Diese Seite enthält wichtige Begriffe für Cloud Next Generation Firewall. Schauen Sie sich diese Begriffe an, um mehr über die Funktionsweise von Cloud NGFW und die grundlegenden Konzepte zu erfahren.
Adressgruppen
Adressbereiche sind eine logische Sammlung von IPv4-Adressbereichen oder IPv6-Adressbereichen im CIDR-Format. Mit Adressgruppen können Sie konsistente Quellen oder Ziele definieren, auf die viele Firewallregeln verweisen. Weitere Informationen zu Adressgruppen finden Sie unter Adressgruppen für Firewallrichtlinien.
CIDR-Format
Das CIDR-Format (Classless Inter-Domain Routing) ist eine Methode zur Darstellung einer IP-Adresse und ihres Subnetzes. Sie ist eine Alternative zum Ausschreiben einer vollständigen Subnetzmaske. Sie besteht aus einer IP-Adresse, gefolgt von einem Schrägstrich (/) und einer Zahl. Die Zahl gibt die Anzahl der Bits in der IP-Adresse an, die den Netzwerkanteil definieren.
Cloud NGFW
Cloud Next Generation Firewall ist ein vollständig verteilter Firewalldienst mit erweiterten Schutzfunktionen, Mikrosegmentierung und umfassender Abdeckung, um Ihre Google Cloud Arbeitslasten vor internen und externen Angriffen zu schützen. Cloud NGFW ist in drei Stufen verfügbar: Cloud Next Generation Firewall Essentials, Cloud Next Generation Firewall Standard und Cloud Next Generation Firewall Enterprise. Weitere Informationen finden Sie unter Cloud NGFW – Übersicht.
Cloud NGFW Essentials
Cloud Next Generation Firewall Essentials ist der grundlegende Firewalldienst von Google Cloud. Er umfasst Features und Funktionen wie globale Netzwerk-Firewallrichtlinien und regionale Netzwerk-Firewallrichtlinien, Identity and Access Management (IAM)-verwaltete Tags, Adressgruppen und VPC-Firewallregeln (Virtual Private Cloud). Weitere Informationen finden Sie unter Cloud NGFW Essentials – Übersicht.
Cloud NGFW Enterprise
Cloud Next Generation Firewall Enterprise bietet erweiterte Layer-7-Sicherheitsfunktionen, die Ihre Google Cloud Arbeitslasten vor Bedrohungen und böswilligen Angriffen schützen. Es umfasst den Einbruchserkennungs- und ‑präventionsdienst mit TLS-Interception und ‑Entschlüsselung (Transport Layer Security), die Bedrohungserkennung und Schutz vor Malware, Spyware und Command-and-Control-Angriffe in Ihrem Netzwerk bietet.
Cloud NGFW Standard
Cloud NGFW Standard erweitert die Funktionen von Cloud NGFW Essentials, um erweiterte Funktionen zum Schutz Ihrer Cloud-Infrastruktur vor böswilligen Angriffen bereitzustellen. Dazu gehören unter anderem Threat Intelligence für Firewallrichtlinien-Regeln, FQDN-Objekte (voll qualifizierte Domainnamen) und Standortbestimmungs-Objekte in Firewallrichtlinien-Regeln.
Firewall-Endpunkt
Ein Firewall-Endpunkt ist eine Cloud NGFW-Ressource, die erweiterte Layer 7-Sicherheitsfunktionen wie den Dienst zur Erkennung und Abwehr von Eindringlingen in Ihrem Netzwerk ermöglicht. Weitere Informationen finden Sie unter Firewall-Endpunkte.
Firewallregeln
Firewallregeln sind die Bausteine der Netzwerksicherheit. Eine Firewallregel steuert den eingehenden oder ausgehenden Traffic für eine VM-Instanz. Standardmäßig wird eingehender Traffic blockiert. Weitere Informationen finden Sie unter Firewallrichtlinien.
Logging von Firewallregeln
Durch das Logging der Firewallregeln können Sie deren Auswirkungen im Blick behalten, prüfen und analysieren. Beispielsweise lässt sich so feststellen, ob eine Firewallregel zum Ablehnen von Traffic wie vorgesehen funktioniert. Das Logging von Firewallregeln ist auch nützlich, wenn Sie ermitteln müssen, wie viele Verbindungen von einer bestimmten Firewallregel betroffen sind. Weitere Informationen finden Sie unter Logging von Firewallregeln.
