Der Firewall-Endpunkt ist eine Cloud Firewall-Ressource, die erweiterte Layer-7-Sicherheitsfunktionen wie die Einbruchsprävention in Ihrem Netzwerk ermöglicht.
Auf dieser Seite erhalten Sie eine detaillierte Übersicht über Firewall-Endpunkte und ihre Funktionen.
Spezifikationen
Ein Firewall-Endpunkt ist eine Organisationsressource, die auf zonaler Ebene erstellt wurde.
Firewall-Endpunkte führen eine Layer-7-Firewallprüfung für den abgefangenen Traffic aus.
Cloud Firewall verwendet die Paketabfangstechnologie von Google Cloud, um Traffic von den Google Cloud-Arbeitslasten in einem VPC-Netzwerk (Virtual Private Cloud) transparent an die Firewall-Endpunkte weiterzuleiten.
Der Paketabfang ist eine Google Cloud-Funktion, mit der Netzwerk-Appliances im Proxymodus transparent in den Pfad des ausgewählten Netzwerk-Traffics eingefügt werden, ohne ihre vorhandenen Routingrichtlinien zu ändern.
Cloud Firewall leitet den Arbeitslast-Traffic in einem VPC-Netzwerk nur dann an den Firewall-Endpunkt weiter, wenn die Layer-7-Prüfung in den Firewallrichtlinienregeln konfiguriert ist.
Sie können einen Firewall-Endpunkt in einer Zone erstellen und an ein oder mehrere VPC-Netzwerke anhängen, um Arbeitslasten in derselben Zone zu überwachen. Wenn sich Ihr VPC-Netzwerk über mehrere Zonen erstreckt, können Sie in jeder Zone einen Firewall-Endpunkt mit der VPC anhängen.
Sie verwenden Firewall-Endpunktverknüpfung, um einen Firewall-Endpunkt an ein VPC-Netzwerk anzuhängen.
Der Endpunkt und die Arbeitslasten, für die Sie die Layer-7-Prüfung aktivieren möchten, müssen sich in derselben Zone befinden. Das Erstellen des Firewall-Endpunkts in derselben Zone wie die Arbeitslasten hat folgende Vorteile:
Geringere Latenz. Da Firewall-Endpunkte den Traffic abfangen, untersuchen und wieder in das Netzwerk einfügen können, ist die Latenz geringer als bei Firewall-Endpunkten in unterschiedlichen Zonen.
Kein zonenübergreifender Traffic. Wenn Sie den Traffic innerhalb derselben Zone halten, werden die Kosten gesenkt.
Zuverlässigerer Traffic. Wenn Sie den Traffic innerhalb derselben Zone halten, verringern Sie das Risiko von zonenübergreifenden Ausfällen.
Sie können einen Firewall-Endpunkt nur löschen, wenn ihm keine VPC-Netzwerke zugeordnet sind.
Google verwaltet die Infrastruktur, das Load Balancing, das Autoscaling und den Lebenszyklus der Firewall-Endpunkte. Wenn Sie einen Firewall-Endpunkt erstellen, bietet Google eine Reihe dedizierter VM-Instanzen, die neben der Zertifikatsverwaltung eine hohe Zuverlässigkeit, Leistung und Sicherheitsisolation für Ihren Traffic gewährleisten.
Google bietet Hochverfügbarkeit mithilfe ordnungsgemäßer Failover-Mechanismen für die Firewall-Endpunkte. Dadurch wird ein zuverlässiger Firewallschutz für alle VM-Instanzen gewährleistet, die im verbundenen VPC-Netzwerk abgedeckt sind.
Firewall-Endpunktverknüpfungen
Die Firewall-Endpunktverknüpfung verknüpft einen Firewall-Endpunkt mit einem VPC-Netzwerk in derselben Zone. Nachdem Sie diese Verknüpfung definiert haben, leitet Cloud Firewall den zonalen Arbeitslast-Traffic in Ihrem VPC-Netzwerk, der eine Layer-7-Prüfung erfordert, an den angehängten Firewall-Endpunkt weiter.
Identitäts- und Zugriffsverwaltungsrollen
IAM-Rollen (Identity and Access Management) steuern die folgenden Aktionen zum Verwalten der Firewall-Endpunkte:
- Firewall-Endpunkt in einer Organisation erstellen
- Firewall-Endpunkt ändern oder löschen
- Details eines Firewall-Endpunkts ansehen
- Alle in einer Organisation konfigurierten Firewall-Endpunkte ansehen
In der folgenden Tabelle werden die Rollen beschrieben, die für jeden Schritt erforderlich sind.
| Funktion | Erforderliche Rolle |
|---|---|
| Neuen Firewall-Endpunkt erstellen | Rolle compute.networkAdmin für die Organisation, in der der Firewall-Endpunkt erstellt wird. |
| Vorhandenen Firewall-Endpunkt ändern | Rolle compute.networkAdmin für die Organisation. |
| Details zum Firewall-Endpunkt in einer Organisation anzeigen | Eine der folgenden Rollen für die Organisation: compute.networkAdmin compute.networkUser compute.networkViewer |
| Alle Firewall-Endpunkte in einer Organisation anzeigen | Eine der folgenden Rollen für die Organisation: compute.networkAdmin compute.networkUser compute.networkViewer |
IAM-Rollen regeln die folgenden Aktionen für die Firewall-Endpunktverknüpfungen:
- Firewall-Endpunktverknüpfung in einem Projekt erstellen
- Firewall-Endpunktverknüpfung ändern oder löschen
- Details einer Firewall-Endpunktverknüpfung ansehen
- Alle in einem Projekt konfigurierten Firewall-Endpunktverknüpfungen ansehen
In der folgenden Tabelle werden die Rollen beschrieben, die für jeden Schritt erforderlich sind.
| Funktion | Erforderliche Rolle |
|---|---|
| Firewall-Endpunktverknüpfung erstellen |
Rolle compute.networkAdmin für das Projekt, in dem die Firewall-Endpunktverknüpfung erstellt wird. Rolle compute.networkUser für die Organisation, die Berechtigungen zum Verbinden der VPC (deren Administrator der Nutzer ist) mit dem Endpunkt umfasst (einer Ressource, die der Organisation und nicht unbedingt dem VPC-Inhaber gehört). |
| Firewall-Endpunktverknüpfungen ändern (aktualisieren oder löschen) | Rolle compute.networkAdmin für das Projekt, in dem sich das VPC-Netzwerk befindet. |
| Details zur Firewall-Endpunktverknüpfung in einem Projekt ansehen | Eine der folgenden Rollen für die Organisation: compute.networkAdmin compute.networkViewer compute.networkUser |
| Alle Firewall-Endpunktverknüpfungen in einem Projekt ansehen | Eine der folgenden Rollen für die Organisation: compute.networkAdmin compute.networkViewer compute.networkUser |
Kontingente
Informationen zu Kontingenten für Firewall-Endpunkte finden Sie unter Kontingente und Limits.
Preise
Die Preise für Firewall-Endpunkte finden Sie unter Cloud Firewall Plus-Preise.