本页面提供适用于 Cloud 新一代防火墙的关键术语。请查看这些术语,以更好地了解 Cloud NGFW 的工作原理及其基础概念。
地址组
地址组是采用 CIDR 格式的 IPv4 地址范围或 IPv6 地址范围的逻辑集合。您可以使用地址组来定义许多防火墙规则引用的一致来源或目标。如需详细了解地址组,请参阅防火墙政策的地址组。
CIDR 格式
无类别域间路由 (CIDR) 格式或表示法是一种表示 IP 地址及其子网的方法。这种方法是写出整个子网掩码的替代方案。它由 IP 地址、正斜线 (/) 和一个数字组成。该数字表示 IP 地址中定义网段的位数。
Cloud NGFW
Cloud 新一代防火墙是一种完全分布式的防火墙服务,具有高级保护功能、微细分和广泛的覆盖范围,可保护您的 Google Cloud 工作负载免遭内部和外部攻击。Cloud NGFW 分为三个层级:Cloud 新一代防火墙基本功能版、Cloud 新一代防火墙标准版和 Cloud 新一代防火墙企业版。如需了解详情,请参阅 Cloud NGFW 概览。
Cloud NGFW 基本功能版
Cloud 新一代防火墙基本功能版是 Google Cloud 提供的基础防火墙服务。它包括全球网络防火墙政策和区域级网络防火墙政策、Identity and Access Management (IAM) 治理的标记、地址组和 Virtual Private Cloud (VPC) 防火墙规则等特性和功能。如需了解详情,请参阅 Cloud NGFW 基本功能版概览。
Cloud NGFW 企业版
Cloud 新一代防火墙企业版提供高级的第 7 层安全功能,可保护您的 Google Cloud 工作负载免遭威胁和恶意攻击。 它提供具有传输层安全协议 (TLS) 拦截和解密功能的入侵防御服务,可为网络检测威胁并防御恶意软件、间谍软件和“命令和控制”攻击。
Cloud NGFW 标准版
Cloud NGFW 标准版扩展了 Cloud NGFW 基本功能版功能,以提供增强功能来保护您的云基础架构,使其免遭恶意攻击。 它包括防火墙政策规则的威胁情报,以及防火墙政策规则中的完全限定域名 (FQDN) 对象和地理位置对象等特性和功能。
防火墙端点
防火墙端点是一种 Cloud NGFW 资源,可在网络中启用第 7 层高级保护功能(例如入侵防御)。如需了解详情,请参阅防火墙端点概览。
防火墙规则
防火墙规则是网络安全的基础组件。防火墙规则控制传入或传出虚拟机实例的流量。默认情况下,传入流量会被屏蔽。如需了解详情,请参阅防火墙政策。
防火墙规则日志记录
通过防火墙规则日志记录,您可以审核、验证和分析防火墙规则所带来的影响。例如,您可以确定用于拒绝流量的防火墙规则是否如期发挥作用。如果您需要确定特定防火墙规则影响的连接数,防火墙规则日志记录也非常有用。如需了解详情,请参阅防火墙规则日志记录。
防火墙政策
利用防火墙政策,您可对多条防火墙规则进行分组,从而能够一次性更新所有这些规则,通过 IAM 角色进行有效控制。防火墙政策有三种类型:分层防火墙政策、全球网络防火墙政策和区域级网络防火墙政策。如需了解详情,请参阅防火墙政策。
防火墙政策规则
创建防火墙政策规则时,您需要指定一组定义规则的作用的组件。这些组件指定流量方向、来源、目的地和第 4 层特征,例如协议和目的地端口(如果协议使用端口)。 这些组件称为防火墙政策规则。如需了解详情,请参阅防火墙政策规则。
FQDN 对象
完全限定域名 (FQDN) 是互联网上特定资源的完整名称。例如 cloud.google.com
