防火墙端点概览

防火墙端点是一种 Cloud 新一代防火墙资源,可在网络中启用第 7 层高级保护功能(例如入侵防御)。

本页面详细介绍防火墙端点及其功能。

规格

  • 防火墙端点是在可用区级层创建的组织资源。

  • 防火墙端点会对拦截的流量执行第 7 层防火墙检查。

  • Cloud 新一代防火墙使用 Google Cloud 的数据包拦截技术以透明方式将来自 Virtual Private Cloud (VPC) 网络中 Google Cloud 工作负载的流量重定向到防火墙端点。

    数据包拦截是一项 Google Cloud 功能,可透明地将网络设备插入所选网络流量的路径,而无需修改其现有路由政策。

  • 仅当第 7 层检查配置为应用于此流时,Cloud NGFW 才会将 VPC 网络中的工作负载流量重定向到防火墙端点。

  • Cloud NGFW 会为重定向到防火墙端点的每个数据包添加 VPC 网络标识符,以进行第 7 层检查。如果多个 VPC 网络具有重叠的 IP 地址范围,则此网络标识符有助于确保每个重定向的数据包与其 VPC 网络正确关联。

  • 您可以在某个可用区中创建防火墙端点,并将其关联到一个或多个 VPC 网络,以监控同一可用区中的工作负载。如果您的 VPC 网络跨多个可用区,您可以在每个可用区中附加一个防火墙端点。如果您未将防火墙端点关联到特定可用区中的 VPC 网络,则不会对该可用区的工作负载流量执行第 7 层检查。

    您可以使用防火墙端点关联将防火墙端点关联到 VPC 网络。

  • 要启用第 7 层检查的端点和工作负载必须位于同一可用区。在工作负载所在的可用区中创建防火墙端点有以下好处:

    • 低延迟。由于防火墙端点可以拦截、检查流量并将流量重新注入回网络,因此延迟时间会低于在不同可用区中的防火墙端点。

    • 无跨可用区流量。使流量在同一可用区流动可确保降低费用。

    • 更可靠的流量。使流量在同一可用区流动可以消除跨可用区服务中断的风险。

  • 防火墙端点通过传输层安全协议 (TLS) 检查可以处理高达 2 Gbps 的流量,不通过 TLS 检查可以处理高达 10 Gbps 的流量。发送更多流量可能会导致丟包。如需监控防火墙端点的容量利用率,请参阅防火墙端点指标

  • 仅当没有 VPC 网络与防火墙端点关联时,您才能删除该防火墙端点。

  • Google 管理防火墙端点的基础架构、负载均衡、自动扩缩和生命周期。当您创建防火墙端点时,Google 会提供一组专用虚拟机 (VM) 实例,以确保您的流量的可靠性、性能和安全隔离,同时还提供证书管理。

  • Google 通过为防火墙端点采用适当的故障切换机制来提供高可用性,这可确保关联 VPC 网络中覆盖的所有虚拟机实例都获得可靠的防火墙保护。

防火墙端点关联

防火墙端点关联可将防火墙端点与同一可用区中的 VPC 网络相关联。定义此关联后,Cloud NGFW 会将 VPC 网络中需要第 7 层检查的可用区级工作负载流量转发到关联的防火墙端点。

Identity and Access Management 角色

Identity and Access Management (IAM) 角色控制以下管理防火墙端点的操作:

  • 在组织中创建防火墙端点
  • 修改或删除防火墙端点
  • 查看防火墙端点的详细信息
  • 查看在组织中配置的所有防火墙端点

下表介绍了每个步骤所需的角色。

特性 必要角色
创建新的防火墙端点 创建防火墙端点的组织的 compute.networkAdmin 角色。
修改现有防火墙端点 组织的 compute.networkAdmin 角色。
查看组织中的防火墙端点的详细信息 组织的以下角色之一:
compute.networkAdmin
compute.networkUser
compute.networkViewer
查看组织中的所有防火墙端点 组织的以下角色之一:
compute.networkAdmin
compute.networkUser
compute.networkViewer

IAM 角色控制防火墙端点关联的以下操作:

  • 在项目中创建防火墙端点关联
  • 修改或删除防火墙端点关联
  • 查看防火墙端点关联的详细信息
  • 查看在项目中配置的所有防火墙端点关联

下表介绍了每个步骤所需的角色。

特性 必要角色
创建防火墙端点关联

创建防火墙端点关联的项目的 compute.networkAdmin 角色。

组织的 compute.networkUser 角色,该角色代表将 VPC(用户是管理员)与端点(组织拥有的资源,不一定是 VPC 所有者拥有的资源)相关联的权限。

修改(更新或删除)防火墙端点关联 VPC 网络所在项目的 compute.networkAdmin 角色。
查看项目中防火墙端点关联的详细信息 组织的以下角色之一:
compute.networkAdmin
compute.networkViewer
compute.networkUser
查看项目中的所有防火墙端点关联 组织的以下角色之一:
compute.networkAdmin
compute.networkViewer
compute.networkUser

配额

如需查看与防火墙端点关联的配额,请参阅配额和限制

价格

如需了解防火墙端点的价格,请参阅 Cloud NGFW 价格

后续步骤