本頁面由 Cloud Translation API 翻譯而成。

入侵偵測與防護服務總覽

Cloud Next Generation Firewall 入侵偵測與防範服務會持續監控工作負載流量，找出任何惡意活動，並採取預防措施。 Google Cloud 惡意活動可能包括網路上的入侵、惡意軟體、間諜軟體和指令與控制攻擊等威脅。

Cloud NGFW 入侵偵測與防範服務會建立 Google 管理的區域防火牆端點，使用封包攔截技術以透明方式檢查工作負載，找出設定的威脅特徵並防範威脅。這些威脅防護功能是由 Palo Alto Networks 的威脅防護技術提供支援。

Cloud NGFW 支援下列威脅簽章類別：

反間諜軟體
安全漏洞防護
防毒軟體

如要進一步瞭解威脅類別，請參閱「預設威脅簽章」。

入侵偵測與防範服務是 Cloud Next Generation Firewall Enterprise 功能之一。詳情請參閱「Cloud NGFW Enterprise」和「Cloud NGFW 定價」。

本文提供各種 Cloud NGFW 入侵偵測與防範服務元件的高階總覽，以及這些元件如何為虛擬私有雲 (VPC) 網路中的 Google Cloud 工作負載提供進階防護功能。

入侵偵測與防範服務的運作方式

入侵偵測與防範服務會依下列順序處理流量：

防火牆政策規則會套用至網路中虛擬機器 (VM) 執行個體或 Google Kubernetes Engine (GKE) 叢集的往來流量。
系統會攔截相符的流量，並將封包傳送至防火牆端點，進行第 7 層檢查。
防火牆端點會掃描封包，找出已設定的威脅特徵碼。
如果偵測到威脅，系統會對該封包執行安全設定檔中設定的動作。

圖 1 說明入侵偵測與預防服務的簡化部署模型。

入侵偵測與防護服務的範例部署模型。 — **圖 1.** 入侵偵測與防範服務的部署模型範例 (按一下可放大)。

本節的其餘部分說明設定入侵偵測和預防服務所需的元件和設定。

安全性設定檔和安全性設定檔群組

Cloud NGFW 會參照安全性設定檔和安全性設定檔群組，對入侵偵測和防範服務執行深度封包檢查。

安全性設定檔是通用政策結構，用於入侵偵測與防範服務，可覆寫特定威脅防範情境。如要設定入侵偵測和預防服務，請定義 threat-prevention 類型的安全設定檔。如要進一步瞭解安全性設定檔，請參閱安全性設定檔總覽。
安全性設定檔群組包含 threat prevention 類型的安全性設定檔。如要設定入侵偵測和防範服務，防火牆政策規則會參照這些安全性設定檔群組，為網路流量啟用威脅偵測和防範功能。如要進一步瞭解安全性設定檔群組，請參閱「安全性設定檔群組總覽」。

防火牆端點

防火牆端點是在特定可用區中建立的機構層級資源，可檢查相同可用區中的流量。

如果是入侵偵測和防範服務，防火牆端點會掃描攔截的流量，找出任何威脅。如果偵測到威脅，系統會對該封包執行與威脅相關的動作。這個動作可以是預設動作，也可以是 threat-prevention 安全性設定檔中的動作 (如已設定)。

如要進一步瞭解防火牆端點及如何設定，請參閱防火牆端點總覽。

防火牆政策

防火牆政策會直接套用至進出 VM 的所有流量。您可以透過階層式防火牆政策和全域網路防火牆政策，設定採用第 7 層檢查的防火牆政策規則。

防火牆政策規則

您可以透過防火牆政策規則，控管要攔截及檢查的流量類型。如要設定入侵偵測和預防服務，請建立防火牆政策規則，以執行下列操作：

使用多個第 3 層和第 4 層防火牆政策規則元件，找出要檢查的流量類型。
針對相符的流量，為 apply_security_profile_group 動作指定安全性設定檔群組名稱。

如要瞭解完整的入侵偵測和預防服務工作流程，請參閱「設定入侵偵測和預防服務」。

您也可以在防火牆規則中使用安全標記，設定入侵偵測和預防服務。您可以使用網路中的標記，以設定的任何區隔為基礎，並強化流量檢查邏輯，納入入侵偵測和防護服務。

檢查加密流量

Cloud NGFW 支援傳輸層安全標準 (TLS) 攔截和解密，可檢查選取的加密流量是否有威脅。透過 TLS，您可以檢查傳入和傳出連線，包括網際網路的來回流量，以及 Google Cloud內的流量。

如要進一步瞭解 Cloud NGFW 中的 TLS 檢查功能，請參閱「TLS 檢查總覽」。

如要瞭解如何在 Cloud NGFW 中啟用 TLS 檢查功能，請參閱「設定 TLS 檢查」。

威脅特徵

Cloud NGFW 的威脅偵測和防護功能是由 Palo Alto Networks 威脅防護技術提供支援。Cloud NGFW 支援預設的威脅特徵碼集，並預先定義嚴重程度，有助於保護網路。您也可以使用安全性設定檔，覆寫與這些威脅特徵碼相關聯的預設動作。

如要進一步瞭解威脅簽章，請參閱「威脅簽章總覽」。

如要查看網路中偵測到的威脅，請參閱「查看威脅」。

限制

Cloud NGFW 不支援巨型框架最大傳輸單位 (MTU)。
防火牆端點會忽略 X-Forwarded-For (XFF) 標頭。因此，防火牆規則記錄不會包含這些標頭。

後續步驟

設定入侵偵測和預防服務