Der Firewall-Endpunkt ist eine Cloud Next Generation Firewall-Ressource, die erweiterte Layer-7-Sicherheitsfunktionen wie die Einbruchsprävention in Ihrem Netzwerk ermöglicht.
Auf dieser Seite erhalten Sie eine detaillierte Übersicht über Firewall-Endpunkte und ihre Funktionen.
Spezifikationen
Ein Firewall-Endpunkt ist eine Organisationsressource, die auf zonaler Ebene erstellt wurde.
Firewall-Endpunkte führen eine Layer-7-Firewallprüfung für den abgefangenen Traffic aus.
Cloud Next Generation Firewall verwendet die Paketabfangstechnologie von Google Cloud, um Traffic von den Google Cloud-Arbeitslasten in einem VPC-Netzwerk (Virtual Private Cloud) transparent an die Firewall-Endpunkte weiterzuleiten.
Der Paketabfang ist eine Google Cloud-Funktion, mit der Netzwerk-Appliances transparent in den Pfad des ausgewählten Netzwerk-Traffics eingefügt werden, ohne ihre vorhandenen Routingrichtlinien zu ändern.
Cloud NGFW leitet den Arbeitslast-Traffic in einem VPC-Netzwerk nur dann an den Firewall-Endpunkt weiter, wenn die Layer-7-Prüfung für die Anwendung auf diesen Ablauf konfiguriert ist.
Cloud NGFW fügt jedem Paket, das an den Firewall-Endpunkt für die Layer-7-Prüfung weitergeleitet wird, eine VPC-Netzwerk-ID hinzu. Wenn Sie mehrere VPC-Netzwerke mit sich überschneidenden IP-Adressbereichen haben, sorgt diese Netzwerk-ID dafür, dass jedes weitergeleitete Paket korrekt seinem VPC-Netzwerk zugeordnet wird.
Sie können einen Firewall-Endpunkt in einer Zone erstellen und an ein oder mehrere VPC-Netzwerke anhängen, um Arbeitslasten in derselben Zone zu überwachen. Wenn sich Ihr VPC-Netzwerk über mehrere Zonen erstreckt, können Sie in jeder Zone einen Firewall-Endpunkt anhängen. Wenn Sie keinen Firewall-Endpunkt an ein VPC-Netzwerk in einer bestimmten Zone anhängen, wird für den Arbeitslast-Traffic für diese Zone keine Layer-7-Prüfung durchgeführt.
Sie verwenden Firewall-Endpunktverknüpfung, um einen Firewall-Endpunkt an ein VPC-Netzwerk anzuhängen.
Der Endpunkt und die Arbeitslasten, für die Sie die Layer-7-Prüfung aktivieren möchten, müssen sich in derselben Zone befinden. Das Erstellen des Firewall-Endpunkts in derselben Zone wie die Arbeitslasten hat folgende Vorteile:
Geringere Latenz. Da Firewall-Endpunkte den Traffic abfangen, untersuchen und wieder in das Netzwerk einfügen können, ist die Latenz geringer als bei Firewall-Endpunkten in unterschiedlichen Zonen.
Kein zonenübergreifender Traffic. Wenn Sie den Traffic innerhalb derselben Zone halten, werden die Kosten gesenkt.
Zuverlässigerer Traffic. Wenn Sie den Traffic innerhalb derselben Zone halten, verringern Sie das Risiko von zonenübergreifenden Ausfällen.
Firewall-Endpunkte können bis zu 2 Gbit/s Traffic mit TLS-Prüfung (Transport Layer Security) und 10 Gbit/s Traffic ohne TLS-Prüfung verarbeiten. Das Senden von mehr Traffic kann zu Paketverlusten führen. Informationen zum Überwachen der Kapazitätsauslastung des Firewall-Endpunkts finden Sie unter Firewall-Endpunktmesswerte.
Sie können einen Firewall-Endpunkt nur löschen, wenn ihm keine VPC-Netzwerke zugeordnet sind.
Google verwaltet die Infrastruktur, das Load Balancing, das Autoscaling und den Lebenszyklus der Firewall-Endpunkte. Wenn Sie einen Firewall-Endpunkt erstellen, bietet Google eine Reihe dedizierter VM-Instanzen, die neben der Zertifikatsverwaltung eine hohe Zuverlässigkeit, Leistung und Sicherheitsisolation für Ihren Traffic gewährleisten.
