Cloud Next Generation Firewall 功能提供三種級別:Essentials、Standard 和 Enterprise。這些層級會依價格將特定 Cloud NGFW 功能分組。
您不會選擇或訂閱 Cloud NGFW 層級。您只需在防火牆規則中啟用所需功能,系統就會根據您使用的功能層級計費。Google Cloud 只有在系統根據使用該層級功能的規則評估網路流量時,您才會產生較高層級的費用。詳情請參閱 Cloud NGFW 定價。
本文將概略說明 Cloud NGFW 層級及其功能。
Cloud NGFW 級別和功能
Cloud NGFW 層級系統可讓您精細控管安全防護支出。您可以將任何層級的防火牆功能套用至階層式防火牆政策、全域網路防火牆政策和區域網路防火牆政策。
Cloud NGFW Essentials
Cloud NGFW Essentials 提供基本功能,包括基本安全防護和內部區隔。
Cloud NGFW Essentials 包含下列功能:
安全標記可提供微細分段,並精細控管 Google Cloud資源。安全代碼會透過專屬 ID 集中管理,並受到嚴格的 IAM 控制。您可以在防火牆規則中參照這些安全標記,在區域、網路和階層中,以更嚴格且一致的方式控管存取權。
位址群組會將多個 IP 位址和 IP 範圍組合成單一具名的邏輯單元。您可以在多個防火牆規則中使用相同的位址群組,定義輸入來源或輸出目的地。
虛擬私有雲防火牆規則可以使用網路標記和服務帳戶,在網路層級篩選輸入和輸出流量。
Cloud NGFW Standard
Cloud NGFW Standard 層級提供完整網域名稱 (FQDN) 物件和威脅情報等進階功能。如果是標準級,系統只會針對標準級功能評估的流量,向您收取南北向流量 (VM 執行個體與網際網路之間的流量) 費用。
Cloud NGFW Standard 包含下列功能:
完整網域名稱 (FQDN) 物件可讓您使用網域名稱定義輸入來源或輸出目的地,而非 IP 位址。
地理位置物件可讓您使用 IP 位址的地理位置,定義輸入來源或輸出目的地。
- Google Threat Intelligence 可讓您根據 Google Threat Intelligence 資料清單允許或封鎖流量,確保網路安全。Google Threat Intelligence 清單是由 Google 維護的 IP 位址集合,這些 IP 位址屬於威脅發動者或系統。
Cloud NGFW Enterprise
Cloud NGFW Enterprise 包含 Cloud NGFW 最先進的功能,如果是 Enterprise 方案,南北向流量 (VM 執行個體與網際網路之間的流量) 和東西向流量 (虛擬私有雲網路內資源之間的流量) 都會計費。
如果防火牆政策規則包含 Cloud NGFW Enterprise 功能,系統評估連線時,您需要根據下列項目支付額外費用:
- 針對部署的每個防火牆端點按小時計費。
- 檢查流量的每 GB 費用。
Cloud NGFW Enterprise 包含下列功能:
以特徵為基礎的入侵偵測和預防服務,搭配傳輸層安全標準 (TLS) 攔截和解密功能,可偵測及防範網路上的惡意軟體、間諜軟體和指令與控制攻擊。
網址篩選服務,可搭配傳輸層安全標準 (TLS) 檢查功能,透過封鎖或允許網址,控管網站和網頁的存取權。FQDN 篩選功能只會查看網路層的已解析 IP 位址,網址篩選功能則會在應用程式層運作,檢查完整網址路徑。這樣一來,您就能封鎖或允許存取特定網站和個別子網頁,而不只是整個網域。
依層級分類的功能
下表摘要列出 Cloud NGFW 功能及其計費層級。
| 功能 | 級別 |
| 有狀態檢查 | Essentials |
| 安全標記 | Essentials |
| 位址群組 | Essentials |
| 虛擬私有雲防火牆規則 | Essentials |
| FQDN 物件 | 標準 |
| 地理位置物件 | 標準 |
| 威脅情報 | 標準 |
| 入侵偵測與防範服務 | Enterprise |
| 網址篩選服務 | Enterprise |
| TLS 檢查 | Enterprise |
定價
每個 Cloud NGFW 層級的價格不同。在防火牆政策中,您可以使用單一層級的規則,也可以合併多個層級的規則。如果單一規則使用多個層級的功能, Google Cloud 會按照所用最高層級的費率,對流量計費。舉例來說,如果防火牆規則同時包含 Standard 和 Enterprise 功能,Cloud NGFW 會以 Enterprise 費率評估相符的流量。
即使流量流經多項規則評估,Cloud NGFW 也不會針對同一流量流向重複收費。您主要支付 VM 執行個體往來流量的資料處理費用。無論防火牆規則允許或拒絕流量,只要評估流量,就會產生這些費用。
如果防火牆規則包含不同層級的功能,您需要支付流量資料處理費用。如要瞭解不同情境的定價,請參閱 Cloud NGFW 定價。