Die Funktionen von Cloud Next Generation Firewall sind in drei Stufen verfügbar: Essentials, Standard und Enterprise. Diese Stufen gruppieren bestimmte Cloud NGFW-Funktionen nach Preis.
Sie wählen keine Cloud NGFW-Stufe aus und abonnieren sie nicht. Stattdessen aktivieren Sie die Funktionen, die Sie in Ihren Firewallregeln benötigen, und Ihnen werden die Kosten basierend auf den Stufen der verwendeten Funktionen in Rechnung gestellt.Google Cloud Gebühren für eine höhere Stufe fallen nur an, wenn der Netzwerk-Traffic anhand einer Regel ausgewertet wird, die Funktionen dieser Stufe verwendet. Weitere Informationen finden Sie unter Cloud NGFW – Preise.
In diesem Dokument erhalten Sie eine Übersicht über die Cloud NGFW-Stufen und ihre Funktionen.
Cloud NGFW-Stufen und -Funktionen
Das Cloud NGFW-Stufensystem bietet Ihnen eine detaillierte Kontrolle über Ihre Sicherheitsausgaben. Sie können Firewallfunktionen aus jeder Stufe auf hierarchische Firewallrichtlinien, globale Netzwerk-Firewallrichtlinien und regionale Netzwerk-Firewallrichtlinien anwenden.
Cloud NGFW Essentials
Cloud NGFW Essentials bietet grundlegende Funktionen, einschließlich grundlegender Sicherheit und interner Segmentierung.
Cloud NGFW Essentials umfasst die folgenden Funktionen:
Sichere Tags bieten eine Mikrosegmentierung und detaillierte Kontrolle Ihrer Google Cloud Ressourcen. Sichere Tags werden zentral mit eindeutigen IDs und strenger IAM-Kontrolle verwaltet. Sie können auf diese sicheren Tags in Firewallregeln verweisen, um eine strengere, einheitliche Zugriffssteuerung in allen Regionen, Netzwerken und Hierarchien zu erzielen.
Adressgruppen kombinieren mehrere IP-Adressen und IP-Bereiche in einer einzigen benannten logischen Einheit. Sie können dieselbe Adressgruppe in mehreren Firewallregeln verwenden, um Quellen für eingehenden Traffic oder Ziele für ausgehenden Traffic zu definieren.
VPC-Firewallregeln, die Netzwerk-Tags und Dienstkonten verwenden, filtern eingehenden und ausgehenden Traffic auf Netzwerkebene.
Cloud NGFW Standard
Die Cloud NGFW Standard-Stufe bietet erweiterte Funktionen wie FQDN-Objekte (voll qualifizierte Domainnamen) und Threat Intelligence. Für die Standard-Stufe werden Ihnen nur die Kosten für den Nord-Süd-Traffic (Traffic zwischen VM-Instanzen und dem Internet) in Rechnung gestellt, der von den Funktionen der Standard-Stufe ausgewertet wird.
Cloud NGFW Standard umfasst die folgenden Funktionen:
Mit FQDN-Objekten (voll qualifizierte Domainnamen) können Sie Quellen für eingehenden Traffic oder Ziele für ausgehenden Traffic mithilfe von Domainnamen anstelle von IP-Adressen definieren.
Standortobjekte ermöglichen es Ihnen, Quellen für eingehenden Traffic oder Ziele für ausgehenden Traffic mithilfe des Standorts einer IP Adresse zu definieren.
- Google Threat Intelligence ermöglicht es Ihnen, Ihr Netzwerk zu sichern, indem Sie Traffic basierend auf Google Threat Intelligence-Daten listen zulassen oder blockieren. Google Threat Intelligence-Listen sind von Google verwaltete Sammlungen von IP-Adressen, die zu Bedrohungsakteuren oder -systemen gehören.
