创建和管理威胁防护安全配置文件

本页面介绍了如何使用 Google Cloud 控制台或 Google Cloud CLI 创建和管理类型为 threat-prevention安全配置文件

准备工作

角色

如需获得创建、查看、更新或删除安全配置文件所需的权限,请让您的管理员向您授予组织的必要 IAM 角色。如需详细了解如何授予角色,请参阅管理访问权限

创建威胁防护安全配置文件

创建威胁防护安全配置文件(类型为 threat-prevention 的安全配置文件)时,您可以将安全配置文件的名称指定为字符串或唯一网址标识符。组织级安全配置文件的唯一网址可以按以下格式构建:

organization/ORGANIZATION_ID/locations/LOCATION/securityProfiles/SECURITY_PROFILE_NAME

如果您为安全配置文件名称使用唯一网址标识符,则安全配置文件的组织和位置已包含在网址标识符中。但是,如果您只使用安全配置文件名称,则必须单独指定组织和位置。如需详细了解唯一网址标识符,请参阅安全配置文件规范

控制台

  1. 在 Google Cloud 控制台中,前往安全配置文件页面。

    前往“安全配置文件”

  2. 在项目选择器菜单中,选择您的组织。

  3. 选择安全配置文件标签页。

  4. 点击 Create profile(创建配置文件)。

  5. 名称字段中输入名称。

  6. 可选:在说明字段中输入说明。

  7. 如需创建 Cloud 新一代防火墙企业版安全配置文件,请在用途部分选择 Cloud NGFW 企业版

  8. 如需创建威胁防护安全配置文件,请在类型部分中选择威胁防护

  9. 点击继续

(可选)添加严重级别和威胁替换项:

  1. 严重级别替换项下,点击要替换的严重级别旁边的修改
  2. 替换操作列表中,为严重级别选择适当的操作。
  3. 如需添加威胁签名替换项,请点击按 ID 添加签名
  4. 签名 ID 字段中,输入要替换的威胁 ID。您可以在威胁信息中心中查看威胁 ID。
  5. 替换操作列表中,为威胁 ID 选择适当的操作。
  6. 点击创建

gcloud

如需创建威胁防护安全配置文件,请使用 gcloud network-security security-profiles threat-prevention create 命令

gcloud network-security security-profiles threat-prevention create NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    --description DESCRIPTION

替换以下内容:

  • NAME:威胁防护安全配置文件的名称;您可以将名称指定为字符串或唯一网址标识符。

    如果您为 NAME 标志使用唯一网址标识符,则可以省略 ORGANIZATION_IDLOCATION 标志。

  • ORGANIZATION_ID:创建威胁防护安全配置文件的组织。如果您为 NAME 标志使用唯一网址标识符,则可以省略 ORGANIZATION_ID 标志。

  • LOCATION:威胁防护安全配置文件的位置。

    位置始终设置为 global。如果您为 NAME 标志使用唯一网址标识符,则可以省略 LOCATION 标志。

  • PROJECT_ID:用于威胁防御安全配置文件的配额和访问权限限制的可选项目 ID。

  • DESCRIPTION:威胁防范安全配置文件的可选说明。

查看威胁防护安全配置文件

您可以查看组织中特定威胁防护安全配置文件的详细信息。

控制台

  1. 在 Google Cloud 控制台中,前往安全配置文件页面。

    前往“安全配置文件”

  2. 选择安全配置文件标签页。该标签页会显示已配置的安全配置文件的列表。

  3. 点击类型为威胁防护的安全配置文件,即可查看该配置文件的详细信息。

gcloud

如需查看威胁防护安全配置文件的详细信息,请使用 gcloud beta network-security security-profiles describe 命令

  gcloud beta network-security security-profiles describe NAME \
      --organization ORGANIZATION_ID \
      --location LOCATION

替换以下内容:

  • NAME:您要描述的类型为 threat-prevention 的安全配置文件的名称;您可以将名称指定为字符串或唯一网址标识符。

如果您为 NAME 标志使用唯一网址标识符,则可以省略 ORGANIZATION_IDLOCATION 标志。

  • ORGANIZATION_ID:创建威胁防范安全配置文件的组织。如果您为 NAME 标志使用唯一网址标识符,则可以省略 ORGANIZATION_ID 标志。

