Diese Seite enthält wichtige Begriffe für Cloud Next Generation Firewall. Schauen Sie sich diese Begriffe an, um mehr über die Funktionsweise von Cloud NGFW und die grundlegenden Konzepte zu erfahren.
Adressgruppen
Adressbereiche sind eine logische Sammlung von IPv4-Adressbereichen oder IPv6-Adressbereichen im CIDR-Format. Mit Adressgruppen können Sie konsistente Quellen oder Ziele definieren, auf die viele Firewallregeln verweisen. Weitere Informationen zu Adressgruppen finden Sie unter Adressgruppen für Firewallrichtlinien.
CIDR-Format
Das Format oder die Notation mit Classless Inter-Domain Routing (CIDR) ist eine Methode zur Darstellung einer IP-Adresse und ihres Subnetzes. Das ist eine Alternative zum Schreiben einer ganzen Subnetzmaske. Sie besteht aus einer IP-Adresse, gefolgt von einem Schrägstrich (/) und einer Zahl. Die Zahl gibt die Anzahl der Bits in der IP-Adresse an, die den Netzwerkteil definieren.
Cloud NGFW
Cloud Next Generation Firewall ist ein vollständig verteilter Firewalldienst mit erweiterten Schutzfunktionen, Mikrosegmentierung und umfassender Abdeckung, um Ihre Google Cloud-Arbeitslasten vor internen und externen Angriffen zu schützen. Cloud NGFW ist in drei Ebenen verfügbar: Cloud Next Generation Firewall Essentials, Cloud Next Generation Firewall Standard und Cloud Next Generation Firewall Enterprise. Weitere Informationen finden Sie in der Übersicht zu Cloud NGFW.
Cloud NGFW Essentials
Cloud Next Generation Firewall Essentials ist der grundlegende Firewalldienst, der von Google Cloud angeboten wird. Er umfasst Features und Funktionen wie globale Netzwerk-Firewallrichtlinien und regionale Netzwerk-Firewallrichtlinien, Identity and Access Management (IAM)-verwaltete Tags, Adressgruppen und VPC-Firewallregeln (Virtual Private Cloud). Weitere Informationen finden Sie in der Übersicht zu Cloud NGFW Essentials.
Cloud NGFW Enterprise
Cloud Next Generation Firewall Enterprise der nächsten Generation bietet erweiterte Layer-7-Sicherheitsfunktionen, die Ihre Google Cloud-Arbeitslasten vor Bedrohungen und böswilligen Angriffen schützen. Es umfasst den Einbruchsprävention mit TLS-Interception und -Entschlüsselung (Transport Layer Security), die Bedrohungserkennung und Schutz vor Malware, Spyware und Command-and-Control-Angriffe in Ihrem Netzwerk bietet.
Cloud NGFW Standard
Cloud NGFW Standard erweitert die Features von Cloud NGFW Essentials um erweiterte Funktionen zum Schutz Ihrer Cloud-Infrastruktur vor böswilligen Angriffen. Dazu gehören unter anderem Threat Intelligence für Firewallrichtlinien-Regeln, FQDN-Objekte (voll qualifizierte Domainnamen) und Standortbestimmungs-Objekte in Firewallrichtlinien-Regeln.
Firewall-Endpunkt
Ein Firewall-Endpunkt ist eine Cloud NGFW Firewall-Ressource, die erweiterte Layer-7-Sicherheitsfunktionen wie die Einbruchsprävention in Ihrem Netzwerk ermöglicht. Weitere Informationen finden Sie unter Firewall-Endpunkte.
Firewallregeln
Firewallregeln sind die Bausteine der Netzwerksicherheit. Eine Firewallregel steuert den eingehenden oder ausgehenden Traffic an eine VM-Instanz. Standardmäßig wird eingehender Traffic blockiert. Weitere Informationen finden Sie unter Firewallrichtlinien.
Logging von Firewallregeln
Durch das Logging der Firewallregeln können Sie deren Auswirkungen im Blick behalten, prüfen und analysieren. Beispielsweise lässt sich so feststellen, ob eine Firewallregel zum Ablehnen von Traffic wie vorgesehen funktioniert. Das Logging von Firewallregeln ist auch nützlich, wenn Sie ermitteln müssen, wie viele Verbindungen von einer bestimmten Firewallregel betroffen sind. Weitere Informationen finden Sie unter Logging von Firewallregeln.
