Dienst zur Einbruchsprävention konfigurieren

Damit Sie den Dienst zur Einbruchsprävention in Ihrem Netzwerk aktivieren können, müssen Sie mehrere Cloud Next Generation Firewall-Komponenten einrichten. Dieses Dokument bietet einen allgemeinen Workflow, der beschreibt, wie diese Komponenten konfiguriert sowie die Erkennung und Vermeidung von Bedrohungen aktiviert werden.

Einbruchspräventionsdienst ohne TLS-Prüfung konfigurieren

Führen Sie die folgenden Aufgaben aus, um den Einbruchspräventionsdienst in Ihrem Netzwerk zu konfigurieren.

  1. Erstellen Sie ein Sicherheitsprofil vom Typ Threat prevention. Richten Sie je nach Anforderungen Ihres Netzwerks Bedrohungs- oder Schweregradüberschreibungen ein. Sie können ein oder mehrere Profile erstellen. Informationen zum Erstellen von Sicherheitsprofilen finden Sie unter Sicherheitsprofil erstellen.

  2. Erstellen Sie eine Sicherheitsprofilgruppe mit dem im vorherigen Schritt erstellten Sicherheitsprofil. Informationen zum Erstellen einer Sicherheitsprofilgruppe finden Sie unter Sicherheitsprofilgruppe erstellen.

  3. Erstellen Sie einen Firewall-Endpunkt in derselben Zone wie der für Ihre Arbeitslasten, in denen Sie die Bedrohungsvermeidung aktivieren möchten. Informationen zum Erstellen eines Firewall-Endpunkts finden Sie unter Firewall-Endpunkt erstellen.

  4. Verknüpfen Sie den Firewall-Endpunkt mit einem oder mehreren VPC-Netzwerken, in denen Sie die Bedrohungserkennung und -vermeidung aktivieren möchten. Achten Sie darauf, dass Sie Ihre Arbeitslasten in derselben Zone wie den Firewall-Endpunkt ausführen. Informationen zum Verknüpfen eines Firewall-Endpunkts mit einem VPC-Netzwerk finden Sie unter Firewall-Endpunktverknüpfungen erstellen.

  5. Sie können globale Netzwerk-Firewallrichtlinien oder hierarchische Firewallrichtlinien verwenden, um den Einbruchspräventionsdienst zu konfigurieren.

    • Fügen Sie in einer neuen oder vorhandenen globalen Firewallrichtlinie eine Firewallrichtlinienregel mit aktivierter Layer-7-Prüfung (apply_security_profile_group-Aktion) hinzu und geben Sie den Namen der Sicherheitsprofilgruppe an, die Sie in der vorherigen Anleitung erstellt haben. Achten Sie darauf, dass die Firewallrichtlinie demselben VPC-Netzwerk zugeordnet ist wie die Arbeitslasten, die geprüft werden müssen. Weitere Informationen zur globalen Netzwerk-Firewallrichtlinie und zu den Parametern, die zum Erstellen einer Firewallrichtlinienregel mit aktivierter Bedrohungsvermeidung erforderlich sind, finden Sie unter Globale Netzwerk-Firewallrichtlinie erstellen und Globale Netzwerk-Firewallrichtlinienregeln erstellen.

    • Sie können auch eine hierarchische Firewallrichtlinie verwenden, um eine Firewallrichtlinienregel mit einer konfigurierten Sicherheitsprofilgruppe hinzuzufügen. Weitere Informationen zu den Parametern, die zum Erstellen von hierarchischen Firewallrichtlinienregeln für aktivierte Bedrohungsvermeidung erforderlich sind, finden Sie unter Firewallregeln erstellen.

Einbruchspräventionsdienst mit TLS-Prüfung konfigurieren

Führen Sie die folgenden Aufgaben aus, um den Einbruchspräventionsdienst mit TLS-Prüfung (Transport Layer Security) in Ihrem Netzwerk zu konfigurieren.

  1. Erstellen Sie ein Sicherheitsprofil vom Typ Threat prevention. Richten Sie je nach Anforderungen Ihres Netzwerks Bedrohungs- oder Schweregradüberschreibungen ein. Sie können ein oder mehrere Profile erstellen. Informationen zum Erstellen von Sicherheitsprofilen finden Sie unter Sicherheitsprofil erstellen.

  2. Erstellen Sie eine Sicherheitsprofilgruppe mit dem im vorherigen Schritt erstellten Sicherheitsprofil. Informationen zum Erstellen einer Sicherheitsprofilgruppe finden Sie unter Sicherheitsprofilgruppe erstellen.

