Cloud 新一代防火墙入侵防御服务会持续监控 Google Cloud 工作负载流量以检测恶意活动,并执行抢占式操作来防范威胁。恶意活动可能包括网络上的入侵、恶意软件、间谍软件和“命令和控制”攻击等威胁。
Cloud NGFW 入侵防御服务的工作原理是创建 Google 管理的可用区级防火墙端点,这些端点使用数据包拦截技术以透明方式检查工作负载,以查找配置的威胁签名并保护工作负载免遭威胁。这些威胁防御功能由 Palo Alto Networks 威胁防御技术提供支持。
入侵防御服务是 Cloud 新一代防火墙企业版功能的一部分。如需了解详情,请参阅 Cloud NGFW 企业版和 Cloud NGFW 价格。
本文档简要介绍各种 Cloud NGFW 入侵防御服务组件,以及这些组件如何为 Virtual Private Cloud (VPC) 网络中的 Google Cloud 工作负载提供高级保护功能。
入侵防御服务的工作原理
入侵防御服务按照以下顺序处理流量:
防火墙政策规则应用于进出网络中的虚拟机 (VM) 实例或 Google Kubernetes Engine (GKE) 集群的流量。
匹配的流量被拦截,并且数据包发送到防火墙端点以进行第 7 层检查。
防火墙端点扫描数据包以查找配置的威胁签名。
如果检测到威胁,则对该数据包执行安全配置文件中配置的操作。
图 1 描述了入侵防御服务的简化部署模型。
本部分的其余部分介绍设置入侵防御服务所需的组件和配置。
安全配置文件和安全配置文件组
Cloud NGFW 会引用安全配置文件和安全配置文件组,为威胁防护服务实施深度数据包检测。
安全配置文件是入侵防御服务中使用的通用政策结构,可用于替换特定威胁防护场景。如需配置入侵防御服务,您需要定义
threat-prevention类型的安全配置文件。如需详细了解安全配置文件,请参阅安全配置文件概览。安全配置文件组包含类型为
threat prevention的安全配置文件。为了配置入侵防御服务,防火墙政策规则会引用这些安全配置文件组,以对网络流量启用威胁检测和防御。如需详细了解安全配置文件组,请参阅安全配置文件组概览。
防火墙端点
防火墙端点是在特定可用区中创建的组织级资源,可以检查同一可用区中的流量。
对于入侵防御服务,防火墙端点会扫描拦截流量以查找威胁。如果检测到威胁,则会对该数据包执行与威胁关联的操作。此操作可以是默认操作,也可以是 threat-prevention 安全配置文件中的操作(如果已配置)。
如需详细了解防火墙端点及其配置方式,请参阅防火墙端点概览。
防火墙政策
防火墙政策直接应用于进出虚拟机的所有流量。您可以使用分层防火墙政策和全球网络防火墙政策来为防火墙政策规则配置第 7 层检查。
防火墙政策规则
通过防火墙政策规则,您可以控制要拦截和检查的流量类型。如需配置入侵防御服务,请创建防火墙政策规则来执行以下操作:
使用多个第 3 层和第 4 层防火墙政策规则组件来确定要检查的流量类型。
对于匹配的流量,为
apply_security_profile_group操作指定安全配置文件组名称。
如需查看完整的入侵防御服务工作流,请参阅配置入侵防御服务。
您还可以在防火墙规则中使用安全标记来配置入侵防御服务。您可以在网络中使用标记,基于已设置的任何细分进行构建,并增强流量检查逻辑以包含威胁防范服务。
检查加密流量
Cloud NGFW 支持传输层安全协议 (TLS) 拦截和解密,以检查所选的加密流量是否存在威胁。TLS 可让您检查入站和出站连接,包括进出互联网的流量以及 Google Cloud 中的流量。
如需详细了解 Cloud NGFW 中的 TLS 检查,请参阅 TLS 检查概览。
如需了解如何在 Cloud NGFW 中启用 TLS 检查,请参阅设置 TLS 检查。
威胁签名
Cloud NGFW 威胁检测和防御功能由 Palo Alto Networks 威胁防御技术提供支持。Cloud NGFW 支持一组具有预定义严重级别的默认威胁签名,以帮助保护您的网络。您还可以使用安全配置文件替换与这些威胁签名关联的默认操作。
如需详细了解威胁签名,请参阅威胁签名概览。
如需查看在您的网络中检测到的威胁,请参阅查看威胁。
限制
Cloud NGFW 不支持巨型帧最大传输单元 (MTU)。
防火墙端点会忽略 X-Forwarded-For (XFF) 标头。 因此,这些标头不包含在防火墙规则日志记录中。