。防火墙政策规则中的 FQDN 对象会过滤进出特定域名的传入或传出流量。根据流量方向,与域名关联的 IP 地址会与流量的来源或目标进行匹配。如需了解详情,请参阅 FQDN 对象。
地理位置对象
在防火墙政策规则中使用地理位置对象,以根据特定的地理位置或区域过滤外部 IPv4 和外部 IPv6 流量。 您可以使用地理位置对象以及其他来源或目标过滤条件。如需了解详情,请参阅地理位置对象。
全球网络防火墙政策数量
通过全球网络防火墙政策,您可以将规则分组到适用于所有区域(全球)的政策对象。将全球网络防火墙政策与 VPC 网络关联后,政策中的规则可以应用于 VPC 网络中的资源。 如需了解全球网络防火墙政策规范和详细信息,请参阅全球网络防火墙政策。
分层防火墙政策
分层防火墙政策可让您将规则分组到政策对象中,该对象可应用于一个或多个项目中的许多 VPC 网络。您可以将分层防火墙政策与整个组织或单个文件夹关联。如需了解分层防火墙政策规范和详细信息,请参阅分层防火墙政策。
Identity and Access Management
借助 Google Cloud 的 IAM,您可以授予对特定 Google Cloud 资源的精细访问权限,并防止对其他资源的访问。借助 IAM,您可以采用最小权限安全原则,该原则要求任何人都不应拥有超出实际所需数量的权限。 如需了解详情,请参阅 IAM 概览。
隐式规则
每个 VPC 网络都有两条隐式 IPv4 防火墙规则。 如果在 VPC 网络中启用了 IPv6,则该网络还具有两条隐式 IPv6 防火墙规则。这些规则不会显示在 Google Cloud 控制台中。
隐式 IPv4 防火墙规则存在于所有 VPC 网络中,无论 VPC 网络是如何创建的,也无论 VPC 网络是自动模式还是自定义模式。默认网络具有相同的隐式规则。如需了解详情,请参阅隐式规则。
入侵防御服务
Cloud NGFW 入侵防御服务会持续监控 Google Cloud 工作负载流量以检测恶意活动,并执行抢占式操作来防范威胁。恶意活动可能包括网络上的入侵、恶意软件、间谍软件和“命令和控制”攻击等威胁。如需了解详情,请参阅入侵防御服务概览。
网络防火墙政策
通过网络防火墙政策(也称为防火墙政策),您可以对多条防火墙规则进行分组,从而能够一次性更新所有这些防火墙规则(通过 IAM 角色进行有效控制)。这些政策包含可以明确拒绝或允许连接的规则,VPC 防火墙规则也是如此。这包括全球和区域级网络防火墙政策。如需了解详情,请参阅防火墙政策。
网络标记
网络标记是添加到资源(例如 Compute Engine 虚拟机实例或实例模板)中的标记字段的字符串。标记不是单独的资源,因此无法单独创建它。具有该字符串的所有资源都被视为具有该标记。标记可让您将 VPC 防火墙规则和路由应用于特定虚拟机实例。
数据包镜像
数据包镜像会克隆 VPC 网络中特定虚拟机实例的流量,并将其转发以供检查。数据包镜像可捕获所有流量和数据包数据,包括载荷和标头。您可以配置为捕获出站流量和入站流量、仅捕获入站流量或仅捕获出站流量。当您需要监控和分析安全状态时,数据包镜像非常有用。它会导出所有流量,而不仅仅是采样期间的流量。
政策继承
如果您对资源强制执行政策,默认情况下,该资源的后代会继承组织政策。例如,如果您对某个文件夹强制执行一项政策,Google Cloud 会对该文件夹中的所有项目强制执行该政策。如需详细了解此行为及其更改方式,请参阅层次结构评估规则。
优先级
防火墙政策中规则的优先级是 0 到 2,147,483,647(含)之间的整数。数字越小,优先级越高。 如需了解详情,请参阅优先级。
区域级网络防火墙政策数量