Firewallrichtlinien
Mit Firewallrichtlinien lassen sich mehrere Firewallregeln gruppieren, sodass Sie sie alle auf einmal mit effektiver Steuerung über IAM-Rollen (Identity and Access Management) aktualisieren können. Es gibt drei Arten von Firewallrichtlinien: hierarchische Firewallrichtlinien, globale Netzwerk-Firewallrichtlinien und regionale Netzwerk-Firewallrichtlinien. Weitere Informationen finden Sie unter Firewallrichtlinien.
Firewallrichtlinien-Regeln
Beim Erstellen einer Firewallrichtlinienregel geben Sie eine Reihe von Komponenten an, die die Funktionsweise der Regel definieren. Diese Komponenten geben Merkmale für Trafficrichtung, Quelle, Ziel und Ebene 4 an, z. B. Protokoll und Zielport (wenn das Protokoll Ports verwendet). Diese Komponenten werden als Firewallrichtlinienregeln bezeichnet. Weitere Informationen finden Sie unter Firewallrichtlinien-Regeln.
FQDN-Objekte
Ein voll qualifizierter Domainname (FQDN) ist der vollständige Name einer bestimmten Ressource im Internet. Beispiel: cloud.google.com. FQDN-Objekte in Firewallrichtlinien-Regeln filtern eingehenden oder ausgehenden Traffic von oder zu einem bestimmten Domainnamen. Basierend auf der Trafficrichtung werden die mit den Domainnamen verknüpften IP-Adressen der Quelle oder dem Ziel des Traffics zugeordnet. Weitere Informationen finden Sie unter FQDN-Objekte.
Standortobjekte
Verwenden Sie Standortobjekte in Firewallrichtlinien-Regeln, um externen IPv4- und externen IPv6-Traffic anhand bestimmter geografischer Standorte oder Regionen zu filtern. Sie können Standortobjekte zusammen mit anderen Quell- oder Zielfiltern verwenden. Weitere Informationen finden Sie unter Standortobjekte.
Globale Netzwerk-Firewallrichtlinien
Mit globalen Netzwerk-Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das für alle Regionen (global) gilt. Nachdem Sie eine globale Netzwerk-Firewallrichtlinie mit einem VPC-Netzwerk verknüpft haben, können die Regeln in der Richtlinie auf Ressourcen im VPC-Netzwerk angewendet werden. Informationen zu Spezifikationen und details für globalen Netzwerkfirewallrichtlinien finden Sie unter Globale Netzwerk-Firewallrichtlinien.
Hierarchische Firewallrichtlinien
Mit hierarchischen Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das auf viele VPC-Netzwerke in einem oder mehreren Projekten angewendet werden kann. Sie können hierarchische Firewallrichtlinien mit einer gesamten Organisation oder einzelnen Ordnern verknüpfen. Details und Spezifikationen zu hierarchischen Firewallrichtlinien finden Sie unter Hierarchische Firewallrichtlinien.
Identity and Access Management
Mit IAM vonGoogle Cloudkönnen Sie detaillierte Zugriffsberechtigungen auf bestimmte Google Cloud -Ressourcen gewähren und unerwünschten Zugriff auf andere Ressourcen verhindern. Sie haben mit IAM die Möglichkeit, das Sicherheitsprinzip der geringsten Berechtigung anzuwenden, das besagt, dass niemand mehr Berechtigungen haben sollte, als er tatsächlich benötigt. Weitere Informationen finden Sie in der IAM-Übersicht.
Implizierte Regeln
Jedes VPC-Netzwerk hat zwei implizierte IPv4-Firewallregeln. Wenn IPv6 in einem VPC-Netzwerk aktiviert ist, verfügt das Netzwerk außerdem über zwei implizite IPv6-Firewallregeln. Diese Regeln werden in derGoogle Cloud Console nicht angezeigt.
Die implizierten IPv4-Firewallregeln gelten für alle VPC-Netzwerke, unabhängig davon, wie die Netzwerke erstellt wurden und ob sie sich im automatischen oder benutzerdefinierten Modus befinden. Das default-Netzwerk hat die gleichen implizierten Regeln. Weitere Informationen finden Sie unter Implizierte Regeln.
Dienst zur Einbruchserkennung und ‑prävention
Der Cloud NGFW-Dienst zur Einbruchserkennung und ‑prävention sorgt dafür, dass Ihr Google Cloud Arbeitslast-Traffic kontinuierlich auf schädliche Aktivitäten überwacht wird, und ergreift präventive Maßnahmen zu deren Vermeidung. Zu den schädlichen Aktivitäten gehören Bedrohungen wie Einbrüche, Malware, Spyware und Command-and-Control-Angriffe in Ihrem Netzwerk. Weitere Informationen finden Sie unter Übersicht über den Dienst zur Erkennung und Abwehr von Angriffen.