Google bietet Hochverfügbarkeit mithilfe ordnungsgemäßer Failover-Mechanismen für die Firewall-Endpunkte. Dadurch wird ein zuverlässiger Firewallschutz für alle VM-Instanzen gewährleistet, die im verbundenen VPC-Netzwerk abgedeckt sind.
Firewall-Endpunktverknüpfungen
Die Firewall-Endpunktverknüpfung verknüpft einen Firewall-Endpunkt mit einem VPC-Netzwerk in derselben Zone. Nachdem Sie diese Verknüpfung definiert haben, leitet Cloud NGFW den zonalen Arbeitslast-Traffic in Ihrem VPC-Netzwerk, der eine Layer-7-Prüfung erfordert, an den angehängten Firewall-Endpunkt weiter.
Identitäts- und Zugriffsverwaltungsrollen
IAM-Rollen (Identity and Access Management) steuern die folgenden Aktionen zum Verwalten der Firewall-Endpunkte:
- Firewall-Endpunkt in einer Organisation erstellen
- Firewall-Endpunkt ändern oder löschen
- Details eines Firewall-Endpunkts ansehen
- Alle in einer Organisation konfigurierten Firewall-Endpunkte ansehen
In der folgenden Tabelle werden die Rollen beschrieben, die für jeden Schritt erforderlich sind.
| Funktion | Erforderliche Rolle |
|---|---|
| Neuen Firewall-Endpunkt erstellen | Rolle compute.networkAdmin für die Organisation, in der der Firewall-Endpunkt erstellt wird. |
| Vorhandenen Firewall-Endpunkt ändern | Rolle compute.networkAdmin für die Organisation. |
| Details zum Firewall-Endpunkt in einer Organisation anzeigen | Eine der folgenden Rollen für die Organisation: compute.networkAdmin compute.networkUser compute.networkViewer |
| Alle Firewall-Endpunkte in einer Organisation anzeigen | Eine der folgenden Rollen für die Organisation: compute.networkAdmin compute.networkUser compute.networkViewer |
IAM-Rollen regeln die folgenden Aktionen für die Firewall-Endpunktverknüpfungen:
- Firewall-Endpunktverknüpfung in einem Projekt erstellen
- Firewall-Endpunktverknüpfung ändern oder löschen
- Details einer Firewall-Endpunktverknüpfung ansehen
- Alle in einem Projekt konfigurierten Firewall-Endpunktverknüpfungen ansehen
In der folgenden Tabelle werden die Rollen beschrieben, die für jeden Schritt erforderlich sind.
| Funktion | Erforderliche Rolle |
|---|---|
| Firewall-Endpunktverknüpfung erstellen |
Rolle compute.networkAdmin für das Projekt, in dem die Firewall-Endpunktverknüpfung erstellt wird. Rolle compute.networkUser für die Organisation, die Berechtigungen zum Verbinden der VPC (deren Administrator der Nutzer ist) mit dem Endpunkt umfasst (einer Ressource, die der Organisation und nicht unbedingt dem VPC-Inhaber gehört). |
| Firewall-Endpunktverknüpfungen ändern (aktualisieren oder löschen) | Rolle compute.networkAdmin für das Projekt, in dem sich das VPC-Netzwerk befindet. |
| Details zur Firewall-Endpunktverknüpfung in einem Projekt ansehen | Eine der folgenden Rollen für die Organisation: compute.networkAdmin compute.networkViewer compute.networkUser |
| Alle Firewall-Endpunktverknüpfungen in einem Projekt ansehen | Eine der folgenden Rollen für die Organisation: compute.networkAdmin compute.networkViewer compute.networkUser |
Kontingente
Informationen zu Kontingenten für Firewall-Endpunkte finden Sie unter Kontingente und Limits.
Preise
Die Preise für Firewall-Endpunkte finden Sie unter Cloud NGFW – Preise.
Nächste Schritte
- Dienst zur Einbruchsprävention konfigurieren
- Firewall-Endpunkte erstellen und verwalten
- Firewall-Endpunktverknüpfungen erstellen und verwalten