  3. Erstellen Sie einen CA-Pool und eine Vertrauenskonfiguration und fügen Sie sie Ihrer TLS-Prüfungsrichtlinie hinzu. Informationen zum Aktivieren der TLS-Prüfung in Cloud NGFW finden Sie unter TLS-Prüfung einrichten.

  4. Erstellen Sie einen Firewall-Endpunkt in derselben Zone wie der für Ihre Arbeitslasten, in denen Sie die Bedrohungsvermeidung aktivieren möchten. Informationen zum Erstellen eines Firewall-Endpunkts finden Sie unter Firewall-Endpunkt erstellen.

  5. Verknüpfen Sie den Firewall-Endpunkt mit einem oder mehreren VPC-Netzwerken, in denen Sie die Bedrohungserkennung und -vermeidung aktivieren möchten. Fügen Sie der Firewall-Endpunktverknüpfung die im vorherigen Schritt erstellte TLS-Prüfungsrichtlinie hinzu. Achten Sie darauf, dass Sie Ihre Arbeitslasten in derselben Zone wie den Firewall-Endpunkt ausführen.

    Informationen zum Verknüpfen eines Firewall-Endpunkts mit einem VPC-Netzwerk und zum Aktivieren der TLS-Prüfung finden Sie unter Firewall-Endpunktverknüpfungen erstellen.

  6. Sie können globale Netzwerk-Firewallrichtlinien oder hierarchische Firewallrichtlinien verwenden, um einen Einbruchspräventionsdienst zu konfigurieren.

    • Fügen Sie in einer neuen oder vorhandenen globalen Firewallrichtlinie eine Firewallrichtlinienregel mit aktivierter Layer-7-Prüfung (apply_security_profile_group-Aktion) hinzu und geben Sie den Namen der Sicherheitsprofilgruppe an, die Sie in der vorherigen Anleitung erstellt haben. Geben Sie das Flag --tls-inspect an, um die TLS-Prüfung zu aktivieren. Achten Sie darauf, dass die Firewallrichtlinie demselben VPC-Netzwerk zugeordnet ist wie die Arbeitslasten, die geprüft werden müssen. Weitere Informationen zur globalen Netzwerk-Firewallrichtlinie und zu den Parametern, die zum Erstellen einer Firewallrichtlinienregel mit aktivierter Bedrohungsvermeidung erforderlich sind, finden Sie unter Globale Netzwerk-Firewallrichtlinie erstellen und Globale Netzwerk-Firewallrichtlinienregeln erstellen.

    • Sie können auch eine hierarchische Firewallrichtlinie verwenden, um eine Firewallrichtlinienregel mit einer konfigurierten Sicherheitsprofilgruppe hinzuzufügen. Weitere Informationen zu den Parametern, die zum Erstellen von hierarchischen Firewallrichtlinienregeln für aktivierte Bedrohungsvermeidung erforderlich sind, finden Sie unter Firewallregeln erstellen.

Beispiel für ein Bereitstellungsmodell

Abbildung 1 zeigt ein Beispiel für eine Bereitstellung mit einem Einbruchspräventionsdienst, der für zwei VPC-Netzwerke in derselben Region, aber in zwei verschiedenen Zonen konfiguriert wurde.

Einbruchspräventionsdienst in einer Region bereitstellen.
Abbildung 1. Einbruchspräventionsdienst in einer Region bereitstellen (zum Vergrößern klicken)

Die Beispielbereitstellung hat die folgende Konfiguration zur Bedrohungsvermeidung:

  1. Zwei Sicherheitsprofilgruppen:

    1. Security profile group 1 mit Sicherheitsprofil Security profile 1.

    2. Security profile group 2 mit Sicherheitsprofil Security profile 2.

  2. Die Kunden-VPC 1 (VPC 1) hat eine Firewallrichtlinie, bei der die Sicherheitsprofilgruppe auf Security profile group 1 gesetzt ist.

  3. Die Kunden-VPC 2 (VPC 2) hat eine Firewallrichtlinie, bei der die Sicherheitsprofilgruppe auf Security profile group 2 gesetzt ist.

  4. Der Firewall-Endpunkt Firewall endpoint 1 führt eine Bedrohungserkennung und -vermeidung für Arbeitslasten durch, die in VPC 1 und VPC 2 in der Zone us-west1-a ausgeführt werden.

  5. Der Firewall-Endpunkt Firewall endpoint 2 führt eine Bedrohungserkennung und -vermeidung durch, wenn die TLS-Prüfung für Arbeitslasten aktiviert ist, die in VPC 1 und VPC 2 in Zone us-west1-b ausgeführt werden.

Nächste Schritte