产品概览

Google Cloud Armor 可帮助您保护 Google Cloud 部署免受多种类型的威胁，包括分布式拒绝服务 (DDoS) 攻击以及跨站脚本攻击 (XSS) 和 SQL 注入 (SQLi) 等应用攻击。Cloud Armor 具有一些自动保护功能，还有一些您需要手动配置的保护功能。本文档简要介绍了这些功能，其中一些仅适用于全球外部应用负载均衡器和传统版应用负载均衡器。

安全政策

使用 Cloud Armor 安全政策可保护在负载均衡器后面运行的应用免受分布式拒绝服务 (DDoS) 攻击和其他基于 Web 的攻击，无论这些应用是部署在 Google Cloud上、混合部署中还是多云架构中。您可以在安全政策中使用可配置的匹配条件和操作来配置安全政策。Cloud Armor 还提供了预配置的安全政策，这些政策涵盖各种应用场景。如需了解详情，请参阅 Cloud Armor 安全政策概览。

规则语言

借助 Cloud Armor，您可以在安全政策中使用可配置的匹配条件和操作来定义优先处理的规则。规则生效，这意味着如果规则是最高优先级规则，且其特性与传入请求的特性匹配，则系统会应用配置的操作。如需了解详情，请参阅 Cloud Armor 自定义规则语言参考文档。

预配置的 WAF 规则

Google Cloud Armor 预配置的 WAF 规则是具有数十个签名的复杂 Web 应用防火墙 (WAF) 规则，这些规则是根据开源业界标准编译而成的。每个签名都对应于规则集中的攻击检测规则。Google 按原样提供这些规则。借助这些规则，Cloud Armor 可以通过引用方便命名的规则评估数十种不同的流量特征签名，而无需您手动定义每个特征签名。

Cloud Armor 预配置规则有助于保护您的 Web 应用和服务免受来自互联网的常见攻击，并且有助于缓解 OWASP 十大风险。规则来源为 OWASP 核心规则集 3.3.2 (CRS)。

可以对这些预先配置的规则进行调整，以停用杂乱或不必要的签名。如需了解详情，请参阅调整 Cloud Armor WAF 规则。

Google Cloud Armor Enterprise

Cloud Armor Enterprise 是一项托管式应用保护服务，可帮助保护您的 Web 应用和服务免受分布式拒绝服务 (DDoS) 攻击和来自互联网的其他威胁。Cloud Armor Enterprise 会为负载均衡器提供始终开启的保护机制，并可让您访问 WAF 规则。

无论什么层级，全球外部应用负载均衡器、传统版应用负载均衡器和外部代理网络负载均衡器都会自动获得 DDoS 攻击防护。HTTP、HTTPS、HTTP/2 和 QUIC 协议均受支持。此外，Cloud Armor Enterprise 订阅者可以访问 DDoS 攻击可见性遥测数据。

如需了解详情，请参阅 Cloud Armor Enterprise 概览。

Google Threat Intelligence

借助 Cloud Armor Google Threat Intelligence，您可以根据多个类别的威胁情报数据允许或阻止流向全球外部应用负载均衡器和传统应用负载均衡器的流量，从而保护流量。如需详细了解 Google Threat Intelligence，请参阅应用 Google Threat Intelligence。

Google Cloud Armor 自动调节式保护

通过分析流向后端服务的流量格式、检测可疑攻击并生成提醒及生成建议的可缓解此类攻击的 WAF 规则，自适应保护功能可保护您的应用和服务免受 L7 分布式拒绝服务攻击 (DDoS)。您可以调整这些规则来满足您的需求。您可以基于每个安全政策启用自动调节式保护，但需要在项目中使用有效的 Cloud Armor Enterprise 订阅。

如需了解详情，请参阅 Google Cloud Armor 自动调节式保护概览。

高级网络 DDoS 攻击防护

高级网络 DDoS 攻击防护可为使用网络负载均衡器、协议转发或具有公共 IP 地址的虚拟机的 Managed Protection Plus 订阅者提供额外的防护。高级网络 DDoS 攻击防护提供始终开启的攻击监控和提醒、定向攻击缓解措施和缓解措施遥测。如需了解详情，请参阅配置高级网络 DDoS 攻击防护。

Cloud Armor 的工作原理

Cloud Armor 提供始终开启的 DDoS 防护，以防范基于网络或协议的容量耗尽 DDoS 攻击。此防护功能用于负载均衡器后端的应用或服务。它能够检测和缓解网络攻击，以便仅允许格式正确的请求通过负载均衡代理。安全政策强制执行自定义的第 7 层过滤政策，包括可缓解 OWASP 十大 Web 应用漏洞风险的预配置 WAF 规则。您可以将安全政策附加到以下负载均衡器的后端服务：

• 所有外部应用负载均衡器，包括传统应用负载均衡器
• 区域级内部应用负载均衡器
• 全球外部代理网络负载均衡器 (TCP/SSL)
• 传统代理网络负载均衡器 (TCP/SSL)
• 外部直通网络负载均衡器 (TCP/UDP)

借助 Cloud Armor 安全政策，您可以在 Google Cloud 边缘尽可能靠近传入流量来源的位置处允许或拒绝对您的部署进行的访问。这样可以防止不受欢迎的流量占用资源或进入您的 Virtual Private Cloud (VPC) 网络。

下图说明了全球外部应用负载均衡器、传统应用负载均衡器、Google 网络和 Google 数据中心的位置。

您可以使用上述部分或全部功能来保护您的应用。您可以使用安全政策针对已知条件进行匹配，创建 WAF 规则以防范常见的攻击（例如 OWASP 核心规则集 3.0.2 中发现的攻击），还可使用 Google Cloud Armor Enterprise 的内置防护机制来防范 DDoS 攻击。

后续步骤

• 了解 Cloud Armor 的常见应用场景
• 了解 Google Cloud Armor Enterprise
• 了解 Google Cloud Armor Adaptive Protection