Cloud NGFW Enterprise
Cloud NGFW Enterprise umfasst die fortschrittlichsten Funktionen von Cloud NGFW. Für die Enterprise-Stufe werden Ihnen sowohl die Kosten für den Nord-Süd-Traffic (Traffic zwischen VM-Instanzen und dem Internet) als auch für den Ost-West-Traffic (Traffic zwischen Ressourcen in einem VPC-Netzwerk) in Rechnung gestellt.
Wenn eine Verbindung anhand einer Firewallrichtlinien-Regel ausgewertet wird, die Cloud NGFW Enterprise-Funktionen enthält, fallen zusätzliche Gebühren an, die auf den folgenden Komponenten basieren:
- Eine stündliche Gebühr für jeden bereitgestellten Firewall-Endpunkt.
- Eine Gebühr pro Gigabyte für den geprüften Traffic.
Cloud NGFW Enterprise umfasst die folgenden Funktionen:
Signaturbasierter Dienst zur Einbruchserkennung und -vermeidung mit TLS-Interception und -Entschlüsselung (Transport Layer Security) , die Bedrohungserkennung und Schutz vor Malware, Spyware und Command-and-Control-Angriffen in Ihrem Netzwerk bietet.
URL-Filterdienst mit Transport Layer Security (TLS)-Prüfung, mit dem Sie den Zugriff auf Websites und Webseiten steuern können, indem Sie ihre URLs blockieren oder zulassen. Während die FQDN-Filterung nur die aufgelöste IP-Adresse auf der Netzwerkschicht sieht, arbeitet die URL-Filterung auf der Anwendungsschicht, um den vollständigen URL-Pfad zu prüfen. So können Sie den Zugriff auf bestimmte Websites und einzelne Unterseiten blockieren oder zulassen, anstatt nur auf die gesamte Domain.
Funktionskategorisierung nach Stufe
In der folgenden Tabelle sind die Cloud NGFW-Funktionen und ihre Abrechnungsstufe zusammengefasst.
| Funktion | Stufe |
| Statusbezogene Prüfung | Essentials |
| Sichere Tags | Essentials |
| Adressgruppen | Essentials |
| VPC-Firewallregeln | Essentials |
| FQDN-Objekte | Standard |
| Standortobjekte | Standard |
| Threat Intelligence | Standard |
| Dienst zur Einbruchserkennung und -vermeidung | Enterprise |
| URL-Filterdienst | Enterprise |
| TLS-Prüfung | Enterprise |
Preise
Die Preise für die einzelnen Cloud NGFW-Stufen sind unterschiedlich. In einer Firewallrichtlinie können Sie Regeln mit Funktionen aus einer einzelnen Stufe verwenden oder Regeln mit Funktionen aus mehreren Stufen kombinieren. Wenn eine einzelne Regel Funktionen aus mehreren Stufen verwendet, Google Cloud wird der Traffic zum Preis der höchsten verwendeten Stufe in Rechnung gestellt. Wenn eine Firewallregel beispielsweise sowohl Standard- als auch Enterprise-Funktionen enthält, wertet Cloud NGFW den übereinstimmenden Traffic zum Enterprise-Preis aus.
Cloud NGFW berechnet Ihnen denselben Trafficfluss nicht zweimal, auch wenn er von mehreren Regeln ausgewertet wird. Sie zahlen hauptsächlich für die Datenverarbeitung von Traffic zu und von VM-Instanzen. Diese Gebühren fallen an, wenn Traffic anhand einer Firewallregel ausgewertet wird, unabhängig davon, ob die Regel ihn zulässt oder ablehnt.
Sie zahlen für die Datenverarbeitung von Traffic, der anhand von Firewallregeln ausgewertet wird, die Funktionen aus verschiedenen Stufen enthalten. Informationen zu den Preisen für verschiedene Szenarien finden Sie unter Cloud NGFW Preise.
Nächste Schritte
- Firewallrichtlinien und ‑regeln
- Auswertungsreihenfolge für Firewallrichtlinien und ‑regeln
- Vordefinierte Regeln für Firewallrichtlinien