配置入侵检测与防御服务

如需在网络中启用入侵检测和防御服务,您必须设置多个 Cloud 新一代防火墙组件。本文档简要介绍配置这些组件以及启用威胁检测和防护的工作流。

配置没有 TLS 检查的入侵检测与防御服务

如需在网络中配置入侵检测与防御服务,请执行以下任务。

  1. 创建 Threat prevention 类型的安全配置文件。根据网络的要求设置威胁或严重级别替换项。您可以创建一个或多个配置文件。如需了解如何创建威胁防护安全配置文件,请参阅创建威胁防护安全配置文件

  2. 使用在上一步中创建的安全配置文件创建安全配置文件组。如需了解如何创建安全配置文件组,请参阅创建安全配置文件组

  3. 在要启用威胁防护的工作负载所在的可用区中创建防火墙端点。

    您可以创建支持或不支持巨型帧的防火墙端点。

    如需了解如何创建防火墙端点,请参阅创建防火墙端点

  4. 将防火墙端点与要启用威胁检测和防护功能的一个或多个 VPC 网络相关联。确保您的工作负载在防火墙端点所在的可用区中运行。

    支持巨型帧的防火墙端点只能接受不超过 8,500 字节的数据包。或者,不支持巨型帧的防火墙端点只能接受大小不超过 1,460 字节的数据包。

    由于端点不会针对较大的数据包执行入侵检测和防御服务,因此我们建议您将关联的 VPC 网络配置为使用 8,500 字节和 1,460 字节的最大传输单元 (MTU) 限制。如需了解详情,请参阅 支持的数据包大小

    如需了解如何将防火墙端点与 VPC 网络关联,请参阅创建防火墙端点关联

  5. 您可以使用全球网络防火墙政策分层防火墙政策来配置入侵检测和防御服务。

    • 在新的或现有的全球防火墙政策中,添加启用了第 7 层检查的防火墙政策规则(apply_security_profile_group 操作),并指定您之前创建的安全配置文件组的名称。确保防火墙政策与需要检查的工作负载所在的 VPC 网络关联。如需详细了解全球网络防火墙政策以及创建启用威胁防护的防火墙政策规则所需的参数,请参阅创建全球网络防火墙政策创建全球网络防火墙政策规则

    • 您还可以使用分层防火墙政策来添加配置了安全配置文件组的防火墙政策规则。如需详细了解创建启用威胁防护的分层防火墙政策规则所需的参数,请参阅创建防火墙规则

配置具有 TLS 检查的入侵检测与防御服务

如需在网络中配置具有传输层安全协议 (TLS) 检查的入侵检测和防御服务,请执行以下任务。

  1. 创建 Threat prevention 类型的安全配置文件。根据网络的要求设置威胁或严重级别替换项。您可以创建一个或多个配置文件。如需了解如何创建威胁防护安全配置文件,请参阅创建威胁防护安全配置文件

  2. 使用在上一步中创建的安全配置文件创建安全配置文件组。如需了解如何创建安全配置文件组,请参阅创建安全配置文件组

  3. 创建 CA 池和信任配置,并将它们添加到您的 TLS 检查政策。如需了解如何在 Cloud NGFW 中启用 TLS 检查,请参阅设置 TLS 检查

  4. 在要启用威胁防护的工作负载所在的可用区中创建防火墙端点。

    您可以创建支持或不支持巨型帧的防火墙端点。

    如需了解如何创建防火墙端点,请参阅创建防火墙端点

  5. 将防火墙端点与要启用威胁检测和防护功能的一个或多个 VPC 网络相关联。将您之前创建的 TLS 检查政策添加到防火墙端点关联。确保您的工作负载在防火墙端点所在的可用区中运行。

    支持巨型帧的防火墙端点只能接受不超过 8,500 字节的数据包。或者,不支持巨型帧的防火墙端点只能接受大小不超过 1,460 字节的数据包。

    由于端点不会针对较大的数据包执行入侵检测和防御服务,因此我们建议您将关联的 VPC 网络配置为使用 8,500 字节和 1,460 字节的最大传输单元 (MTU) 限制。如需了解详情,请参阅 支持的数据包大小

    如需了解如何将防火墙端点与 VPC 网络关联并启用 TLS 检查,请参阅创建防火墙端点关联

  6. 您可以使用全球网络防火墙政策分层防火墙政策来配置入侵检测和防御服务。

    • 在新的或现有的全球防火墙政策中,添加启用了第 7 层检查的防火墙政策规则(apply_security_profile_group 操作),并指定您之前创建的安全配置文件组的名称。如需启用 TLS 检查,请指定 --tls-inspect 标志。确保防火墙政策与需要检查的工作负载所在的 VPC 网络关联。如需详细了解全球网络防火墙政策以及创建启用威胁防护的防火墙政策规则所需的参数,请参阅创建全球网络防火墙政策创建全球网络防火墙政策规则

    • 您还可以使用分层防火墙政策来添加配置了安全配置文件组的防火墙政策规则。如需详细了解创建启用威胁防护的分层防火墙政策规则所需的参数,请参阅创建防火墙规则

部署模型示例

图 1 展示了为位于同一区域中不同可用区的两个 VPC 网络配置了入侵检测和防御服务的示例部署。

在一个区域中部署入侵检测与防御服务。
图 1. 在一个区域中部署入侵检测与防御服务(点击可放大)。

示例部署具有以下威胁防护配置:

  1. 两个安全配置文件组:

    1. Security profile group 1 替换为安全配置文件 Security profile 1

    2. Security profile group 2 替换为安全配置文件 Security profile 2

  2. 使用方 VPC 1 (VPC 1) 具有安全配置文件组设置为 Security profile group 1 的防火墙政策。

  3. 使用方 VPC 2 (VPC 2) 具有安全配置文件组设置为 Security profile group 2 的防火墙政策。

  4. 防火墙端点 Firewall endpoint 1 对可用区 us-west1-a 中的 VPC 1VPC 2 上运行的工作负载执行威胁检测和防护。

  5. 防火墙端点 Firewall endpoint 2 对可用区 us-west1-b 中的 VPC 1VPC 2 上运行的工作负载执行启用了 TLS 检查的威胁检测和防护。

后续步骤