重要詞彙

本頁提供適用於 Cloud Next Generation Firewall 的重要術語。請詳閱這些字詞,進一步瞭解 Cloud NGFW 的運作方式和基礎概念。

位址群組

位址群組是 IPv4 位址範圍或 IPv6 位址範圍的邏輯集合,格式為 CIDR。您可以使用位址群組定義多個防火牆規則參照的一致來源或目的地。如要進一步瞭解位址群組,請參閱防火牆政策的位址群組

CIDR 格式

無類別跨網域路由 (CIDR) 格式或標記法是一種表示 IP 位址及其子網路的方法。這是撰寫完整子網路遮罩的替代方案。格式為 IP 位址、正斜線 (/) 和數字。這個數字表示 IP 位址中定義網路部分的位元數。

Cloud NGFW

Cloud Next Generation Firewall 是完全分散式的防火牆服務,具備進階防護功能、微區隔和全面涵蓋範圍,可協助保護 Google Cloud 工作負載不受內外部攻擊的侵擾。Cloud NGFW 提供三種級別:Cloud Next Generation Firewall Essentials、Cloud Next Generation Firewall Standard 和 Cloud Next Generation Firewall Enterprise。詳情請參閱「Cloud NGFW 總覽」。

Cloud NGFW Essentials

Cloud Next Generation Firewall Essentials 是 Google Cloud提供的基礎防火牆服務,這項服務包含多項功能,例如全域網路防火牆政策和區域網路防火牆政策、由 Identity and Access Management (IAM) 控管的標記位址群組,以及虛擬私有雲 (VPC) 防火牆規則。詳情請參閱「Cloud NGFW Essentials 總覽」一文。

Cloud NGFW Enterprise

Cloud Next Generation Firewall Enterprise 提供先進的第 7 層安全性功能,可保護 Google Cloud 工作負載不受威脅和惡意攻擊侵擾。這項服務包含入侵偵測和預防服務,可透過傳輸層安全標準 (TLS) 攔截和解密,偵測並防範網路上的惡意軟體、間諜軟體和指令與控制攻擊。

Cloud NGFW Standard

Cloud NGFW Standard 擴充了 Cloud NGFW Essentials 的功能,提供更強大的防護機制,協助您保護雲端基礎架構免受惡意攻擊。 包括防火牆政策規則的威脅情報完整網域名稱 (FQDN) 物件,以及防火牆政策規則中的地理位置物件等功能。

防火牆端點

防火牆端點是 Cloud NGFW 資源,可在網路中啟用第 7 層進階保護功能,例如入侵偵測與防範服務。詳情請參閱防火牆端點總覽

防火牆規則

防火牆規則是網路安全的基本要素。防火牆規則會控管虛擬機器 (VM) 執行個體的往來流量。根據預設,系統會封鎖連入流量。詳情請參閱防火牆政策

防火牆規則記錄

您可以根據防火牆規則記錄,進一步稽核、驗證及分析防火牆規則的成效。舉例來說,您可以判斷用於拒絕流量的防火牆規則是否正常運作。需要瞭解特定防火牆規則影響的連線數量時,這項功能也能派上用場。詳情請參閱防火牆規則記錄

防火牆政策

防火牆政策可讓您將多項防火牆規則組成群組,然後一次更新所有規則,並透過 IAM 角色有效地控管。防火牆政策分為三種:階層式防火牆政策全域網路防火牆政策區域網路防火牆政策。詳情請參閱防火牆政策

防火牆政策規則

建立防火牆政策規則時,您必須指定一組用來定義規則作用的組成部分。這些元件會指定流量方向、來源、目的地,以及第 4 層特徵,例如通訊協定和目的地通訊埠 (如果通訊協定使用通訊埠)。這些元件稱為防火牆政策規則。 詳情請參閱防火牆政策規則

