安全配置文件可帮助您为您的 Google Cloud 资源定义第 7 层检查政策。它们是通用政策结构,防火墙端点使用它们来扫描拦截的流量以提供应用层服务,例如网址过滤服务以及入侵检测与防御服务。
本文档详细介绍了安全配置文件及其功能。
规格
Cloud Next Generation Firewall 支持以下类型的安全配置文件:
URL_FILTERINGTHREAT_PREVENTION
安全配置文件是一种资源,您可以在组织级层或项目级层对其进行配置。
组织级安全配置文件:使用此配置文件创建和 管理组织级和项目级防火墙端点。
项目级安全配置文件 :使用此配置文件在同一项目中创建和管理项目级防火墙端点。
安全配置文件的名称采用以下网址标识符格式进行配置:
组织级:
organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAME项目级:
projects/PROJECT_ID/locations/global/securityProfiles/NAME
安全配置文件的
NAME必须满足以下要求:- 长度为 1 到 63 个字符的字符串
- 仅包含小写字母、数字或连字符 (-)
- 以字母开头
示例:
组织级安全配置文件:
organizations/2345678432/locations/global/securityProfiles/example-security-profile项目级安全配置文件:
projects/my-project-123/locations/global/securityProfiles/example-security-profile
如果您为安全配置文件名称使用唯一网址标识符,则网址会包含组织或项目以及位置。如果您仅指定名称,则在使用
gcloud命令时,必须单独提供组织 ID 或项目 ID 以及位置。创建安全配置文件后,请手动将其附加到 安全配置文件组。此安全配置文件组由您要强制执行第 7 层检查的 Virtual Private Cloud (VPC) 网络的防火墙政策引用。
每个安全配置文件都必须具有关联的项目 ID。关联项目用于安全配置文件资源的配额和访问权限限制。如果您使用
gcloud auth activate-service-account命令对您的服务帐号进行身份验证, 则可以将您的服务帐号与安全配置文件相关联。 如需详细了解如何创建安全配置文件, 请参阅创建威胁防护安全配置文件 和创建网址过滤安全配置文件。将安全配置文件添加到安全配置文件 组时,适用以下 限制:
- 组织级安全配置文件组只能引用组织级安全配置文件。
- 项目级安全配置文件组可以引用同一项目中的项目级安全配置文件。
网址过滤安全配置文件
Cloud NGFW 使用网址过滤安全配置文件来配置 网址过滤服务。
网址过滤安全配置文件是一种安全配置文件,它使用一个或多个网址过滤条件为防火墙端点定义安全政策。网址过滤条件是包含唯一优先级和操作的匹配器字符串列表。 匹配器字符串包含 Cloud NGFW 与正在评估的 HTTP 消息进行匹配的域名。对于加密消息,Cloud NGFW 会根据 TLS 协商期间发送的 SNI 检查匹配器字符串。如果您启用 TLS 检查,Cloud NGFW 会解密消息标头,并评估主机标头。对于未加密的流量,Cloud NGFW 始终将匹配器字符串与 HTTP 消息的主机标头进行比较。
网址过滤条件的优先级由您使用 priority 字段指定的唯一值决定。网址过滤条件的优先级值介于 0 到 2147483647 之间。Cloud NGFW 会先处理数值最小的值(表示优先级最高),然后依次处理数值较高的值,直到找到匹配项。Cloud NGFW 不会按优先级顺序评估网址过滤列表中的各个网域。
如需详细了解如何创建和管理网址过滤安全配置文件, 请参阅创建和管理网址过滤安全配置文件。
如需详细了解如何配置网址过滤,请参阅 配置网址过滤服务。
威胁防护安全配置文件
Cloud NGFW 使用威胁防护安全配置文件来提供 入侵检测与防御服务。
当您创建 THREAT_PREVENTION 类型的安全配置文件时,系统会将具有默认严重级别和关联操作的以下
默认威胁签名
添加到配置文件中:
- 漏洞检测签名
- 反间谍软件签名
- 防病毒签名
- DNS 签名
您可以选择向威胁防护安全配置文件添加严重级别替换项。每个默认签名都有一个威胁严重 级别。 严重级别表示检测到的威胁的风险。每个严重级别还具有一个关联的默认操作。默认操作指定 Cloud NGFW 处理具有特定严重级别的威胁所采取的措施。您可以使用威胁防护安全配置文件来替换严重级别的默认操作。
系统支持以下操作:
- 无替换:执行与威胁关联的默认操作。
- 拒绝:记录威胁并丢弃数据包。
- 提醒:记录威胁并允许会话。
- 允许:检测到威胁时忽略威胁。
创建威胁防护安全配置文件时,所有
严重级别的默认替换操作均设置为No override。
您还可以向威胁防护安全配置文件添加签名替换项。每个威胁签名都有一个关联的默认操作。您可以按照上述操作,使用威胁防护安全配置文件替换威胁签名的默认操作。签名替换项优先于严重级别替换项。
如需详细了解如何配置威胁防护,请参阅 配置入侵检测与防御服务。
Identity and Access Management 角色
Identity and Access Management (IAM) 角色控制以下安全配置文件操作:
- 在组织或项目中创建安全配置文件
- 在组织或项目中修改或删除安全配置文件
- 在组织或项目中查看安全配置文件的详细信息
- 在组织或项目中查看安全配置文件列表
- 使用安全配置文件组中的安全配置文件
下表介绍了每个步骤所需的角色。
| 特性 | 必要角色 |
|---|---|
| 创建安全配置文件 |
以下任一角色:
|
| 修改安全配置文件 |
以下任一角色:
|
| 删除安全配置文件 |
以下任一角色:
|
| 查看安全配置文件的详细信息 |
以下任一角色:
|
| 查看组织中的所有安全配置文件 |
以下任一角色:
|
| 使用安全配置文件组中的安全配置文件 |
以下任一角色:
|
配额
如需查看与安全配置文件关联的配额,请参阅配额和限制。