Cloud Firewall 是一种完全分布式的防火墙服务,具有高级保护功能、微细分和广泛的覆盖范围,可保护您的 Google Cloud 工作负载,使其免受内部和外部攻击。
Cloud Firewall 具有以下优势:
分布式防火墙服务:Cloud Firewall 在每个工作负载上提供基于有状态的完全分布式主机强制执行,以实现零信任安全架构。
简化配置和部署:Cloud Firewall 实现网络和分层防火墙政策,可以附加到资源层次结构节点。这些政策在 Google Cloud 资源层次结构中提供一致的防火墙体验。
精细控制和微细分:防火墙政策和 Identity and Access Management (IAM) 控制的标记相结合,可以跨虚拟私有云 (VPC) 网络和组织对南北向和东西向流量进行精细控制,并精确到单个虚拟机。
Cloud Firewall 有以下三个层级:
- Cloud Firewall Essentials
- Cloud Firewall Standard
- Cloud Firewall Plus
Cloud Firewall 还提供了其他功能,您可以在这些层级之上添加这些功能。如需详细了解防火墙层级的价格和其他功能,请参阅 Cloud Firewall 价格。
Cloud Firewall Essentials
Cloud Firewall Essentials 是 Google Cloud 提供的基础防火墙服务。它包括以下特性和功能:
通过全球网络防火墙政策和区域级网络防火墙政策,您可以将防火墙规则分组到适用于所有区域或特定区域的政策对象中。
IAM 治理的标记与网络防火墙政策相结合,可以对 Google Cloud 资源进行微细分和精细控制。标记通过唯一 ID 和严格的 IAM 控制集中管理。您可以在网络防火墙政策规则中引用这些标记,以便在您的区域和网络中实现更严格、统一的访问权限控制。
地址组将多个 IP 地址和 IP 地址范围合并为一个命名的逻辑单元。您可以在入站流量和出站流量控制的多条防火墙规则中引用同一地址组。
使用网络标记和服务账号的 VPC 防火墙规则会在网络级层过滤传入和传出的流量。
Cloud Firewall Standard
Cloud Firewall Standard 扩展了 Cloud Firewall Essentials 功能以提供增强功能来保护您的云基础架构,使其免受恶意攻击:
借助适用于防火墙政策规则的威胁情报,您可以根据威胁威胁数据列表允许或阻止流量,从而保护您的网络。
在防火墙政策规则中使用完全限定域名 (FQDN) 对象,以过滤进出特定网域的传入或传出流量。根据流量方向,与域名关联的 IP 地址会与流量的来源或目的地进行匹配。
防火墙政策规则中的地理位置对象会根据特定地理位置或区域过滤外部 IPv4 和 IPv6 流量。
Cloud Firewall Plus
Cloud Firewall Plus 提供高级的第 7 层安全功能,可保护您的 Google Cloud 工作负载免遭威胁和恶意攻击。
Cloud Firewall Plus 提供具有传输层安全协议 (TLS) 拦截和解密功能的入侵防御服务,可为网络检测威胁并防御恶意软件、间谍软件和“命令和控制”攻击。
其他功能
除 Cloud Firewall Essentials 和 Cloud Firewall Standard 层级之外,Cloud Firewall 还提供以下功能: