Cloud NGFW 概念

您可以使用 Cloud Next Generation Firewall,保護工作負載免受網際網路的外部威脅,以及網路內的內部威脅侵擾。

本文定義了核心概念和術語,說明 Cloud NGFW 的運作方式和規則評估方式。

防火牆政策規則

在 Cloud NGFW 中,防火牆政策規則是安全設定的基本單位。這項設定可定義允許、拒絕或檢查流量的條件。詳情請參閱「防火牆政策規則」。

防火牆政策

防火牆政策是容器,可將多個防火牆規則分組。詳情請參閱「防火牆政策」。

Cloud NGFW 支援下列政策類型,視其在資源階層中的位置而定:

建立階層式防火牆政策或網路防火牆政策時,Google Cloud 會將一些預先定義的規則新增至政策。

防火牆政策關聯

如要在防火牆政策中使用規則,必須先將政策與資源建立關聯。關聯方法取決於政策類型:

  • 階層式防火牆政策:將階層式政策與Google Cloud 機構或資料夾建立關聯。
  • 全域網路防火牆政策:將全域網路防火牆政策與防火牆政策所在的專案中,一或多個虛擬私有雲網路建立關聯。
  • 區域網路防火牆政策:將區域網路防火牆政策與防火牆政策所在專案中,一或多個虛擬私有雲網路的單一區域建立關聯。

將防火牆政策與資源建立關聯後,政策中的規則就會套用至相符的流量。

Cloud NGFW 的運作方式

Cloud NGFW 會評估防火牆政策規則、虛擬私有雲防火牆規則和隱含動作。詳情請參閱「防火牆政策和規則的評估順序」。

虛擬私有雲防火牆規則

虛擬私有雲防火牆規則可讓您管理單一虛擬私有雲網路的網路層 (第 3 層和第 4 層) 流量。

虛擬私有雲防火牆規則的功能比防火牆政策規則少。最佳做法是使用防火牆政策,而非虛擬私有雲防火牆規則。詳情請參閱「虛擬私有雲防火牆規則」。

防火牆政策規則的核心元件

如要設定防火牆政策規則,請定義下列元件:

  • 方向:從目標資源的角度指定流量方向。

    • 輸入:指定防火牆政策規則是否適用於輸入流量。詳情請參閱「輸入規則」。
    • 輸出:指定規則是否適用於傳出流量。詳情請參閱「輸出規則」。
  • 優先順序:決定政策內規則評估順序的專屬整數。整數值越小,代表優先順序越高。詳情請參閱「優先順序」。

  • 條件:網路封包的相符條件,例如通訊協定、IP 位址和通訊埠編號。

  • 目標類型:防火牆規則保護的 Google Cloud 資源類型。您可以設定防火牆政策規則,套用至虛擬機器 (VM) 執行個體 (預設),或內部應用程式負載平衡器和內部 Proxy 網路負載平衡器 (預先發布版) 使用的受管理 Envoy Proxy。

  • 目標:將規則套用至特定目標

  • 來源:輸入規則為必填,輸出規則則為選填。 詳情請參閱「來源」。

  • 目的地:這是 egress 規則的必要條件,ingress 規則則可選用。 詳情請參閱「目的地」一文。

  • 「通訊協定和通訊埠」:通訊協定和目的地通訊埠。 詳情請參閱「通訊協定和連接埠」。

  • 動作:當網路封包符合規則條件時,Cloud NGFW 採取的動作。詳情請參閱「比對結果的動作」。

如要瞭解標準虛擬私有雲網路的所有規則元件,請參閱「防火牆政策規則元件」。

Cloud NGFW 級別

Google Cloud 將 Cloud NGFW 功能劃分為多個層級,以符合不同的安全性和定價需求。詳情請參閱「Cloud NGFW 層級」。

網路層檢查

如要進行基本防護,Cloud NGFW 會檢查開放系統互連 (OSI) 模型第 3 層和第 4 層的網路流量。

所有 Cloud NGFW 層級都使用分散式有狀態的第 3 層和第 4 層篩選功能。防火牆會追蹤有效連線狀態,並根據連線追蹤表評估封包。

應用程式層檢查

如要進階防護,Cloud NGFW 可以在 OSI 模型的應用程式層 (第 7 層) 檢查流量。防火牆可根據應用程式層級資料做出決策,而不僅僅是 IP 位址和通訊埠。應用層檢查的範例包括網址篩選服務,以及入侵偵測與防範服務。應用程式層檢查功能僅適用於 Cloud Next Generation Firewall Enterprise 層級。詳情請參閱「應用層檢查總覽」。

後續步驟