW 的主要功能
Cloud NGFW 提供以下关键安全功能:
分布式防火墙服务。Cloud NGFW 会将防火墙规则应用于 VPC 网络中的虚拟机实例、基于虚拟机的资源和受支持的负载平衡器,以允许流量、拒绝流量或将流量发送到检查。
全球和区域级网络防火墙政策。借助 Cloud NGFW,您可以将防火墙规则分组到政策对象中,然后将这些对象一致地应用于多个 Virtual Private Cloud (VPC) 网络(无论是在全球范围内还是在特定区域内)。如需了解详情,请参阅全球网络防火墙政策和区域级网络防火墙政策。
分层防火墙政策。借助 Cloud NGFW,您可以将防火墙规则分组到政策对象中,然后将这些政策对象应用于整个组织或特定文件夹。这些政策可在整个 Google Cloud资源层次结构中提供一致的防火墙强制执行。如需了解详情,请参阅分层防火墙政策。
多层安全性。Cloud NGFW 通过在网络堆栈的第 3 层、第 4 层和第 7 层应用控制措施来保护您的工作负载。您可以创建在网络层和应用层控制流量的防火墙规则。
精细控制和微细分。微细分是一种安全实践,它将网络划分为多个小而不同的区域,从而为工作负载创建零信任框架。借助安全标记,您可以实现微细分,并应用精细的基于身份的安全规则来过滤内部和外部流量。
Cloud NGFW 层级
Cloud NGFW 功能分为以下层级:
Cloud Next Generation Firewall Essentials: Google Cloud 提供的基础防火墙服务层级。此层级的各项功能可让您根据标准网络属性(包括 IP 范围、端口和协议)创建规则。此层级的功能免费提供。
Cloud Next Generation Firewall Standard:扩展了基本功能版层级的功能,并提供增强功能,例如完全限定域名 (FQDN) 对象和威胁情报。
- Cloud Next Generation Firewall Enterprise:Cloud NGFW 的最高层级,提供高级配置和第 7 层安全功能,例如网址过滤以及入侵检测和防御。
Cloud NGFW 层级系统可让您精细控制安全支出。如需详细了解 Cloud NGFW 功能、层级和价格,请参阅 Cloud NGFW 层级和 Cloud NGFW 价格。
支持的 VPC 网络
Cloud NGFW 支持以下 VPC 网络,每个网络都针对特定的工作负载要求和性能配置文件而设计。
常规 VPC 网络:常规 VPC 网络支持以下 Cloud NGFW 防火墙政策:
常规 VPC 网络也支持 VPC 防火墙规则。
远程直接内存访问 (RDMA) 网络:您可以应用区域级网络防火墙政策来保护 RDMA 网络。