TLS 檢查總覽

Cloud Next Generation Firewall 提供傳輸層安全標準 (TLS) 攔截和解密服務,可檢查加密和未加密的流量,防範網路攻擊和中斷。系統會檢查連入和連出連線的 TLS 連線,包括往返網際網路的流量,以及 Google Cloud內的流量。

Cloud NGFW 會解密 TLS 流量,讓防火牆端點在網路中執行第 7 層檢查,例如入侵預防。檢查完畢後,Cloud NGFW 會重新加密流量,然後傳送至目的地。

Cloud NGFW 會使用 Google 代管的憑證授權單位服務 (CAS),產生短期中繼憑證。Cloud NGFW 會使用這些中繼憑證產生解密攔截流量所需的憑證。您可以設定憑證授權單位 (CA) 集區,以及視需要設定信任設定,儲存及維護信任的 CA 憑證清單。

本頁面詳細介紹 Cloud NGFW 的 TLS 檢查功能。

規格

  • Cloud NGFW 支援 TLS 通訊協定 1.0、1.1、1.2 和 1.3 版。

  • Cloud NGFW 支援下列 TLS 加密套件:

    IANA 加密套件名稱
    0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
    0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
    0xC02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
    0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
    0xC02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    0xC030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    0xC009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
    0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
    0xC00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
    0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
    0x009C TLS_RSA_WITH_AES_128_GCM_SHA256
    0x009D TLS_RSA_WITH_AES_256_GCM_SHA384
    0x002F TLS_RSA_WITH_AES_128_CBC_SHA
    0x0035 TLS_RSA_WITH_AES_256_CBC_SHA
    0x000A TLS_RSA_WITH_3DES_EDE_CBC_SHA

  • Cloud NGFW 會使用 TLS 檢查政策,在防火牆端點上設定 TLS 檢查。

    您可以設定 CA 集區和信任設定 (選用),為 TLS 用戶端產生受信任的 TLS 憑證。您也可以選擇設定信任設定,儲存及維護信任的 CA 憑證。您可以在 TLS 檢查政策中加入 CA 集區和信任設定的設定資訊。然後將這項政策附加至防火牆端點和目標虛擬私有雲 (VPC) 網路,用於解密要檢查的流量。

    如要進一步瞭解如何在 Cloud NGFW 中設定 TLS 檢查,請參閱「設定 TLS 檢查」。

  • TLS 檢查政策和 CA 集區都是區域資源。因此,您必須為啟用 TLS 檢查功能的每個區域,建立 CA 集區和 TLS 檢查政策。

  • 如要在 TLS 檢查政策中使用信任設定,請確保信任設定和 TLS 檢查政策位於相同區域。

憑證授權單位在 TLS 檢查中的角色

Cloud NGFW 會為用戶端動態產生憑證,藉此攔截 TLS 流量。這些憑證是由防火牆端點內設定的中繼 CA 簽署。這些中繼 CA 由 CA 服務中的 CA 集區簽署。Cloud NGFW 每 24 小時會產生新的中繼 CA。

每當用戶端建立 TLS 連線時,Cloud NGFW 會攔截連線,並為要求的伺服器名稱產生憑證,然後傳回給用戶端。Cloud NGFW 也能使用信任設定,驗證私下簽署的後端憑證。您可以將信任的憑證新增至 Certificate Manager 信任設定。

將信任設定和 CA 集區設定新增至 TLS 檢查政策。 接著,這項政策會新增至防火牆端點關聯,用於解密攔截的流量。

CA 服務中儲存的 CA 會由硬體安全性模組 (HSM) 支援,並在每次使用時產生稽核記錄。

Cloud NGFW 產生的短期中繼 CA 只會儲存在記憶體中。中繼 CA 簽署的每個伺服器憑證都不會產生 CA 服務的稽核記錄。此外,由於伺服器憑證並非由 CA 服務直接產生,因此 CA 集區中設定的任何核發政策或名稱限制,都不會套用至 Cloud NGFW 產生的伺服器憑證。使用中繼 CA 產生伺服器憑證時,Cloud NGFW 不會強制執行這些限制。

防火牆政策規則 --tls-inspect 旗標

如要啟用與設定的防火牆政策規則相符的流量解密功能,請使用 --tls-inspect 旗標。在防火牆政策規則中設定 --tls-inspect 標記時,Cloud NGFW 會為相符的 TLS 流量產生新的伺服器憑證。Cloud NGFW 內的中繼 CA 會簽署這個憑證。這些中繼 CA 則是由 CA 服務中的 CA 集區簽署。接著,伺服器會向用戶端出示這項憑證,並建立 TLS 連線。系統會將產生的憑證快取一小段時間,以供後續連線至相同主機時使用。

透過 HTTP 連線進行 TLS 檢查

Cloud NGFW 支援對用戶端使用 HTTP Connect 傳送的輸出 HTTPS 流量,進行 TLS 攔截和解密。

舉例來說,假設用戶端傳送 HTTP Connect 要求,透過中介網路 Proxy 伺服器 (例如 Secure Web Proxy) 在用戶端和伺服器之間建立安全通道。建立通道後,Cloud NGFW 會攔截並解密通過通道的任何輸出 TLS 網際網路流量,並執行第 7 層檢查,例如入侵偵測與防範

限制

  • Cloud NGFW 不支援 HTTP/2QUICHTTP/3PROXY 通訊協定流量的 TLS 檢查。不過,系統支援對非 HTTPS 的 TCP 流量進行 TLS 檢查。

  • Cloud NGFW 僅支援 TLS 解密。不支援解密使用其他加密通訊協定的流量,例如 SSH。

後續步驟