通过区域级网络防火墙政策,您可以将规则分组到适用于特定区域的政策对象中。将区域级网络防火墙政策与 VPC 网络关联后,该政策中的规则可以应用于 VPC 网络中该区域的资源。如需了解区域级防火墙政策规范和详细信息,请参阅区域级网络防火墙政策。
安全配置文件
安全配置文件可帮助您为 Google Cloud 资源定义第 7 层检查政策。它们是通用政策结构,防火墙端点使用它们来扫描拦截的流量以提供应用层服务,例如入侵防御。 如需了解详情,请参阅安全配置文件概览。
安全配置文件组
安全配置文件组是安全配置文件的容器。防火墙政策规则引用安全配置文件组,以在网络上启用第 7 层检查,例如入侵防御。如需了解详情,请参阅安全配置文件组概览。
服务器名称指示
服务器名称指示 (SNI) 是对 TLS 计算机网络协议的扩展。SNI 允许多个 HTTPS 网站共享 IP 和 TLS 证书,这种方式更加高效且经济实惠,因为您不需要为同一服务器上的每个网站分别使用单独的证书。
标记
Google Cloud 资源层次结构是一种将资源整理成树结构的方法。此层次结构可帮助您大规模管理资源,但它仅可建立少量业务维度的模型,包括组织结构、区域、工作负载类型和成本中心。层次结构缺乏将多个业务维度层叠放置的灵活性。
标记提供了一种为资源创建注解的方法,在某些情况下,可以根据资源是否有特定标记,有条件地允许或拒绝政策。您可以使用标记并有条件地执行政策,以便在资源层次结构内进行精细控制。
标记与网络标记不同。如需详细了解标记和网络标记之间的区别,请参阅标记和网络标记对比。
威胁情报
防火墙政策规则允许您根据威胁情报数据允许或阻止流量,从而保护您的网络。威胁情报数据包括基于 Tor 退出节点、已知恶意 IP 地址、搜索引擎和公有云 IP 地址范围的 IP 地址列表。如需了解详情,请参阅防火墙政策规则的威胁情报。
威胁签名
基于签名的威胁检测是识别恶意行为的最常用机制之一,因此广泛用于防范网络攻击。Cloud NGFW 的威胁检测功能由 Palo Alto Networks 威胁防御技术提供支持。如需了解详情,请参阅威胁签名概览。
传输层安全协议检查
Cloud NGFW 提供 TLS 拦截和解密服务,用于检查加密和未加密的流量是否存在网络攻击和中断。该服务会检查入站和出站连接(包括进出互联网的流量以及 Google Cloud 中的流量)上的 TLS 连接。
Cloud NGFW 会解密 TLS 流量,以让防火墙端点在您的网络中执行第 7 层检查,例如入侵防御。检查完成后,Cloud NGFW 会重新加密流量,然后将其发送到目标。如需了解详情,请参阅 TLS 检查概览。
防火墙标记
标记也称为安全标记。标记可让您在全球网络防火墙政策和区域级网络防火墙政策中定义来源和目标。标记与网络标记不同。网络标记是简单的字符串,而不是键和值,不提供任何类型的访问权限控制。如需详细了解标记和网络标记之间的区别以及支持这两种标记的产品,请参阅标记与网络标记的比较。
VPC 防火墙规则
VPC 防火墙规则可让您允许或拒绝传入或传出 VPC 网络中的虚拟机实例的连接。无论实例的配置和操作系统如何,也无论它们是否已启动,系统始终会实施已启用的 VPC 防火墙规则来保护您的实例。这些规则适用于给定的项目和网络。如需了解详情,请参阅 VPC 防火墙规则。
后续步骤
- 如需了解 Cloud NGFW 的概念信息,请参阅 Cloud NGFW 概览。
- 如需了解防火墙政策规则的概念信息,请参阅防火墙政策规则。
- 如需创建、更新、监控或删除 VPC 防火墙规则,请参阅使用 VPC 防火墙规则。
- 如需确定费用,请参阅 Cloud NGFW 价格。