  • LOCATION:威胁防护安全配置文件的位置。位置始终设置为 global。如果您为 NAME 标志使用唯一网址标识符,则可以省略 LOCATION 标志。

列出威胁防护安全配置文件

您可以列出组织中的所有威胁防护安全配置文件。

控制台

  1. 在 Google Cloud 控制台中,前往安全配置文件页面。

    前往“安全配置文件”

  2. 选择安全配置文件标签页。该标签页会显示已配置的安全配置文件的列表。

gcloud

如需列出所有威胁防护安全配置文件,请使用 gcloud network-security security-profiles threat-prevention list 命令

gcloud network-security security-profiles threat-prevention list \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID

替换以下内容:

  • ORGANIZATION_ID:创建威胁防护安全配置文件的组织。

  • LOCATION:威胁防护安全配置文件的位置。 位置始终设置为 global

  • PROJECT_ID:用于威胁防御安全配置文件的配额和访问权限限制的可选项目 ID。

删除威胁防护安全配置文件

您可以通过指定威胁防护安全配置文件的名称、位置和组织来删除它。但是,如果安全配置文件组引用了安全配置文件,则无法删除该安全配置文件。

控制台

  1. 在 Google Cloud 控制台中,前往安全配置文件页面。

    前往“安全配置文件”

  2. 选择安全配置文件标签页。该标签页会显示已配置的安全配置文件的列表。

  3. 选择要删除的威胁防护安全配置文件,然后点击删除

  4. 再次点击删除进行确认。

gcloud

如需删除威胁防护安全配置文件,请使用 gcloud network-security security-profiles threat-prevention delete 命令

gcloud network-security security-profiles threat-prevention delete NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID

替换以下内容:

  • NAME:您要删除的威胁防护安全配置文件的名称;您可以将名称指定为字符串或唯一网址标识符。

  • ORGANIZATION_ID:创建威胁防护安全配置文件的组织。如果您为 NAME 标志使用唯一网址标识符,则可以省略 ORGANIZATION_ID 标志。

  • LOCATION:威胁防护安全配置文件的位置。

    位置始终设置为 global。如果您为 NAME 标志使用唯一网址标识符,则可以省略 LOCATION 标志。

  • PROJECT_ID:用于威胁防御安全配置文件的配额和访问权限限制的可选项目 ID。

导入威胁防护安全配置文件

您可以从 YAML 文件导入威胁防护安全配置文件(无论是自定义创建的还是之前导出的)。导入威胁防护安全配置文件时,如果已存在同名配置文件,Cloud NGFW 会更新现有配置文件。

gcloud

如需从 YAML 文件导入威胁防护安全配置文件,请使用 gcloud beta network-security security-profiles import 命令

gcloud beta network-security security-profiles import NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --source FILE_NAME

替换以下内容:

  • NAME:您要导入的类型为 threat-prevention 的安全配置文件的名称;您可以将名称指定为字符串或唯一网址标识符。

    如果您为 NAME 标志使用唯一网址标识符,则可以省略 ORGANIZATION_IDLOCATION 标志。

  • ORGANIZATION_ID:创建威胁防范安全配置文件的组织。如果您为 NAME 标志使用唯一网址标识符,则可以省略 ORGANIZATION_ID 标志。

  • LOCATION:威胁防护安全配置文件的位置。位置始终设置为 global。如果您为 NAME 标志使用唯一网址标识符,则可以省略 LOCATION 标志。

  • FILE_NAME:包含威胁防护安全配置文件的配置导出数据的 YAML 文件的路径。例如,threat-prevention-sp.yaml

    YAML 文件不得包含任何仅输出字段。或者,您也可以省略 source 标志,以便从标准输入中读取数据。

导出威胁防护安全配置文件

您可以将威胁防护安全配置文件导出到 YAML 文件。例如,您可以使用此功能导出安全配置文件,快速修改该文件,然后将其重新导入,而无需使用界面来修改大型安全配置文件。

gcloud

如需将威胁防护安全配置文件导出到 YAML 文件,请使用 gcloud beta network-security security-profiles export 命令

gcloud beta network-security security-profiles export NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --destination FILE_NAME

