本頁面由 Cloud Translation API 翻譯而成。

入侵偵測與防護服務總覽

Cloud Next Generation Firewall 入侵偵測與防範服務會持續監控工作負載流量，找出任何惡意活動，並採取預防措施。 Google Cloud 惡意活動可能包括網路上的入侵、惡意軟體、間諜軟體和指令與控制攻擊等威脅。

Cloud NGFW 入侵偵測與防範服務的運作方式，是建立 Google 管理的區域防火牆端點，這些端點會使用封包攔截技術，以透明方式檢查工作負載是否含有設定的威脅特徵，並防範威脅。這些威脅防護功能是由 Palo Alto Networks 的威脅防護技術提供支援。

Cloud NGFW 支援下列威脅簽章類別：

反間諜軟體
安全漏洞防護
防毒軟體

如要進一步瞭解威脅類別，請參閱「預設威脅簽章」。

入侵偵測與防範服務是 Cloud Next Generation Firewall Enterprise 功能之一，詳情請參閱「Cloud NGFW Enterprise」和「Cloud NGFW 定價」。

本文提供各種 Cloud NGFW 入侵偵測與防範服務元件的高階總覽，以及這些元件如何為虛擬私有雲 (VPC) 網路中的 Google Cloud 工作負載提供進階防護功能。

入侵偵測與防範服務的運作方式

入侵偵測與防範服務會依下列順序處理流量：

防火牆政策規則會套用至網路中虛擬機器 (VM) 執行個體或 Google Kubernetes Engine (GKE) 叢集的往來流量。
系統會攔截相符的流量，並將封包傳送至防火牆端點，進行第 7 層檢查。
防火牆端點會掃描封包，找出已設定的威脅特徵碼。
如果偵測到威脅，系統會對該封包執行安全設定檔中設定的動作。

圖 1 說明入侵偵測與防範服務的簡化部署模型。

入侵偵測與防範服務的範例部署模型。 — **圖 1.** 入侵偵測與防範服務的部署模型範例 (按一下可放大)。

本節的其餘部分說明設定入侵偵測與防範服務所需的元件和設定。

安全性設定檔和安全性設定檔群組

Cloud NGFW 會參照安全性設定檔和安全性設定檔群組，對入侵偵測與防範服務執行深度封包檢查。

安全性設定檔是通用政策結構，用於入侵偵測與防範服務，可覆寫特定威脅防範情境。如要設定入侵偵測與防範服務，請定義 threat-prevention 類型的安全性設定檔。如要進一步瞭解安全性設定檔，請參閱「安全性設定檔總覽」。
安全性設定檔群組最多只能包含一個安全性設定檔，且每個群組的 threat-prevention 類型只能有一個。

如要設定入侵偵測與防範服務，防火牆政策規則會參照這些安全性設定檔群組，為網路流量啟用威脅偵測與防範功能。如要進一步瞭解安全性設定檔群組，請參閱「安全性設定檔群組總覽」。

防火牆端點

防火牆端點是在特定可用區中建立的機構層級資源，可檢查相同可用區中的流量。

如果是入侵偵測與防範服務，防火牆端點會掃描攔截的流量，找出任何威脅。如果偵測到威脅，系統會對該封包執行與威脅相關的動作。這個動作可以是預設動作，也可以是 threat-prevention 安全性設定檔中的動作 (如果已設定)。

如要進一步瞭解防火牆端點及如何設定，請參閱防火牆端點總覽。

防火牆政策

防火牆政策會直接套用至進出 VM 的所有流量。您可以使用階層式防火牆政策和全域網路防火牆政策，設定具備第 7 層檢查功能的防火牆政策規則。

防火牆政策規則

您可以透過防火牆政策規則，控管要攔截及檢查的流量類型。如要設定入侵偵測和預防服務，請建立防火牆政策規則，以執行下列操作：

使用多個第 3 層和第 4 層防火牆政策規則元件，找出要檢查的流量類型。
針對相符的流量，為 apply_security_profile_group 動作指定安全性設定檔群組名稱。

如要瞭解完整的入侵偵測與防範服務工作流程，請參閱「設定入侵偵測與防範服務」。

您也可以在防火牆規則中使用安全標記，設定入侵偵測與防範服務。您可以使用網路中的標記，以設定的任何區隔為基礎，並強化流量檢查邏輯，納入入侵偵測和防護服務。

檢查加密流量

Cloud NGFW 支援傳輸層安全標準 (TLS) 攔截和解密，可檢查選取的加密流量是否有威脅。透過 TLS，您可以檢查傳入和傳出連線，包括網際網路的來回流量，以及 Google Cloud內的流量。

如要進一步瞭解 Cloud NGFW 中的 TLS 檢查功能，請參閱「TLS 檢查總覽」。

如要瞭解如何在 Cloud NGFW 中啟用 TLS 檢查功能，請參閱「設定 TLS 檢查」。

威脅特徵

Cloud NGFW 的威脅偵測與防護功能是由 Palo Alto Networks 威脅防護技術提供支援。Cloud NGFW 支援預設的威脅特徵集，並提供預先定義的嚴重程度，可協助保護網路。您也可以使用安全性設定檔，覆寫與這些威脅特徵碼相關聯的預設動作。

如要進一步瞭解威脅簽章，請參閱「威脅簽章總覽」。

如要查看網路中偵測到的威脅，請參閱「查看威脅」。

限制

Cloud NGFW 不支援巨型框架最大傳輸單位 (MTU)。
防火牆端點會忽略 X-Forwarded-For (XFF) 標頭。因此，防火牆規則記錄不會包含這些標頭。

後續步驟

設定入侵偵測與防範服務