設定入侵偵測與防範服務

如要在網路中啟用入侵偵測與防範服務,您必須設定多個 Cloud Next Generation Firewall 元件。本文提供高階工作流程,說明如何設定這些元件,以及啟用威脅偵測和防護功能。

設定入侵偵測與防範服務,但不進行 TLS 檢查

如要在網路中設定入侵偵測與防範服務,請執行下列工作。

  1. 建立 Threat prevention 類型的安全性設定檔。視網路需求設定威脅或嚴重程度覆寫。你可以建立一或多個設定檔。如要瞭解如何建立威脅防護安全性設定檔,請參閱「建立威脅防護安全性設定檔」。

  2. 使用上一個步驟建立的安全性設定檔,建立安全性設定檔群組。如要瞭解如何建立安全性設定檔群組,請參閱「建立安全性設定檔群組」。

  3. 在要啟用威脅防範功能的可用區中,建立與工作負載相同的防火牆端點。

    您可以建立支援或不支援巨型封包的防火牆端點。

    如要瞭解如何建立防火牆端點,請參閱「建立防火牆端點」。

  4. 將防火牆端點與要啟用威脅偵測和防範功能的一或多個虛擬私有雲網路建立關聯。請確認您在與防火牆端點相同的區域中執行工作負載。

    支援巨型封包的防火牆端點只能接受大小上限為 8,500 個位元組的封包。或者,不支援巨型封包的防火牆端點只能接受大小上限為 1,460 個位元組的封包。

    由於端點不會對較大的封包執行入侵偵測和防護服務,因此建議您將相關聯的 VPC 網路設定為使用 8,500 位元組和 1,460 位元組的最大傳輸單位 (MTU) 限制。詳情請參閱「 支援的封包大小」。

    如要瞭解如何將防火牆端點與 VPC 網路建立關聯,請參閱「建立防火牆端點關聯」。

  5. 您可以透過全域網路防火牆政策階層式防火牆政策,設定入侵偵測與防範服務。

    • 在新的或現有的全域防火牆政策中,新增已啟用第 7 層檢查功能的防火牆政策規則 (apply_security_profile_group 動作),並指定您在上一個步驟中建立的安全性設定檔群組名稱。確認防火牆政策與需要檢查的工作負載位於相同的 VPC 網路。如要進一步瞭解全域網路防火牆政策,以及建立啟用威脅防護功能的防火牆政策規則時所需的參數,請參閱「建立全域網路防火牆政策」和「建立全域網路防火牆政策規則」。

    • 您也可以使用階層式防火牆政策,新增已設定安全性設定檔群組的防火牆政策規則。如要進一步瞭解建立階層式防火牆政策規則時需要哪些參數,請參閱建立防火牆規則

設定入侵偵測與防範服務,並啟用 TLS 檢查功能

如要在網路中設定入侵偵測和預防服務,並啟用傳輸層安全標準 (TLS) 檢查功能,請完成下列工作。

  1. 建立 Threat prevention 類型的安全性設定檔。視網路需求設定威脅或嚴重程度覆寫。你可以建立一或多個設定檔。如要瞭解如何建立威脅防護安全性設定檔,請參閱「建立威脅防護安全性設定檔」。

  2. 使用上一個步驟建立的安全性設定檔,建立安全性設定檔群組。如要瞭解如何建立安全性設定檔群組,請參閱「建立安全性設定檔群組」。

  3. 建立 CA 集區和信任設定,並將其新增至 TLS 檢查政策。如要瞭解如何在 Cloud NGFW 中啟用 TLS 檢查功能,請參閱「設定 TLS 檢查」。

  4. 在要啟用威脅防範功能的可用區中,建立與工作負載相同的防火牆端點。

    您可以建立支援或不支援巨型封包的防火牆端點。

    如要瞭解如何建立防火牆端點,請參閱「建立防火牆端點」。

  5. 將防火牆端點與要啟用威脅偵測和防範功能的一或多個虛擬私有雲網路建立關聯。將您在上一個步驟中建立的 TLS 檢查政策,新增至防火牆端點關聯。請確保您在與防火牆端點相同的區域中執行工作負載。

    支援巨型封包的防火牆端點只能接受大小上限為 8,500 個位元組的封包。或者,不支援巨型封包的防火牆端點只能接受大小上限為 1,460 個位元組的封包。

    由於端點不會對較大的封包執行入侵偵測和防護服務,因此建議您將相關聯的 VPC 網路設定為使用 8,500 位元組和 1,460 位元組的最大傳輸單位 (MTU) 限制。詳情請參閱「 支援的封包大小」。

    如要瞭解如何將防火牆端點與 VPC 網路建立關聯,並啟用 TLS 檢查,請參閱「建立防火牆端點關聯」。

  6. 您可以透過全域網路防火牆政策階層式防火牆政策,設定入侵偵測與防範服務。

    • 在新的或現有的全域防火牆政策中,新增已啟用第 7 層檢查功能的防火牆政策規則 (apply_security_profile_group 動作),並指定您在上一個步驟中建立的安全性設定檔群組名稱。如要啟用 TLS 檢查功能,請指定 --tls-inspect 標記。確認防火牆政策與需要檢查的工作負載位於相同的 VPC 網路。如要進一步瞭解全域網路防火牆政策,以及建立啟用威脅防護功能的防火牆政策規則時所需的參數,請參閱「建立全域網路防火牆政策」和「建立全域網路防火牆政策規則」。

    • 您也可以使用階層式防火牆政策,新增已設定安全性設定檔群組的防火牆政策規則。如要進一步瞭解建立階層式防火牆政策規則時需要哪些參數,請參閱建立防火牆規則

部署模式範例

圖 1 顯示的範例部署作業,是為同一個區域中兩個不同可用區的兩個虛擬私有雲網路,設定入侵偵測和防護服務。

在某個區域部署入侵偵測與防範服務。
圖 1. 在區域中部署入侵偵測與防範服務 (按一下可放大圖片)。

範例部署作業的威脅防護設定如下:

  1. 兩個安全性設定檔群組:

    1. Security profile group 1,並使用安全性設定檔Security profile 1

    2. Security profile group 2,並使用安全性設定檔Security profile 2

  2. 客戶虛擬私有雲 1 (VPC 1) 的防火牆政策已將安全性設定檔群組設為 Security profile group 1

  3. 客戶虛擬私有雲 2 (VPC 2) 的防火牆政策已將安全性設定檔群組設為 Security profile group 2

  4. 防火牆端點 Firewall endpoint 1 會偵測並防範可用區 us-west1-aVPC 1VPC 2 上執行的工作負載威脅。

  5. 防火牆端點 Firewall endpoint 2 會啟用 TLS 檢查功能,對在可用區 us-west1-bVPC 1VPC 2 上執行的工作負載進行威脅偵測和防護。

後續步驟