Cloud Next Generation Firewall 功能分为三个层级:基本功能版、标准版和企业版。这些层级按价格对特定的 Cloud NGFW 功能进行分组。
您无需选择或订阅 Cloud NGFW 层级。相反,您可以在防火墙规则中启用所需的功能,并根据所用功能的层级付费。Google Cloud 只有在根据使用该层级功能的规则评估网络流量时,您才需要为更高的层级付费。如需了解详情,请参阅 Cloud NGFW 价格。
本文档概述了 Cloud NGFW 层级及其功能。
Cloud NGFW 层级和功能
Cloud NGFW 层级系统的设计旨在让您能够精细控制安全支出。您可以将任何层级的防火墙功能应用于分层防火墙政策、全球网络防火墙政策和区域级网络防火墙政策。
Cloud NGFW 基本功能版
Cloud NGFW 基本功能版提供基础功能,包括基准安全和内部细分。
Cloud NGFW 基本功能版包含以下功能:
安全标记可对 资源进行微细分和精细控制。 Google Cloud 安全标记通过唯一 ID 和严格的 IAM 控制集中管理。您可以在防火墙规则中引用这些安全标记,以便在您的区域、网络和层次结构中实现更严格、统一的访问权限控制。
地址组将 多个 IP 地址和 IP 地址范围合并为一个命名的逻辑单元。您可以在多个防火墙规则中使用同一地址组来定义入站流量来源或出站流量目的地。
VPC 防火墙规则可以使用 网络标记和服务账号在 网络级层过滤传入和传出的流量。
Cloud NGFW 标准版
Cloud NGFW 标准版层级提供高级功能,例如完全限定域名 (FQDN) 对象和威胁情报。对于标准版层级,您只需为由标准版层级功能评估的南北向流量(虚拟机实例与互联网之间的流量)付费。
Cloud NGFW 标准版包含以下功能:
借助完全限定域名 (FQDN) 对象 ,您可以使用域名(而不是 IP 地址)定义入站流量来源或出站流量目的地 。
地理位置对象让您 可以使用 IP 地址的地理位置定义入站流量来源或出站流量目的地。
- 借助 Google Threat Intelligence,您可以根据 Google Threat Intelligence 数据 列表允许或阻止流量,从而保护您的网络 。Google Threat Intelligence 列表是 Google 维护的 IP 地址集合,这些 IP 地址属于威胁行动者或系统。
Cloud NGFW 企业版
Cloud NGFW 企业版包含 Cloud NGFW 的最先进功能。对于企业版层级,您需要为南北向流量(虚拟机实例与互联网之间的流量)和东西向流量(VPC 网络内资源之间的流量)付费。
当连接由包含 Cloud NGFW 企业版功能的防火墙政策规则评估时,您需要根据以下组件支付额外费用:
- 每个已部署的防火墙端点按小时收费。
- 接受检查的流量按 GB 收费。
Cloud NGFW 企业版包含以下功能:
基于签名的 入侵检测与防御服务 具有 传输层安全协议 (TLS) 拦截和解密功能,可为网络检测威胁并防御 恶意软件、间谍软件和“命令和控制”攻击。
网址过滤服务,具有 传输层 安全协议 (TLS) 检查功能,可让 您通过阻止或允许网址来控制对网站和网页的访问。虽然 FQDN 过滤仅在网络 层看到已解析的 IP 地址,但网址过滤在应用层运行,以检查完整的 网址路径。这样,您就可以阻止或允许访问特定网站和各个子页面,而不仅仅是整个网域。
按层级划分的功能类别
下表总结了 Cloud NGFW 功能及其结算层级。
| 功能 | 层级 |
| 有状态检查 | 基本功能版 |
| 安全标记 | 基本功能版 |
| 地址组 | 基本功能版 |
| VPC 防火墙规则 | 基本功能版 |
| FQDN 对象 | 标准版 |
| 地理位置对象 | 标准版 |
| 威胁情报 | 标准版 |
| 入侵检测与防御服务 | 企业版 |
| 网址过滤服务 | 企业版 |
| TLS 检查 | 企业版 |
价格
每个 Cloud NGFW 层级的价格都不同。在防火墙政策中,您可以使用包含单个层级功能的规则,也可以组合使用包含多个层级功能的规则。当单个规则使用多个 层级的功能时, Google Cloud 系统会按所用最高层级 的费率对流量进行结算。例如,如果防火墙规则同时包含标准版和企业版功能,则 Cloud NGFW 会按企业版费率评估匹配的流量。
Cloud NGFW 不会针对同一流量流向您收取两次费用,即使该流向由多条规则评估也是如此。您主要需要为虚拟机实例之间流量的数据处理付费。当防火墙规则评估流量时,无论该规则是允许还是拒绝流量,都会收取这些费用。
您需要为包含不同层级功能的防火墙规则评估的流量的数据处理付费。如需了解不同 场景的价格,请参阅 Cloud NGFW 价格。