您可以使用 Cloud Next Generation Firewall,保護工作負載免受網際網路的外部威脅,以及網路內的內部威脅侵擾。
本文定義了核心概念和術語,說明 Cloud NGFW 的運作方式和規則評估方式。
防火牆政策規則
在 Cloud NGFW 中,防火牆政策規則是安全設定的基本單位。這項設定可定義允許、拒絕或檢查流量的條件。詳情請參閱「防火牆政策規則」。
防火牆政策
防火牆政策是容器,可將多個防火牆規則分組。詳情請參閱「防火牆政策」。
Cloud NGFW 支援下列政策類型,視其在資源階層中的位置而定:
- 階層式防火牆政策:這類政策包含在機構或資料夾層級定義的規則,適用於一或多個專案中的多個虛擬私有雲 (VPC) 網路。
- 全域網路防火牆政策:這些政策包含特定虛擬私有雲網路所有區域的規則。
- 區域網路防火牆政策:這類政策包含虛擬私有雲網路特定區域的規則。
- 區域性系統防火牆政策:這些政策包含 Google 管理的規則,適用於虛擬私有雲網路的特定區域。您無法修改區域系統防火牆政策中的規則。
建立階層式防火牆政策或網路防火牆政策時,Google Cloud 會將一些預先定義的規則新增至政策。
防火牆政策關聯
如要在防火牆政策中使用規則,必須先將政策與資源建立關聯。關聯方法取決於政策類型:
- 階層式防火牆政策:將階層式政策與Google Cloud 機構或資料夾建立關聯。
- 全域網路防火牆政策:將全域網路防火牆政策與防火牆政策所在的專案中,一或多個虛擬私有雲網路建立關聯。
- 區域網路防火牆政策:將區域網路防火牆政策與防火牆政策所在專案中,一或多個虛擬私有雲網路的單一區域建立關聯。
將防火牆政策與資源建立關聯後,政策中的規則就會套用至相符的流量。
Cloud NGFW 的運作方式
Cloud NGFW 會評估防火牆政策規則、虛擬私有雲防火牆規則和隱含動作。詳情請參閱「防火牆政策和規則的評估順序」。
虛擬私有雲防火牆規則
虛擬私有雲防火牆規則可讓您管理單一虛擬私有雲網路的網路層 (第 3 層和第 4 層) 流量。
虛擬私有雲防火牆規則的功能比防火牆政策規則少。最佳做法是使用防火牆政策,而非虛擬私有雲防火牆規則。詳情請參閱「虛擬私有雲防火牆規則」。
防火牆政策規則的核心元件
如要設定防火牆政策規則,請定義下列元件:
方向:從目標資源的角度指定流量方向。
優先順序:決定政策內規則評估順序的專屬整數。整數值越小,代表優先順序越高。詳情請參閱「優先順序」。
條件:網路封包的相符條件,例如通訊協定、IP 位址和通訊埠編號。
目標類型:防火牆規則保護的 Google Cloud 資源類型。您可以設定防火牆政策規則,套用至虛擬機器 (VM) 執行個體 (預設),或內部應用程式負載平衡器和內部 Proxy 網路負載平衡器 (預先發布版) 使用的受管理 Envoy Proxy。
目標:將規則套用至特定目標。
來源:輸入規則為必填,輸出規則則為選填。 詳情請參閱「來源」。
目的地:這是 egress 規則的必要條件,ingress 規則則可選用。 詳情請參閱「目的地」一文。
「通訊協定和通訊埠」:通訊協定和目的地通訊埠。 詳情請參閱「通訊協定和連接埠」。
動作:當網路封包符合規則條件時,Cloud NGFW 採取的動作。詳情請參閱「比對結果的動作」。
如要瞭解標準虛擬私有雲網路的所有規則元件,請參閱「防火牆政策規則元件」。
Cloud NGFW 級別
Google Cloud 將 Cloud NGFW 功能劃分為多個層級,以符合不同的安全性和定價需求。詳情請參閱「Cloud NGFW 層級」。
網路層檢查
如要進行基本防護,Cloud NGFW 會檢查開放系統互連 (OSI) 模型第 3 層和第 4 層的網路流量。
所有 Cloud NGFW 層級都使用分散式有狀態的第 3 層和第 4 層篩選功能。防火牆會追蹤有效連線狀態,並根據連線追蹤表評估封包。
應用程式層檢查
如要進階防護,Cloud NGFW 可以在 OSI 模型的應用程式層 (第 7 層) 檢查流量。防火牆可根據應用程式層級資料做出決策,而不僅僅是 IP 位址和通訊埠。應用層檢查的範例包括網址篩選服務,以及入侵偵測與防範服務。應用程式層檢查功能僅適用於 Cloud Next Generation Firewall Enterprise 層級。詳情請參閱「應用層檢查總覽」。
後續步驟
- 如要瞭解 Cloud NGFW 的概念資訊,請參閱「Cloud NGFW 總覽」。
- 如要瞭解防火牆政策規則的概念資訊,請參閱「防火牆政策規則元件」。
- 如要建立、更新、監控或刪除虛擬私有雲防火牆規則,請參閱「使用虛擬私有雲防火牆規則」。
- 如要瞭解費用,請參閱「Cloud NGFW 定價」。