Cloud Next Generation Firewall 是分散式的新型雲端防火牆服務,可保護 Google Cloud 工作負載,例如在 Google Cloud 或使用 Google Cloud資源執行的應用程式和服務。
Cloud NGFW 可針對南北向流量 (進入或離開虛擬私有雲 (VPC) 網路) 和東西向流量 (VPC 網路內資源之間的通訊),提供有狀態檢查和第 7 層應用程式控制。為提供進階安全性,Cloud NGFW 包含入侵偵測與防範服務和 URL 篩選服務。入侵偵測與防範服務會檢查應用程式層的流量,找出並封鎖網路威脅。網址篩選服務可讓您封鎖或允許網址,藉此控管網站和網頁的存取權。
本文概述 Cloud NGFW 的功能、服務層級,以及 Cloud NGFW 支援的不同網路。
Cloud NGFW 的主要功能
Cloud NGFW 提供下列主要安全防護功能:
分散式防火牆服務。Cloud NGFW 會將防火牆規則套用至虛擬私有雲網路中的 VM 執行個體、VM 資源和支援的負載平衡器,以允許或拒絕流量,或將流量送交檢查。
全域和區域網路防火牆政策。Cloud NGFW 可讓您將防火牆規則編成政策物件群組,並在多個虛擬私有雲 (VPC) 網路中,以全域或特定區域的形式套用這些規則。詳情請參閱「全域網路防火牆政策」和「區域網路防火牆政策」。
階層式防火牆政策。Cloud NGFW 可讓您將防火牆規則編成政策物件群組,並套用至整個機構或特定資料夾。這些政策可在整個 Google Cloud資源階層中,提供一致的防火牆強制執行機制。詳情請參閱「階層式防火牆政策」。
多層安全防護機制。Cloud NGFW 會在網路堆疊的第 3 層、第 4 層和第 7 層套用控制項,保護工作負載。您可以建立防火牆規則,控管網路層和應用程式層的流量。
精細的控制和微區隔。微分段是一種安全做法,可將網路劃分為小型獨立區域,為工作負載建立零信任架構。使用安全標記,您可以啟用微區隔,並套用精細的身分型安全性規則,篩選內部和外部流量。
Cloud NGFW 級別
Cloud NGFW 功能分為下列層級:
Cloud Next Generation Firewall Essentials:基礎防火牆服務層級, Google Cloud 這個層級的功能可讓您根據標準網路屬性 (包括 IP 範圍、通訊埠和通訊協定) 建立規則。這個層級的功能免付費。
Cloud Next Generation Firewall Standard:擴充 Essentials 層級的功能,提供完整網域名稱 (FQDN) 物件和威脅情報等強化功能。
- Cloud Next Generation Firewall Enterprise:Cloud NGFW 的最高級別,提供進階設定和第 7 層安全性功能,例如網址篩選、入侵偵測與防範。
Cloud NGFW 層級系統可讓您精細控管安全防護支出。如要進一步瞭解 Cloud NGFW 的功能、層級和定價,請參閱「Cloud NGFW 層級」和「Cloud NGFW 定價」。
支援的虛擬私有雲網路
Cloud NGFW 支援下列 VPC 網路,這些網路各自適用於特定工作負載需求和效能設定檔。
一般虛擬私有雲網路:一般虛擬私有雲網路支援下列 Cloud NGFW 防火牆政策:
一般虛擬私有雲網路也支援虛擬私有雲防火牆規則。