Cloud 新一代防火墙提供传输层安全协议 (TLS) 拦截和解密服务,用于检查加密和未加密的流量是否存在网络攻击和中断。该服务会检查入站和出站连接(包括进出互联网的流量以及 Google Cloud 中的流量)上的 TLS 连接。
Cloud NGFW 会解密 TLS 流量,以让防火墙端点在您的网络中执行第 7 层检查,例如入侵防御。检查完成后,Cloud NGFW 会重新加密流量,然后将其发送到目标。
Cloud NGFW 使用 Google 管理的 Certificate Authority Service (CAS) 生成短期有效的中间证书。Cloud NGFW 使用这些中间证书来生成解密拦截流量所需的证书。您需要设置证书授权机构 (CA) 池,并可以选择设置信任配置,以存储和维护受信任的 CA 证书列表。
本页面详细介绍 Cloud NGFW 的 TLS 检查功能。
规范
Cloud NGFW 支持 TLS 协议 1.0、1.1、1.2 和 1.3 版。
Cloud NGFW 支持以下 TLS 加密套件:
IANA 值 加密套件名称 0xCCA9 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256 0xCCA8 TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 0xC02B TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 0xC02F TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 0xC02C TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 0xC030 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 0xC009 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA 0xC013 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA 0xC00A TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 0xC014 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA 0x009C TLS_RSA_WITH_AES_128_GCM_SHA256 0x009D TLS_RSA_WITH_AES_256_GCM_SHA384 0x002F TLS_RSA_WITH_AES_128_CBC_SHA 0x0035 TLS_RSA_WITH_AES_256_CBC_SHA 0x000A TLS_RSA_WITH_3DES_EDE_CBC_SHA Cloud NGFW 使用 TLS 检查政策在防火墙端点上设置 TLS 检查。
您可以设置 CA 池和(可选)信任配置,以便为 TLS 客户端生成受信任的 TLS 证书。或者,您还可以选择设置信任配置以存储和维护受信任的 CA 证书。您需要在 TLS 检查政策中添加有关 CA 池和信任配置的配置信息。然后,此政策会关联到防火墙端点和目标 Virtual Private Cloud (VPC) 网络,并用于解密要检查的流量。
如需详细了解如何在 Cloud NGFW 中设置 TLS 检查,请参阅设置 TLS 检查。
TLS 检查政策和 CA 池都是区域级资源。因此,您必须为要启用 TLS 检查的每个区域创建 CA 池和 TLS 检查政策。
如果您想在 TLS 检查政策中使用信任配置,请确保信任配置和 TLS 检查政策位于同一区域。
证书授权机构在 TLS 检查中的角色
Cloud NGFW 通过为客户端动态生成证书来拦截 TLS 流量。这些证书由在防火墙端点内配置的中间 CA 签名。这些中间 CA 由 CA Service 中的 CA 池签名。Cloud NGFW 每隔 24 小时生成新的中间 CA。
每当客户端建立 TLS 连接时,Cloud NGFW 会拦截连接,并为请求的服务器名称生成一个证书,以便返回到客户端。Cloud NGFW 还可以使用信任配置以非公开方式验证签名的后端证书。您可以将受信任的证书添加到 Certificate Manager 信任配置中。
您可以将信任配置和 CA 池配置添加到 TLS 检查政策。然后,此政策会被添加到防火墙端点关联,并用于解密拦截的流量。
存储在 CA Service 中的 CA 由硬件安全模块 (HSM) 提供支持,并在每次使用时生成审核日志。
由 Cloud NGFW 生成的短期有效中间 CA 仅存储在内存中。由中间 CA 签名的每个服务器证书都不会导致生成 CA Service 的审核日志。此外,由于服务器证书不是由 CA Service 直接生成的,因此 CA 池中配置的任何颁发政策或名称限制条件都不适用于 Cloud NGFW 生成的服务器证书。使用中间 CA 生成服务器证书时,Cloud NGFW 不会强制执行这些限制条件。
防火墙政策规则 --tls-inspect
标志
如需对与配置的防火墙政策规则匹配的流量进行解密,请使用 --tls-inspect
标志。在防火墙政策规则中配置 --tls-inspect
标志后,Cloud NGFW 会为匹配的 TLS 流量生成新的服务器证书。Cloud NGFW 中的中间 CA 会签署此证书。这些中间 CA 又由 CA Service 中的 CA 池签名。然后,该证书将提供给客户端,并建立 TLS 连接。生成的证书会缓存一小段时间,以便后续连接到同一主机。
限制
Cloud NGFW 不支持具有 TLS 检查的 HTTP/2、QUIC、HTTP/3 或 PROXY 协议流量。