Cloud Next Generation Firewall 是完全分散式的防火牆服務,提供進階防護功能、微區隔和全面涵蓋範圍,可保護 Google Cloud 工作負載免受內外部攻擊。
Cloud NGFW 具有下列優勢:
分散式防火牆服務:Cloud NGFW 會在每個工作負載上提供有狀態的完全分散式主機型強制執行機制,以啟用零信任安全架構。
簡化設定和部署作業:Cloud NGFW 會實作網路和階層式防火牆政策,這些政策可附加至資源階層節點。這些政策可在整個Google Cloud 資源階層中,提供一致的防火牆體驗。
精細控管和微區隔:防火牆政策和 Identity and Access Management (IAM) 控管的標記相輔相成,可針對南北向和東西向流量進行精細控管,甚至可控管虛擬私有雲 (VPC) 網路和機構中的單一 VM。
Cloud NGFW 提供下列級別:
- Cloud Next Generation Firewall Essentials
- Cloud Next Generation Firewall Standard
- Cloud Next Generation Firewall Enterprise
此外,Cloud NGFW 也提供額外功能,可加到這些層級之上。如要進一步瞭解防火牆層級和額外功能的定價,請參閱 Cloud NGFW 定價。
Cloud NGFW Essentials
Cloud NGFW Essentials 是 Google Cloud提供的基礎防火牆服務,包括下列功能:
IAM 控管的標記搭配網路防火牆政策,可提供微區隔功能,並精細控管 Google Cloud 資源。標記會透過專屬 ID 集中管理,並受到嚴格的 IAM 控制。您可以在網路防火牆政策規則中參照這些標記,在區域和網路中以更嚴格且一致的方式控管存取權。
位址群組會將多個 IP 位址和 IP 範圍組合成單一具名的邏輯單元。您可以在多個防火牆規則中參照相同的位址群組,以控管輸入和輸出流量。
虛擬私有雲防火牆規則會使用網路標記和服務帳戶,在網路層級篩選輸入和輸出流量。
Cloud NGFW Standard
Cloud NGFW Standard 擴充了 Cloud NGFW Essentials 的功能,提供更強大的防護機制,協助您保護雲端基礎架構免受惡意攻擊。
包括下列功能:
完整網域名稱 (FQDN) 物件:防火牆政策規則會根據這些物件,篩選特定網域的往來流量。根據流量方向,系統會比對與網域名稱相關聯的 IP 位址與流量來源或目的地。
防火牆政策規則中的地理位置物件會根據特定地理位置或區域,篩選外部 IPv4 和 IPv6 流量。
- 防火牆政策規則的 Google 威脅情報 可讓您根據 Google 威脅情報資料清單允許或封鎖流量,確保網路安全。
Cloud NGFW Enterprise
Cloud Next Generation Firewall Enterprise 提供先進的第 7 層安全性功能,可協助保護 Google Cloud 工作負載不受威脅和惡意攻擊侵擾。
Cloud Next Generation Firewall Enterprise 包含以簽章為基礎的入侵偵測與防範服務,以及傳輸層安全標準 (TLS) 攔截和解密功能,可偵測及防範網路上的惡意軟體、間諜軟體和指令與控制攻擊。
其他功能
除了 Cloud NGFW Essentials、Cloud NGFW Standard 和 Cloud NGFW Enterprise 級別提供的功能外,Cloud NGFW 還提供下列功能:
階層式防火牆政策規則:在整個機構中建立並強制執行一致的防火牆政策。您可以將階層式防火牆政策指派給整個機構或個別資料夾。
防火牆規則記錄可讓您確認防火牆規則是否按照預期使用。