替换以下内容:

  • NAME:您要导出的类型为 threat-prevention 的安全配置文件的名称;您可以将名称指定为字符串或唯一网址标识符。

    如果您为 NAME 标志使用唯一网址标识符,则可以省略 ORGANIZATION_IDLOCATION 标志。

  • ORGANIZATION_ID:创建威胁防范安全配置文件的组织。如果您为 NAME 标志使用唯一网址标识符,则可以省略 ORGANIZATION_ID 标志。

  • LOCATION:威胁防护安全配置文件的位置。位置始终设置为 global。如果您为 NAME 标志使用唯一网址标识符,则可以省略 LOCATION 标志。

  • FILE_NAME:Cloud NGFW 将威胁防护安全配置导出到的 YAML 文件的路径。例如 threat-prevention-sp.yaml

    导出的配置数据不包含任何仅输出字段。或者,您也可以省略 destination 标志,以写入标准输出。

在威胁防护安全配置文件中添加替换操作

您可以替换现有威胁防护安全配置文件中的特定威胁签名严重级别关联的操作。

控制台

  1. 在 Google Cloud 控制台中,前往安全配置文件页面。

    前往“安全配置文件”

  2. 选择安全配置文件标签页。该标签页会显示已配置的安全配置文件的列表。

  3. 选择要替换操作的安全配置文件,然后点击修改

  4. 严重级别替换项下,点击要替换的严重级别旁边的修改

  5. 替换操作列表中,为严重级别选择适当的操作。

  6. 点击确认

  7. 点击保存

gcloud

如需向威胁防护安全配置文件添加替换项,请使用 gcloud network-security security-profiles threat-prevention add-override 命令

gcloud network-security security-profiles threat-prevention add-override NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \
    --action ACTION

替换以下内容:

  • NAME:安全配置文件的名称;您可以将名称指定为字符串或唯一网址标识符。

  • ORGANIZATION_ID:创建安全配置文件的组织。

    如果您为 NAME 标志使用唯一网址标识符,则可以省略 ORGANIZATION_ID 标志。

  • LOCATION:安全配置文件的位置。

    位置始终设置为 global。如果您为 NAME 标志使用唯一网址标识符,则可以省略 LOCATION 标志。

  • PROJECT_ID:用于安全配置文件的配额和访问权限限制的可选项目 ID。

  • SEVERITIES:要替换操作的严重级别的逗号分隔列表。防火墙端点会将配置的 --action 标志应用于指定严重级别的所有威胁。严重级别可以是以下之一:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS:要替换操作的威胁签名 ID 的逗号分隔列表。防火墙端点会将配置的 --action 标志应用于指定威胁 ID 的所有威胁。

  • PROTOCOLS:要监控的以英文逗号分隔的网络协议列表,以检测防病毒威胁。如需了解详情,请参阅支持的协议

  • ACTION:指定的威胁 ID 或严重程度对应的操作。如需了解详情,请参阅支持的操作

列出威胁防护安全配置文件中的替换操作

您可以列出威胁防护安全配置文件中的所有替换操作。

控制台

  1. 在 Google Cloud 控制台中,前往安全配置文件页面。

    前往“安全配置文件”

  2. 选择安全配置文件标签页。该标签页会显示已配置的安全配置文件的列表。

  3. 选择安全配置文件以查看配置的严重级别替换操作和威胁签名替换操作。

gcloud

如需列出威胁防护安全配置文件中的所有替换操作,请使用 gcloud network-security security-profiles threat-prevention list-overrides 命令

gcloud network-security security-profiles threat-prevention list-overrides NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION

替换以下内容:

  • NAME:安全配置文件的名称;您可以将名称指定为字符串或唯一网址标识符。

  • ORGANIZATION_ID:创建安全配置文件的组织。

    如果您为 NAME 标志使用唯一网址标识符,则可以省略 ORGANIZATION_ID 标志。

  • LOCATION:安全配置文件的位置。

    位置始终设置为 global。如果您为 NAME 标志使用唯一网址标识符,则可以省略 LOCATION 标志。

更新威胁防护安全配置文件中的替换操作

您可以更新威胁防护安全配置文件中严重级别或威胁签名的现有替换操作。

控制台

  1. 在 Google Cloud 控制台中,前往安全配置文件页面。

    前往“安全配置文件”