Firewallrichtlinien
Mit Firewallrichtlinien können Sie mehrere Firewallregeln gruppieren, um sie alle gleichzeitig zu aktualisieren. Die Steuerung erfolgt durch IAM-Rollen. Firewallrichtlinien gibt es in drei Typen: hierarchische Firewallrichtlinien, globale Netzwerk-Firewallrichtlinien und regionale Netzwerk-Firewallrichtlinien. Weitere Informationen finden Sie unter Firewallrichtlinien.
Firewallrichtlinien-Regeln
Beim Erstellen einer Firewallrichtlinienregel geben Sie eine Reihe von Komponenten an, die die Funktionsweise der Regel definieren. Diese Komponenten geben Merkmale für Trafficrichtung, Quelle, Ziel und Ebene 4 an, z. B. Protokoll und Zielport (wenn das Protokoll Ports verwendet). Diese Komponenten werden als Firewallrichtlinienregeln bezeichnet. Weitere Informationen finden Sie unter Firewallrichtlinien-Regeln.
FQDN-Objekte
Ein vollständig qualifizierter Domainname (FQDN) ist der vollständige Name einer bestimmten Ressource im Internet. Beispiel: cloud.google.com. FQDN-Objekte in Firewallrichtlinien-Regeln filtern eingehenden oder ausgehenden Traffic von oder zu einem bestimmten Domainnamen. Basierend auf der Trafficrichtung werden die mit den Domainnamen verknüpften IP-Adressen der Quelle oder dem Ziel des Traffics zugeordnet. Weitere Informationen finden Sie unter FQDN-Objekte.
Standortobjekte
Verwenden Sie Standortobjekte in Firewallrichtlinien-Regeln, um externen IPv4- und externen IPv6-Traffic anhand bestimmter geografischer Standorte oder Regionen zu filtern. Sie können Standortobjekte zusammen mit anderen Quell- oder Zielfiltern verwenden. Weitere Informationen finden Sie unter Standortobjekte.
Globale Netzwerk-Firewallrichtlinien
Mit globalen Netzwerk-Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das für alle Regionen (global) gilt. Nachdem Sie eine globale Netzwerk-Firewallrichtlinie mit einem VPC-Netzwerk verknüpft haben, können die Regeln in der Richtlinie auf Ressourcen im VPC-Netzwerk angewendet werden. Informationen zu Spezifikationen und details für globalen Netzwerkfirewallrichtlinien finden Sie unter Globale Netzwerk-Firewallrichtlinien.
Hierarchische Firewallrichtlinien
Mit hierarchischen Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das für viele VPC-Netzwerke in einem oder mehreren Projekten gelten kann. Sie können hierarchische Firewallrichtlinien mit einer gesamten Organisation oder einzelnen Ordnern verknüpfen. Details und Spezifikationen zu hierarchischen Firewallrichtlinien finden Sie unter Hierarchische Firewallrichtlinien.
Identity and Access Management
Mit IAM von Google Cloud können Sie detaillierte Zugriffsberechtigungen auf bestimmte Ressourcen von Google Cloud gewähren und unerwünschten Zugriff auf andere Ressourcen verhindern. Sie haben mit IAM die Möglichkeit, das Sicherheitsprinzip der geringsten Berechtigung anzuwenden, das besagt, dass niemand mehr Berechtigungen haben sollte, als er tatsächlich benötigt. Weitere Informationen finden Sie in der IAM-Übersicht.
Implizierte Regeln
Jedes VPC-Netzwerk hat zwei implizierte IPv4-Firewallregeln. Wenn IPv6 in einem VPC-Netzwerk aktiviert ist, verfügt das Netzwerk außerdem über zwei implizite IPv6-Firewallregeln. Diese Regeln werden in der Google Cloud Console nicht angezeigt.
Die implizierten IPv4-Firewallregeln gelten für alle VPC-Netzwerke, unabhängig davon, wie die Netzwerke erstellt wurden und ob sie sich im automatischen oder benutzerdefinierten Modus befinden. Das default-Netzwerk hat die gleichen implizierten Regeln. Weitere Informationen finden Sie unter Implizierte Regeln.
Dienst zur Angriffsverhinderung
Der Cloud NGFW-Dienst zur Einbruchsprävention sorgt dafür, dass Ihr Google Cloud-Arbeitslast-Traffic kontinuierlich auf schädliche Aktivitäten überwacht wird, und ergreift präventive Maßnahmen zu deren Vermeidung. Zu den schädlichen Aktivitäten gehören Bedrohungen wie Einbrüche, Malware, Spyware und Command-and-Control-Angriffe in Ihrem Netzwerk. Weitere Informationen finden Sie unter Dienst zur Einbruchsprävention.
