Cloud NGFW 概念

您可以使用 Cloud Next Generation Firewall 保护您的工作负载,使其免受来自互联网的外部威胁和网络中的内部威胁。

本文档定义了核心概念和术语,用于说明 Cloud NGFW 的工作方式和规则评估方式。

防火墙政策规则

在 Cloud NGFW 中, 防火墙政策规则是安全配置的基本单元。它定义了允许、拒绝或检查流量的标准。如需了解详情,请参阅防火墙政策 规则

防火墙政策

防火墙政策是一个容器,用于将多个防火墙规则分组。如需了解更多 信息,请参阅防火墙 政策

Cloud NGFW 支持以下政策类型,具体取决于它们在资源层次结构中的位置:

创建分层防火墙政策或网络防火墙政策时, Google Cloud 会向政策添加一些 预定义 规则

防火墙政策关联

您必须先将防火墙政策与资源关联,然后才能使用该政策中的规则。关联方法取决于政策类型:

  • 分层防火墙政策:将分层政策与 Google Cloud 组织或文件夹关联。
  • 全球网络防火墙政策:将全球网络防火墙 政策与防火墙政策所在项目中的一个或多个 VPC 网络关联 。
  • 区域级网络防火墙政策:将区域级网络防火墙 政策与防火墙政策所在项目中的一个或多个 VPC 网络中的单个区域关联。

将防火墙政策与资源关联后,该政策中的规则将应用于匹配的流量。

Cloud NGFW 的工作原理

Cloud NGFW 会评估防火墙政策规则、VPC 防火墙规则和隐含操作。如需了解详情,请参阅防火墙政策和 规则的 评估顺序

VPC 防火墙规则

借助 VPC 防火墙规则,您可以管理单个 VPC 网络的网络层(第 3 层和第 4 层)流量。

与防火墙政策规则相比,VPC 防火墙规则提供的功能较少。作为最佳实践,请使用防火墙政策,而不是 VPC 防火墙规则。如需了解详情,请参阅 VPC 防火墙 规则

防火墙政策规则的核心组件

如需配置防火墙政策规则,请定义以下组件:

  • 方向:指定从目标资源的角度来看的流量流向。

    • 入站:指定防火墙政策规则是否适用于 入站流量。如需了解详情,请参阅入站 规则
    • 出站:指定规则是否适用于出站流量。如需了解详情,请参阅出站 规则
  • 优先级:一个唯一的整数,用于确定政策中规则的评估顺序 。数字越小,优先级越高。如需了解更多 信息,请参阅 优先级

  • 条件:网络数据包的匹配条件,例如协议、IP 地址和端口号。

  • 目标类型:防火墙规则保护的 Google Cloud 资源类型。您可以将防火墙政策规则配置为应用于虚拟机 (VM) 实例 (默认)或内部应用负载平衡器和 内部代理网络负载平衡器 (预览版)使用的受管 Envoy 代理。

  • 目标:将规则应用于特定 目标

  • 来源:对于入站规则是必需的,对于出站规则是可选的。 如需了解详情,请参阅 来源

  • 目的地:对于出站规则是必需的,对于入站规则是可选的。 如需了解详情,请参阅 目的地

  • 协议和端口:通信协议和目标端口。 如需了解详情,请参阅协议和 端口

  • 操作:当网络 数据包与规则条件匹配时,Cloud NGFW 执行的操作。如需了解详情,请参阅匹配时的 操作

如需了解标准 VPC 网络的所有规则组件,请参阅 防火墙政策规则 组件

Cloud NGFW 层级

Google Cloud 将 Cloud NGFW 功能划分为多个层级,以满足不同的安全和定价要求。如需了解详情,请参阅 Cloud NGFW 层级

网络层检查

为了提供基本保护,Cloud NGFW 会检查开放式系统互连 (OSI) 模型第 3 层 和第 4 层的网络流量 。

所有 Cloud NGFW 层级都使用分布式有状态第 3 层和第 4 层过滤。防火墙会跟踪活跃连接状态,并根据连接跟踪表评估数据包。

应用层检查

为了提供高级保护,Cloud NGFW 可以在 OSI 模型应用层(第 7 层)检查您的流量。通过此检查,防火墙可以根据应用级数据(而不仅仅是 IP 地址和端口)做出决策。应用层检查的示例包括网址过滤服务以及入侵检测与防御服务等服务。应用层检查功能仅在 Cloud Next Generation Firewall 企业版层级中提供。如需了解详情,请参阅应用层检查 概览

后续步骤