  2. 选择安全配置文件标签页。该标签页会显示已配置的安全配置文件的列表。

  3. 选择安全配置文件,然后点击修改

  4. 严重级别替换项下,点击要更新替换操作的严重级别旁边的修改

  5. 替换操作列表中,为严重级别选择适当的操作。

  6. 点击确认

  7. 点击保存

gcloud

如需更新威胁防护安全配置文件中的替换操作,请使用 gcloud network-security security-profiles threat-prevention update-override 命令

gcloud network-security security-profiles threat-prevention update-override NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS] \
    --action ACTION

替换以下内容:

  • NAME:安全配置文件的名称;您可以将名称指定为字符串或唯一网址标识符。

  • ORGANIZATION_ID:创建安全配置文件的组织。

    如果您为 NAME 标志使用唯一网址标识符,则可以省略 ORGANIZATION_ID 标志。

  • LOCATION:安全配置文件的位置。

    位置始终设置为 global。如果您为 NAME 标志使用唯一网址标识符,则可以省略 LOCATION 标志。

  • PROJECT_ID:用于安全配置文件的配额和访问权限限制的可选项目 ID。

  • SEVERITIES:要更新替换项的严重级别的逗号分隔列表。严重级别可以是以下之一:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS:要更新替换项的威胁签名 ID 的逗号分隔列表。

  • PROTOCOLS:要监控的以英文逗号分隔的网络协议列表,以检测防病毒威胁。支持以下协议:

    • SMTP
    • SMB
    • POP3
    • IMAP
    • HTTP2
    • HTTP
    • FTP

  • ACTION:指定的威胁 ID 或严重级别的默认操作。操作可以是以下之一:

    • DEFAULT
    • ALLOW
    • DENY
    • ALERT

从威胁防护安全配置文件中删除替换操作

您可以从威胁防护安全配置文件中删除严重级别或威胁签名的现有替换操作。

控制台

  1. 在 Google Cloud 控制台中,前往安全配置文件页面。

    前往“安全配置文件”

  2. 选择安全配置文件标签页。该标签页会显示已配置的安全配置文件的列表。

  3. 选择安全配置文件,然后点击修改

  4. 严重级别替换项下,点击要删除替换操作的严重级别旁边的修改

  5. 替换操作列表中,选择禁止替换

  6. 点击确认

  7. 签名替换项下,选择要删除的威胁 ID。

  8. 点击删除

  9. 点击保存

gcloud

如需从威胁防护安全配置文件中删除替换操作,请使用 gcloud network-security security-profiles threat-prevention delete-override 命令

gcloud network-security security-profiles threat-prevention delete-override NAME \
    --organization ORGANIZATION_ID \
    --location LOCATION \
    --project PROJECT_ID \
    [--severities SEVERITIES | --threat-ids THREAT_IDS | --antivirus PROTOCOLS]

替换以下内容:

  • NAME:安全配置文件的名称;您可以将名称指定为字符串或唯一网址标识符。

  • ORGANIZATION_ID:创建安全配置文件的组织。

    如果您为 NAME 标志使用唯一网址标识符,则可以省略 ORGANIZATION_ID 标志。

  • LOCATION:安全配置文件的位置。

    位置始终设置为 global。如果您为 NAME 标志使用唯一网址标识符,则可以省略 LOCATION 标志。

  • PROJECT_ID:用于安全配置文件的配额和访问权限限制的可选项目 ID。

  • SEVERITIES:要删除替换项的严重级别的逗号分隔列表。严重级别可以是以下之一:

    • INFORMATIONAL
    • LOW
    • MEDIUM
    • HIGH
    • CRITICAL

  • THREAT_IDS:要删除替换项的威胁签名 ID 的逗号分隔列表。

  • PROTOCOLS:要监控的以英文逗号分隔的网络协议列表,以检测防病毒威胁。支持以下协议:

    • SMTP
    • SMB
    • POP3
    • IMAP
    • HTTP2
    • HTTP
    • FTP

后续步骤