FQDN 物件

完整網域名稱 (FQDN) 是網路上特定資源的完整名稱,例如,cloud.google.com。防火牆政策規則中的 FQDN 物件會篩選來自或傳送至特定網域名稱的連入或連出流量。系統會根據流量方向,比對與網域名稱相關聯的 IP 位址與流量來源或目的地。詳情請參閱FQDN 物件

地理位置物件

在防火牆政策規則中使用地理位置物件,根據特定地理位置或區域篩選外部 IPv4 和外部 IPv6 流量。您可以搭配其他來源或目的地篩選器使用地理位置物件。詳情請參閱「地理位置物件」。

全域網路防火牆政策

您可以透過全域網路防火牆政策,將規則歸類至適用於所有區域 (全域) 的政策物件。將全域網路防火牆政策與虛擬私有雲網路建立關聯後,政策中的規則即可套用至虛擬私有雲網路中的資源。如要瞭解全域網路防火牆政策的規格和詳細資料,請參閱全域網路防火牆政策

階層式防火牆政策

階層式防火牆政策可將規則編成政策物件群組,並套用至一或多個專案中的多個虛擬私有雲網路。您可以將階層式防火牆政策與整個機構或個別資料夾建立關聯。如要瞭解階層式防火牆政策的規格和詳細資料,請參閱「階層式防火牆政策」。

Identity and Access Management

Google Cloud's IAM 可讓您對特定 Google Cloud 資源授予精細的存取權,協助預防其他資源遭到存取;IAM 可讓您採用最低權限安全原則,規定任何人都不應擁有超出實際需求的權限。詳情請參閱 IAM 總覽

默示規則

每個虛擬私有雲網路都有兩項默示 IPv4 防火牆規則。如果虛擬私有雲網路已啟用 IPv6,該網路也會有兩項默示 IPv6 防火牆規則。這些規則不會顯示在Google Cloud 控制台中。

無論網路的建立方式為何,也不論是自動模式或自訂模式虛擬私有雲網路,所有虛擬私有雲網路都含有隱含的 IPv4 防火牆規則。預設網路具有相同的默示規則。詳情請參閱隱含規則

入侵偵測與防範服務

Cloud NGFW 入侵偵測與防範服務會持續監控工作負載流量,找出任何惡意活動,並採取預防措施。 Google Cloud 惡意活動可能包括入侵、惡意軟體、間諜軟體和指令與控制攻擊等網路威脅。詳情請參閱「入侵偵測與防護服務總覽」。

網路防火牆政策

網路防火牆政策 (又稱「防火牆政策」) 可讓您將多項防火牆規則組成群組,然後一次更新所有規則,並透過 IAM 角色有效地控管。這些政策包含可明確拒絕或允許連線的規則,與虛擬私有雲防火牆規則相同。包括全域和區域網路防火牆政策。詳情請參閱防火牆政策

網路標記

網路標記是字串,會新增至資源 (例如 Compute Engine VM 執行個體或執行個體範本) 的標記欄位。標記並非獨立資源,因此無法單獨建立。凡是含有該字串的資源,都會視為具有該標記。標記可讓您建立適用於特定 VM 執行個體的 VPC 防火牆規則路徑

封包鏡像

Packet Mirroring 是一種頻外服務,會根據防火牆政策鏡像規則中指定的篩選條件,複製網路流量。然後,這項鏡像流量會傳送至第三方虛擬設備部署,進行封包深度檢查。您可以使用封包鏡像,大規模分析工作負載的網路流量。詳情請參閱「頻外整合總覽」。

政策繼承

根據預設,機構政策會由您強制執行政策的資源子系繼承。舉例來說,如果您對資料夾強制執行政策, Google Cloud 系統會對該資料夾中的所有專案強制執行政策。如要進一步瞭解這項行為及如何變更,請參閱「階層評估規則」。

