您可以使用 Cloud Next Generation Firewall 保护您的工作负载,使其免受来自互联网的外部威胁和网络中的内部威胁。
本文档定义了核心概念和术语,用于说明 Cloud NGFW 的工作方式和规则评估方式。
防火墙政策规则
在 Cloud NGFW 中, 防火墙政策规则是安全配置的基本单元。它定义了允许、拒绝或检查流量的标准。如需了解详情,请参阅防火墙政策 规则。
防火墙政策
防火墙政策是一个容器,用于将多个防火墙规则分组。如需了解更多 信息,请参阅防火墙 政策。
Cloud NGFW 支持以下政策类型,具体取决于它们在资源层次结构中的位置:
- 分层防火墙政策:这些 政策包含在组织或文件夹级层为一个或多个项目中的 多个虚拟私有云 (VPC) 网络定义的规则。
- 全球网络防火墙 政策:这些政策包含针对特定 VPC 网络的所有区域的 规则。
- 区域级网络防火墙 政策:这些政策包含针对 VPC 网络的特定区域的 规则。
- 区域级系统防火墙 政策: 这些政策包含 Google 针对 VPC 网络的特定区域管理的规则。您无法修改区域级系统防火墙政策中的规则。
创建分层防火墙政策或网络防火墙政策时, Google Cloud 会向政策添加一些 预定义 规则。
防火墙政策关联
您必须先将防火墙政策与资源关联,然后才能使用该政策中的规则。关联方法取决于政策类型:
- 分层防火墙政策:将分层政策与 Google Cloud 组织或文件夹关联。
- 全球网络防火墙政策:将全球网络防火墙 政策与防火墙政策所在项目中的一个或多个 VPC 网络关联 。
- 区域级网络防火墙政策:将区域级网络防火墙 政策与防火墙政策所在项目中的一个或多个 VPC 网络中的单个区域关联。
将防火墙政策与资源关联后,该政策中的规则将应用于匹配的流量。
Cloud NGFW 的工作原理
Cloud NGFW 会评估防火墙政策规则、VPC 防火墙规则和隐含操作。如需了解详情,请参阅防火墙政策和 规则的 评估顺序。
VPC 防火墙规则
借助 VPC 防火墙规则,您可以管理单个 VPC 网络的网络层(第 3 层和第 4 层)流量。
与防火墙政策规则相比,VPC 防火墙规则提供的功能较少。作为最佳实践,请使用防火墙政策,而不是 VPC 防火墙规则。如需了解详情,请参阅 VPC 防火墙 规则。
防火墙政策规则的核心组件
如需配置防火墙政策规则,请定义以下组件:
方向:指定从目标资源的角度来看的流量流向。
优先级:一个唯一的整数,用于确定政策中规则的评估顺序 。数字越小,优先级越高。如需了解更多 信息,请参阅 优先级。
条件:网络数据包的匹配条件,例如协议、IP 地址和端口号。
目标类型:防火墙规则保护的 Google Cloud 资源类型。您可以将防火墙政策规则配置为应用于虚拟机 (VM) 实例 (默认)或内部应用负载平衡器和 内部代理网络负载平衡器 (预览版)使用的受管 Envoy 代理。
目标:将规则应用于特定 目标。
来源:对于入站规则是必需的,对于出站规则是可选的。 如需了解详情,请参阅 来源。
目的地:对于出站规则是必需的,对于入站规则是可选的。 如需了解详情,请参阅 目的地。
协议和端口:通信协议和目标端口。 如需了解详情,请参阅协议和 端口。
操作:当网络 数据包与规则条件匹配时,Cloud NGFW 执行的操作。如需了解详情,请参阅匹配时的 操作。
如需了解标准 VPC 网络的所有规则组件,请参阅 防火墙政策规则 组件。
Cloud NGFW 层级
Google Cloud 将 Cloud NGFW 功能划分为多个层级,以满足不同的安全和定价要求。如需了解详情,请参阅 Cloud NGFW 层级。
网络层检查
为了提供基本保护,Cloud NGFW 会检查开放式系统互连 (OSI) 模型第 3 层 和第 4 层的网络流量 。
所有 Cloud NGFW 层级都使用分布式有状态第 3 层和第 4 层过滤。防火墙会跟踪活跃连接状态,并根据连接跟踪表评估数据包。
应用层检查
为了提供高级保护,Cloud NGFW 可以在 OSI 模型应用层(第 7 层)检查您的流量。通过此检查,防火墙可以根据应用级数据(而不仅仅是 IP 地址和端口)做出决策。应用层检查的示例包括网址过滤服务以及入侵检测与防御服务等服务。应用层检查功能仅在 Cloud Next Generation Firewall 企业版层级中提供。如需了解详情,请参阅应用层检查 概览。
后续步骤
- 如需了解 Cloud NGFW 的概念信息,请参阅 Cloud NGFW 概览。
- 如需了解防火墙政策规则的概念信息,请参阅防火墙政策 规则组件。
- 如需创建、更新、监控或删除 VPC 防火墙规则,请参阅 使用 VPC 防火墙规则。
- 如需确定费用,请参阅 Cloud NGFW 价格。