設定入侵偵測與防範服務

如要在網路中啟用入侵偵測與防範服務,您必須設定多個 Cloud Next Generation Firewall 元件。本文提供高階工作流程,說明如何設定這些元件,以及啟用威脅偵測和防護功能。

設定入侵偵測和預防服務,但不進行 TLS 檢查

如要在網路中設定入侵偵測和防護服務,請執行下列工作。

  1. 建立 Threat prevention 類型的安全性設定檔。視網路需求設定威脅或嚴重程度覆寫。你可以建立一或多個設定檔。如要瞭解如何建立安全性設定檔,請參閱「建立安全性設定檔」。

  2. 使用上一個步驟建立的安全性設定檔,建立安全性設定檔群組。如要瞭解如何建立安全性設定檔群組,請參閱「建立安全性設定檔群組」。

  3. 在要啟用威脅防範功能的可用區中,為工作負載建立防火牆端點。如要瞭解如何建立防火牆端點,請參閱建立防火牆端點

  4. 將防火牆端點與一或多個要啟用威脅偵測和防範功能的虛擬私有雲網路建立關聯。請確認您在與防火牆端點相同的區域中執行工作負載。如要瞭解如何將防火牆端點與 VPC 網路建立關聯,請參閱「建立防火牆端點關聯」。

  5. 您可以透過全域網路防火牆政策階層式防火牆政策,設定入侵偵測和防護服務。

    • 在新的或現有的全域防火牆政策中,新增已啟用第 7 層檢查的防火牆政策規則 (apply_security_profile_group 動作),並指定您在上一個步驟中建立的安全性設定檔群組名稱。請確認防火牆政策與需要檢查的工作負載位於相同的 VPC 網路。如要進一步瞭解全域網路防火牆政策,以及建立啟用威脅防護功能的防火牆政策規則時所需的參數,請參閱「建立全域網路防火牆政策」和「建立全域網路防火牆政策規則」。

    • 您也可以使用階層式防火牆政策,新增已設定安全性設定檔群組的防火牆政策規則。如要進一步瞭解建立階層式防火牆政策規則時需要哪些參數,才能啟用威脅防護功能,請參閱「建立防火牆規則」。

設定入侵偵測和預防服務,並啟用 TLS 檢查

如要在網路中設定入侵偵測和預防服務,並啟用傳輸層安全標準 (TLS) 檢查功能,請執行下列工作。

  1. 建立 Threat prevention 類型的安全性設定檔。視網路需求設定威脅或嚴重程度覆寫。你可以建立一或多個設定檔。如要瞭解如何建立安全性設定檔,請參閱「建立安全性設定檔」。

  2. 使用上一個步驟建立的安全性設定檔,建立安全性設定檔群組。如要瞭解如何建立安全性設定檔群組,請參閱「建立安全性設定檔群組」。

  3. 建立 CA 集區和信任設定,並將其新增至 TLS 檢查政策。如要瞭解如何在 Cloud NGFW 中啟用 TLS 檢查功能,請參閱「設定 TLS 檢查」。

  4. 在要啟用威脅防範功能的可用區中,為工作負載建立防火牆端點。如要瞭解如何建立防火牆端點,請參閱建立防火牆端點

  5. 將防火牆端點與一或多個要啟用威脅偵測和防範功能的虛擬私有雲網路建立關聯。將您在上一個步驟中建立的 TLS 檢查政策,新增至防火牆端點關聯。請確認您在與防火牆端點相同的區域中執行工作負載。

    如要瞭解如何將防火牆端點與虛擬私有雲網路建立關聯,並啟用 TLS 檢查,請參閱「建立防火牆端點關聯」。

  6. 您可以透過全域網路防火牆政策階層式防火牆政策,設定入侵偵測和防護服務。

    • 在新的或現有的全域防火牆政策中,新增已啟用第 7 層檢查的防火牆政策規則 (apply_security_profile_group 動作),並指定您在上一個步驟中建立的安全性設定檔群組名稱。如要啟用 TLS 檢查功能,請指定 --tls-inspect 標記。請確認防火牆政策與需要檢查的工作負載位於相同的 VPC 網路。如要進一步瞭解全域網路防火牆政策,以及建立啟用威脅防護功能的防火牆政策規則時所需的參數,請參閱「建立全域網路防火牆政策」和「建立全域網路防火牆政策規則」。

    • 您也可以使用階層式防火牆政策,新增已設定安全性設定檔群組的防火牆政策規則。如要進一步瞭解建立階層式防火牆政策規則時需要哪些參數,才能啟用威脅防護功能,請參閱「建立防火牆規則」。

部署模式範例

圖 1 顯示的範例部署作業,是為同一個區域中的兩個虛擬私有雲網路設定入侵偵測和防範服務,但這兩個網路位於不同的可用區。

在某個區域部署入侵偵測與防護服務。
圖 1. 在區域中部署入侵偵測和防護服務 (按一下即可放大)。

範例部署作業的威脅防護設定如下:

  1. 兩個安全性設定檔群組:

    1. Security profile group 1,並使用安全性設定檔 Security profile 1

    2. Security profile group 2,並使用安全性設定檔 Security profile 2

  2. 客戶虛擬私有雲 1 (VPC 1) 的防火牆政策已將安全性設定檔群組設為 Security profile group 1

  3. 客戶虛擬私有雲 2 (VPC 2) 的防火牆政策已將安全性設定檔群組設為 Security profile group 2

  4. 防火牆端點 Firewall endpoint 1 會對在可用區 us-west1-aVPC 1VPC 2 上執行的工作負載,執行威脅偵測和防範。

  5. 防火牆端點 Firewall endpoint 2 會對在可用區 us-west1-bVPC 1VPC 2 上執行的工作負載啟用 TLS 檢查,以執行威脅偵測和防護。

後續步驟