優先順序

防火牆政策中規則的優先順序是 0 到 2,147,483,647 之間的整數 (包含首尾)。整數值越小代表優先順序越高。詳情請參閱「優先順序」。

區域性防火牆政策

區域性網路防火牆政策可將規則編成政策物件群組,並套用至特定區域。將區域網路防火牆政策與虛擬私有雲網路建立關聯後,政策中的規則即可套用至虛擬私有雲網路該區域內的資源。如要瞭解區域防火牆政策的規格和詳細資料,請參閱區域網路防火牆政策

安全設定檔

安全或安全性設定檔可協助您為資源定義第 7 層檢查政策。Google Cloud 這些是通用的政策結構,防火牆端點會使用這些結構掃描攔截的流量,以提供應用程式層服務,例如入侵偵測和防範。詳情請參閱「安全性設定檔總覽」。

安全性設定檔群組

安全性設定檔群組是安全性設定檔的容器。防火牆政策規則會參照安全性設定檔群組,在網路上啟用第 7 層檢查,例如入侵偵測和防範服務。詳情請參閱「安全性設定檔群組總覽」。

伺服器名稱指示

伺服器名稱指示 (SNI) 是 TLS 電腦網路通訊協定的擴充功能。SNI 可讓多個 HTTPS 網站共用 IP 和 TLS 憑證,因此更有效率且經濟實惠,因為您不需要為同一伺服器上的每個網站個別取得憑證。

標記

Google Cloud 資源階層 可將資源整理成樹狀結構。這個階層架構可協助您大規模管理資源,但只能模擬少數業務維度,包括機構架構、區域、工作負載類型和成本中心。階層架構缺乏彈性,無法將多個業務層面分層組合。

標記可為資源建立註解,在某些情況下,您還能將資源是否具備特定標記設為條件,並按照這項條件允許或拒絕政策。只要使用標記並依據條件強制執行政策,即可精細控管資源階層結構。

標記與聯播網標記不同。如要進一步瞭解標記和網路標記之間的差異,請參閱標記和網路標記比較

威脅情報

防火牆政策規則可根據威脅情資資料允許或封鎖流量,確保網路安全。威脅情報資料包括根據 Tor 出口節點、已知惡意 IP 位址、搜尋引擎和公有雲 IP 位址範圍列出的 IP 位址清單。詳情請參閱「防火牆政策規則的威脅情報」。

威脅特徵

特徵型威脅偵測是識別惡意行為最常用的機制之一,因此廣泛用於防範網路攻擊。Cloud NGFW 的威脅偵測功能是由 Palo Alto Networks 的威脅防護技術提供支援。詳情請參閱威脅簽章總覽

傳輸層安全標準檢查

Cloud NGFW 提供 TLS 攔截和解密服務,可檢查加密和未加密的流量,防範網路攻擊和中斷。系統會檢查連入和連出連線的 TLS 連線,包括往返網際網路的流量,以及 Google Cloud內的流量。

Cloud NGFW 會解密 TLS 流量,讓防火牆端點在您的網路中執行第 7 層檢查,例如入侵偵測與防範服務。檢查完畢後,Cloud NGFW 會重新加密流量,然後傳送至目的地。詳情請參閱「TLS 檢查總覽」。

防火牆標記

代碼也稱為安全代碼。您可以在全域網路防火牆政策和區域網路防火牆政策中,使用標記定義來源和目標。標記與網路標記不同。 網路標記是簡單的字串,不是鍵和值,也不提供任何存取權控管功能。如要進一步瞭解代碼和網路標記之間的差異,以及各項產品支援的標記類型,請參閱「代碼和網路標記比較」。

虛擬私有雲防火牆規則

虛擬私有雲防火牆規則可讓您在虛擬私有雲網路中,允許或拒絕來往 VM 執行個體的連線。系統一律會強制執行已啟用的虛擬私有雲防火牆規則,保護採用各種設定和作業系統的執行個體,即便執行個體未啟動亦然。這些規則適用於特定專案和聯播網。詳情請參閱虛擬私有雲防火牆規則

後續步驟