Cloud NGFW-Konzepte

Mit Cloud Next Generation Firewall können Sie Ihre Arbeitslasten vor externen Bedrohungen aus dem Internet und vor internen Bedrohungen in Ihrem Netzwerk schützen.

In diesem Dokument werden die wichtigsten Konzepte und Begriffe definiert, die die Funktionsweise von Cloud NGFW und die Auswertung von Regeln erläutern.

Firewallrichtlinien-Regeln

In Cloud NGFW ist eine Firewallrichtlinienregel die Grundeinheit der Sicherheitskonfiguration. Sie definiert die Kriterien, anhand derer Traffic zugelassen, abgelehnt oder geprüft wird. Weitere Informationen finden Sie unter Firewallrichtlinien-Regeln.

Firewallrichtlinien

Eine Firewallrichtlinie ist ein Container, in dem mehrere Firewallregeln gruppiert werden. Weitere Informationen finden Sie unter Firewallrichtlinien.

Cloud NGFW unterstützt die folgenden Richtlinientypen, je nach ihrem Standort in der Ressourcenhierarchie:

Wenn Sie eine hierarchische Firewallrichtlinie oder eine Netzwerk-Firewallrichtlinie erstellen, fügtGoogle Cloud der Richtlinie einige vordefinierte Regeln hinzu.

Verknüpfung von Firewallrichtlinien

Bevor Sie die Regeln in einer Firewallrichtlinie verwenden können, müssen Sie die Richtlinie mit einer Ressource verknüpfen. Die Verknüpfungsmethode hängt vom Richtlinientyp ab:

  • Hierarchische Firewallrichtlinien: Verknüpfen Sie hierarchische Richtlinien mit einerGoogle Cloud Organisation oder einem Ordner.
  • Globale Netzwerk-Firewallrichtlinien: Globale Netzwerk-Firewallrichtlinien können einem oder mehreren VPC-Netzwerken im selben Projekt wie die Firewallrichtlinie zugeordnet werden.
  • Regionale Netzwerk-Firewallrichtlinien: Sie können regionale Netzwerk-Firewallrichtlinien einer einzelnen Region eines oder mehrerer VPC-Netzwerke im selben Projekt wie die Firewallrichtlinie zuordnen.

Nachdem Sie eine Firewallrichtlinie mit einer Ressource verknüpft haben, werden die Regeln in der Richtlinie auf den entsprechenden Traffic angewendet.

Funktionsweise von Cloud NGFW

Cloud NGFW wertet Firewallrichtlinienregeln, VPC-Firewallregeln und implizite Aktionen aus. Weitere Informationen finden Sie unter Auswertungsreihenfolge für Firewallrichtlinien und ‑regeln.

VPC-Firewallregeln

Mit VPC-Firewallregeln können Sie den Traffic der Netzwerkschicht (Schicht 3 und Schicht 4) für ein einzelnes VPC-Netzwerk verwalten.

VPC-Firewallregeln bieten weniger Funktionen als Firewallrichtlinienregeln. Als Best Practice sollten Sie Firewallrichtlinien anstelle von VPC-Firewallregeln verwenden. Weitere Informationen finden Sie unter VPC-Firewallregeln.

Kernkomponenten einer Firewallrichtlinienregel

Um eine Firewallrichtlinienregel zu konfigurieren, definieren Sie die folgenden Komponenten:

  • Richtung: Gibt die Richtung des Trafficflusses aus Sicht der Zielressource an.

    • Ingress: Gibt an, ob die Firewallrichtlinienregel für eingehenden Traffic gilt. Weitere Informationen finden Sie unter Ingress-Regeln.
    • Ausgehend: Gibt an, ob die Regel für ausgehenden Traffic gilt. Weitere Informationen finden Sie unter Egress-Regeln.
  • Priorität: Eine eindeutige Ganzzahl, die die Auswertungsreihenfolge von Regeln innerhalb einer Richtlinie bestimmt. Niedrigere Werte bedeuten eine höhere Priorität. Weitere Informationen finden Sie unter Priorität.

  • Kriterien: Abgleichsbedingungen für ein Netzwerkpaket, z. B. Protokolle, IP-Adressen und Portnummern.

  • Zieltyp: Der Typ der Google Cloud -Ressource, die durch die Firewallregel geschützt wird. Sie können Firewallrichtlinienregeln so konfigurieren, dass sie auf VM-Instanzen (Standard) oder verwaltete Envoy-Proxys angewendet werden, die von internen Application Load Balancern und internen Proxy-Network Load Balancern (Vorabversion) verwendet werden.

  • Ziel: Die Regel wird auf bestimmte Ziele angewendet.

  • Quelle: Für Regeln für eingehenden Traffic ist dieses Feld obligatorisch, für Regeln für ausgehenden Traffic optional. Weitere Informationen finden Sie unter Quellen.

  • Ziel: Für Regeln für ausgehenden Traffic ist das Ziel obligatorisch, für Regeln für eingehenden Traffic optional. Weitere Informationen finden Sie unter Ziele.

  • Protokoll und Ports: Das Kommunikationsprotokoll und die Zielports. Weitere Informationen finden Sie unter Protokolle und Ports.

  • Aktion: Die Aktion, die Cloud NGFW ausführt, wenn ein Netzwerkpaket den Regelkriterien entspricht. Weitere Informationen finden Sie unter Aktion bei Übereinstimmung.

Informationen zu allen Regelkomponenten für ein Standard-VPC-Netzwerk finden Sie unter Komponenten von Firewallrichtlinienregeln.

Cloud NGFW-Versionen

Google Cloud organisiert Cloud NGFW-Funktionen in mehreren Stufen, um unterschiedlichen Sicherheits- und Preisanforderungen gerecht zu werden. Weitere Informationen finden Sie unter Cloud NGFW-Stufen.

Überprüfung der Netzwerkschicht

Für den grundlegenden Schutz untersucht Cloud NGFW den Netzwerk-Traffic auf Ebene 3 und Ebene 4 des OSI-Modells (Open Systems Interconnection).

In allen Cloud NGFW-Stufen wird verteiltes, zustandsbehaftetes Layer 3- und Layer 4-Filtern verwendet. Die Firewall verfolgt aktive Verbindungsstatus und vergleicht Pakete mit einer Verbindungstrackingtabelle.

Prüfung der Anwendungsebene

Für einen erweiterten Schutz kann Cloud NGFW Ihren Traffic auf der Anwendungsschicht (Layer 7) des OSI-Modells prüfen. Diese Prüfung ermöglicht es der Firewall, Entscheidungen auf Grundlage von Daten auf Anwendungsebene zu treffen und nicht nur auf Grundlage von IP-Adressen und Ports. Beispiele für die Prüfung der Anwendungsschicht sind Dienste wie der URL-Filterdienst und der Dienst zur Einbruchserkennung und ‑vermeidung. Funktionen zur Prüfung der Anwendungsschicht sind nur in der Cloud Next Generation Firewall Enterprise-Version verfügbar. Weitere Informationen finden Sie unter Übersicht über die Überprüfung der Anwendungsebene.

Nächste Schritte