Netzwerk-Firewallrichtlinien
Mit Netzwerk-Firewallrichtlinien, die auch als Firewallrichtlinien bezeichnet werden, können Sie mehrere Firewallregeln gruppieren, um sie alle gleichzeitig zu aktualisieren. Die Steuerung erfolgt durch IAM-Rollen. Diese Richtlinien enthalten Regeln, die Verbindungen explizit ablehnen oder zulassen, wie VPC-Firewallregeln. Dazu gehören globale und regionale Netzwerk-Firewallrichtlinien. Weitere Informationen finden Sie unter Firewallrichtlinien.
Netzwerk-Tags
Ein Netzwerk-Tag ist ein Zeichenstring, der einem Tag-Feld in einer Ressource wie Compute Engine-VM-Instanzen oder Instanzvorlagen hinzugefügt wird. Da ein Tag keine separate Ressource ist, können Sie es auch nicht separat erstellen. Alle Ressourcen mit diesem String haben dieses Tag. Mit Tags können Sie VPC-Firewallregeln und -routen für bestimmte VM-Instanzen festlegen.
Paketspiegelung
Bei der Paketspiegelung wird Traffic bestimmter VM-Instanzen in Ihrem VPC-Netzwerk geklont und der Traffic zur Prüfung weitergeleitet. Bei der Paketspiegelung werden alle Traffic- und Paketdaten erfasst, einschließlich Nutzlasten und Header. Sie können die Erfassung sowohl für ausgehenden als auch für eingehenden Traffic, nur für eingehenden Traffic oder nur für ausgehenden Traffic konfigurieren. Die Paketspiegelung ist nützlich, wenn Sie den Sicherheitsstatus beobachten und analysieren müssen. Es wird der gesamte Traffic exportiert, nicht nur der Traffic zwischen den Sampling-Zeiträumen.
Übernahme von Richtlinien
Standardmäßig werden Organisationsrichtlinien von den Nachfolgerelementen der Ressourcen übernommen, für die Sie die Richtlinie erzwingen. Wenn Sie beispielsweise eine Richtlinie für einen Ordner erzwingen, erzwingt Google Cloud die Richtlinie für alle Projekte in dem Ordner. Weitere Informationen zu diesem Verhalten und zu dessen Änderung finden Sie unter Regeln für die Evaluierung der Hierarchie.
Priorität
Die Priorität einer Regel in einer Firewallrichtlinie ist eine Ganzzahl von 0 bis einschließlich 2.147.483.647. Niedrigere Werte bedeuten eine höhere Priorität. Weitere Informationen finden Sie unter Priorität.
Regionale Netzwerk-Firewallrichtlinien
Mit regionalen Netzwerk-Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das für eine bestimmte Region gilt. Nachdem Sie eine regionale Netzwerk-Firewallrichtlinie mit einem VPC-Netzwerk verknüpft haben, können die Regeln in der Richtlinie für Ressourcen innerhalb dieser Region des VPC-Netzwerks gelten. Weitere Informationen zu regionalen Firewallrichtlinien finden Sie unter Regionale Netzwerk-Firewallrichtlinien.
Sichere Profile
Mit sicheren Profilen oder Sicherheitsprofilen können Sie die Layer-7-Prüfungsrichtlinie für Ihre Google Cloud-Ressourcen definieren. Es sind allgemeine Richtlinienstrukturen, die von Firewall-Endpunkten verwendet werden, um abgefangenen Traffic zu scannen und Dienste auf Anwendungsebene bereitzustellen, z. B. zur Einbruchsprävention. Weitere Informationen finden Sie unter Sicherheitsprofil – Übersicht.
Sicherheitsprofilgruppen
Eine Sicherheitsprofilgruppe ist ein Container für Sicherheitsprofile. Eine Firewallrichtlinienregel verweist auf eine Sicherheitsprofilgruppe, um die Layer-7-Prüfung wie die Einbruchsprävention in Ihrem Netzwerk zu aktivieren. Weitere Informationen finden Sie unter Sicherheitsprofilgruppe – Übersicht.
Server Name Indication
Server Name Indication (SNI) ist eine Erweiterung des TLS-Computernetzwerkprotokolls. Mit SNI können mehrere HTTPS-Standorte ein IP- und ein TLS-Zertifikat gemeinsam nutzen. Dies ist effizienter und kostengünstiger, da Sie nicht für jede Website auf demselben Server einzelne Zertifikate benötigen.