Netzwerk-Firewallrichtlinien
Mit Netzwerk-Firewallrichtlinien, die auch als Firewallrichtlinien bezeichnet werden, können Sie mehrere Firewallregeln gruppieren, um sie alle gleichzeitig zu aktualisieren. Die Steuerung erfolgt durch IAM-Rollen. Diese Richtlinien enthalten Regeln, die Verbindungen explizit ablehnen oder zulassen, wie VPC-Firewallregeln. Dazu gehören globale und regionale Netzwerk-Firewallrichtlinien. Weitere Informationen finden Sie unter Firewallrichtlinien.
Netzwerk-Tags
Ein Netzwerk-Tag ist ein Zeichenstring, der einem „tags“-Feld in einer Ressource wie Compute Engine-VM-Instanzen oder Instanzvorlagen hinzugefügt wird. Da ein Tag keine separate Ressource ist, können Sie es auch nicht separat erstellen. Alle Ressourcen mit diesem String haben dieses Tag. Mit Tags können Sie VPC-Firewallregeln und -routen für bestimmte VM-Instanzen festlegen.
Paketspiegelung
Bei der Paketspiegelung, einem Out-of-Band-Dienst, wird der Netzwerk-Traffic anhand der Filterkriterien geklont, die in den Spiegelungsregeln der Firewallrichtlinie angegeben sind. Dieser gespiegelte Traffic wird dann zur Deep Packet Inspection an Ihre Drittanbieter-VM-Bereitstellungen gesendet. Mit der Paketspiegelung können Sie den Netzwerktraffic Ihrer Arbeitslasten im großen Maßstab analysieren. Weitere Informationen finden Sie unter Out-of-Band-Integration – Übersicht.
Übernahme von Richtlinien
Standardmäßig werden Organisationsrichtlinien von den Nachfolgerelementen der Ressourcen übernommen, für die Sie die Richtlinie erzwingen. Wenn Sie beispielsweise eine Richtlinie für einen Ordner erzwingen, erzwingt Google Cloud die Richtlinie für alle Projekte in dem Ordner. Weitere Informationen zu diesem Verhalten und zu dessen Änderung finden Sie unter Regeln für die Evaluierung der Hierarchie.
Priorität
Die Priorität einer Regel in einer Firewallrichtlinie ist eine Ganzzahl von 0 bis einschließlich 2.147.483.647. Niedrigere Werte bedeuten eine höhere Priorität. Weitere Informationen finden Sie unter Priorität.
Regionale Netzwerk-Firewallrichtlinien
Mit regionalen Netzwerk-Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das für eine bestimmte Region gilt. Nachdem Sie eine regionale Netzwerk-Firewallrichtlinie mit einem VPC-Netzwerk verknüpft haben, können die Regeln in der Richtlinie auf Ressourcen in dieser Region des VPC-Netzwerks angewendet werden. Weitere Informationen zu regionalen Firewallrichtlinien finden Sie unter Regionale Netzwerk-Firewallrichtlinien.
Sichere Profile
Mit Sicherheitsprofilen können Sie die Layer-7-Prüfungsrichtlinie für IhreGoogle Cloud -Ressourcen definieren. Es sind allgemeine Richtlinienstrukturen, die von Firewall-Endpunkten verwendet werden, um abgefangenen Traffic zu scannen und Dienste auf Anwendungsebene bereitzustellen, z. B. zur Einbruchserkennung und ‑prävention. Weitere Informationen finden Sie unter Sicherheitsprofile.
Sicherheitsprofilgruppen
Eine Sicherheitsprofilgruppe ist ein Container für Sicherheitsprofile. Eine Firewallrichtlinienregel verweist auf eine Sicherheitsprofilgruppe, um die Layer-7-Prüfung wie den Dienst zur Erkennung und Vermeidung von Einbrüchen in Ihrem Netzwerk zu aktivieren. Weitere Informationen finden Sie unter Sicherheitsprofilgruppe – Übersicht.
Server Name Indication
Server Name Indication (SNI) ist eine Erweiterung des TLS-Protokolls (Transport Layer Security). Mit SNI können sich mehrere HTTPS-Websites eine IP-Adresse und ein TLS-Zertifikat teilen. Das ist effizienter und kostengünstiger, da Sie nicht für jede Website auf demselben Server ein eigenes Zertifikat benötigen.
Tags
Mit der Google Cloud Ressourcenhierarchie können Sie Ihre Ressourcen in einer Baumstruktur organisieren. Diese Hierarchie hilft Ihnen, Ressourcen in großem Maßstab zu verwalten, aber sie modelliert nur wenige Geschäftsdimensionen, darunter Organisationsstruktur, Regionen, Arbeitslasttypen und Kostenstellen. Der Hierarchie fehlt die Flexibilität, mehrere Geschäftsdimensionen miteinander zu verbinden.
Mit Tags können Sie Annotationen für Ressourcen erstellen und in einigen Fällen Richtlinien je nachdem, ob eine Ressource ein bestimmtes Tag hat, zulassen oder ablehnen. Sie können Tags und eine bedingte Durchsetzung von Richtlinien verwenden, um Ihre Ressourcenhierarchie genau zu steuern.
Tags unterscheiden sich von Netzwerktags. Weitere Informationen zu den Unterschieden zwischen Tags und Netzwerktags finden Sie unter Vergleich von Tags und Netzwerktags.
Threat Intelligence
Mit Firewallrichtlinien-Regeln können Sie Ihr Netzwerk sichern, indem Sie Traffic auf der Grundlage von Threat Intelligence-Daten zulassen oder blockieren. Threat Intelligence-Daten enthalten Listen von IP-Adressen basierend auf den Tor-Ausgangsknoten, bekannten schädlichen IP-Adressen, Suchmaschinen und IP-Adressbereichen der öffentlichen Cloud. Weitere Informationen finden Sie unter Threat Intelligence für Firewallrichtlinien-Regeln.
Bedrohungssignatur
Die signaturbasierte Bedrohungserkennung ist eine der am häufigsten verwendeten Methoden zur Identifizierung von böswilligem Verhalten. Sie wird daher häufig genutzt, um Netzwerkangriffe zu verhindern. Die Cloud NGFW-Funktionen zur Bedrohungserkennung basieren auf den Technologien zur Bedrohungsvermeidung von Palo Alto Networks. Weitere Informationen finden Sie unter Übersicht über Signaturen für Bedrohungen.
Transport Layer Security-Prüfung
Cloud NGFW bietet einen TLS-Abfang- und ‑Entschlüsselungsdienst, der verschlüsselten und unverschlüsselten Traffic auf Netzwerkangriffe und Störungen untersuchen kann. TLS-Verbindungen werden sowohl für eingehende als auch für ausgehende Verbindungen geprüft, einschließlich Traffic zum und vom Internet und Traffic innerhalb von Google Cloud.
Cloud NGFW entschlüsselt den TLS-Traffic, damit der Firewall-Endpunkt die Layer 7-Prüfung wie den Dienst zur Erkennung und Prävention von Einbrüchen in Ihrem Netzwerk ausführen kann. Nach der Prüfung verschlüsselt Cloud NGFW den Traffic neu, bevor er an sein Ziel gesendet wird. Weitere Informationen finden Sie unter TLS-Prüfung.
Tags für Firewalls
Tags werden auch als sichere Tags bezeichnet. Mit Tags können Sie Quellen und Ziele in globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien definieren. Tags unterscheiden sich von Netzwerk-Tags. Netzwerktags sind einfache Strings, keine Schlüssel und Werte, und bieten keine Art der Zugriffssteuerung. Weitere Informationen zu den Unterschieden zwischen Tags und Netzwerktags und den jeweils unterstützten Produkten finden Sie unter Vergleich von Tags und Netzwerktags.
VPC-Firewallregeln
Mit VPC Firewallregeln können Sie Verbindungen zu oder von VM-Instanzen in Ihrem VPC-Netzwerk zulassen oder ablehnen. Aktivierte VPC-Firewallregeln werden immer erzwungen. Sie schützen Ihre Instanzen unabhängig von ihrer Konfiguration und ihrem Betriebssystem, selbst wenn sie nicht gestartet wurden. Diese Regeln gelten für ein bestimmtes Projekt und Netzwerk. Weitere Informationen finden Sie unter VPC-Firewallregeln.
Nächste Schritte
- Konzeptionelle Informationen zu Cloud NGFW finden Sie unter Cloud NGFW – Übersicht.
- Konzeptionelle Informationen zu Firewallrichtlinienregeln finden Sie unter Firewallrichtlinien-Regeln.
- Informationen zum Erstellen, Aktualisieren, Überwachen oder Löschen von VPC-Firewallregeln finden Sie unter VPC-Firewallregeln verwenden.
- Informationen zum Ermitteln der Kosten finden Sie unter Cloud NGFW – Preise.