Tags
Mit der Google Cloud -Ressourcenhierarchie können Sie Ihre Ressourcen in einer Baumstruktur organisieren. Mit dieser Hierarchie können Sie Ressourcen in großem Maßstab verwalten, aber nur wenige Geschäftsdimensionen modellieren, einschließlich Organisationsstruktur, Regionen, Arbeitslasttypen und Kostenstellen. Der Hierarchie fehlt die Flexibilität, mehrere Geschäftsdimensionen miteinander zu verbinden.
Mit Tags können Sie Annotationen für Ressourcen erstellen und in einigen Fällen Richtlinien abhängig davon zulassen oder ablehnen, ob eine Ressource ein bestimmtes Tag hat. Sie können Tags und eine bedingte Durchsetzung von Richtlinien verwenden, um Ihre Ressourcenhierarchie genau zu steuern.
Tags unterscheiden sich von Netzwerktags. Weitere Informationen zu den Unterschieden zwischen Tags und Netzwerktags finden Sie unter Vergleich von Tags und Netzwerktags.
Threat Intelligence
Mit Firewallrichtlinien-Regeln können Sie Ihr Netzwerk sichern, indem Sie Traffic auf der Grundlage von Threat Intelligence-Daten zulassen oder blockieren. Threat Intelligence-Daten enthalten Listen mit IP-Adressen, die auf den Tor-Ausgangsknoten, bekannten schädlichen IP-Adressen, Suchmaschinen und IP-Adressbereichen der öffentlichen Cloud basieren. Weitere Informationen finden Sie unter Threat Intelligence für Firewallrichtlinien-Regeln.
Bedrohungssignatur
Die signaturbasierte Bedrohungserkennung ist eine der am häufigsten verwendeten Methoden zur Identifizierung von böswilligem Verhalten. Sie wird daher häufig genutzt, um Netzwerkangriffe zu verhindern. Die Cloud NGFW-Funktionen zur Bedrohungserkennung basieren auf den Technologien zur Bedrohungsvermeidung von Palo Alto Networks. Weitere Informationen finden Sie unter Bedrohungssignaturen.
Transport Layer Security-Prüfung
Cloud NGFW bietet einen TLS-Abfang- und -Entschlüsselungsdienst, der verschlüsselten und unverschlüsselten Traffic auf Netzwerkangriffe und Störungen untersuchen kann. TLS-Verbindungen werden sowohl für eingehende als auch für ausgehende Verbindungen geprüft, einschließlich Traffic zum und vom Internet und Traffic innerhalb von Google Cloud.
Cloud NGFW entschlüsselt den TLS-Traffic, damit der Firewall-Endpunkt die Layer-7-Prüfung wie die Einbruchsprävention in Ihrem Netzwerk ausführen kann. Nach der Prüfung verschlüsselt Cloud NGFW den Traffic neu, bevor er an sein Ziel gesendet wird. Weitere Informationen finden Sie unter TLS-Prüfung.
Tags für Firewall
Tags werden auch als sichere Tags bezeichnet. Mit Tags können Sie Quellen und Ziele in globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien definieren. Tags unterscheiden sich von Netzwerktags. Netzwerktags sind einfache Strings, keine Schlüssel und Werte, und bieten keine Art der Zugriffssteuerung. Weitere Informationen zu den Unterschieden zwischen Tags und Netzwerktags und den jeweils unterstützten Produkten finden Sie unter Vergleich von Tags und Netzwerktags.
VPC-Firewallregeln
Mit VPC Firewallregeln können Sie Verbindungen zu oder von VM-Instanzen in Ihrem VPC-Netzwerk zulassen oder ablehnen. Aktivierte VPC-Firewallregeln werden immer erzwungen. Sie schützen Ihre Instanzen unabhängig von ihrer Konfiguration und ihrem Betriebssystem, selbst wenn sie nicht gestartet wurden. Diese Regeln gelten für ein bestimmtes Projekt und Netzwerk. Weitere Informationen finden Sie unter VPC-Firewallregeln.
Nächste Schritte
- Konzeptionelle Informationen zu Cloud NGFW finden Sie unter Cloud NGFW – Übersicht.
- Konzeptionelle Informationen zu Firewallrichtlinienregeln finden Sie unter Firewallrichtlinien-Regeln.
- Informationen zum Erstellen, Aktualisieren, Überwachen oder Löschen von VPC-Firewallregeln finden Sie unter VPC-Firewallregeln verwenden.
- Informationen zum Ermitteln der Kosten finden Sie unter Cloud NGFW – Preise.