本页面介绍了 Cloud 新一代防火墙 (Cloud NGFW) 的价格。

Cloud NGFW 提供三个层级，每个层级的功能和特性各不相同：

• Cloud NGFW 基本功能版：免费提供的基础防火墙服务。此层级允许您根据标准网络属性（包括 IP 范围、端口和协议）创建规则。
• Cloud NGFW 标准版： 在基本版的基础上增加了完全限定域名 (FQDN) 对象和威胁情报等功能。
• Cloud NGFW Enterprise： 提供高级的第 7 层安全功能，例如入侵检测与防御服务 (IDPS) 和网址过滤。

系统会根据您在防火墙政策中使用的功能向您收费。

在防火墙政策中使用 Cloud NGFW Essentials 规则时，您无需支付任何费用。对于不需要高级检查的流量，我们建议您使用基本层级的功能。

当防火墙政策规则（包含 Cloud NGFW 标准功能）评估流量时，您需要支付数据处理费用。

数据处理费用适用于以下南北向流量：

• 从互联网到目标虚拟机实例的流量（入站）。
• 从目标虚拟机实例到互联网的流量（出站）。
• 数据处理按千兆字节 (GiB) 计量。
• 费用将计入执行防火墙政策评估的项目。对于共享 VPC 网络，费用将向宿主项目收取。

数据处理费用不适用于 Google Cloud 内资源之间的流量（东西向流量）或被基于代理的负载平衡器拦截的流量。

下表汇总了 Cloud 标准层级的价格。

当防火墙政策规则（包含 Cloud NGFW Enterprise 功能）评估流量流时，您需要根据以下组成部分支付额外费用：

• 每个已部署的防火墙端点按小时收费。
• 检查的流量按 GB 收费。

防火墙端点费用

您需要按小时为组织中部署的每个防火墙端点付费。由于防火墙端点是组织级资源，因此端点费用将向您的结算项目收取。

数据处理费用

Cloud NGFW 第 7 层安全功能检查的所有流量均会产生费用，包括给定流的双向流量。

• 数据处理费用将计入拥有防火墙政策的项目。
• 对于共享 VPC 网络，这些费用将向宿主项目收取。

注意：如果流量流由同时使用 Cloud NGFW Standard 和 Cloud NGFW Enterprise 功能的规则进行评估，则您只需支付 Cloud NGFW Enterprise 数据处理费用。该流的 Cloud NGFW 标准费用将免除。

下表总结了 Cloud 企业版的价格。

分层防火墙政策的定价取决于政策中的规则属性总数以及政策所适用的虚拟机 (VM) 实例数。规则属性是规则中的特定配置，例如 IP 地址范围、端口、协议或服务账号。

除了任何特定层级的数据处理费用外，分层防火墙政策还会产生自己的费用。价格按虚拟机和每月计算，具体取决于政策中所有规则的属性总数。

Virtual Private Cloud (VPC) 防火墙规则不收费。

如需了解防火墙数据分析的价格，请参阅 Network Intelligence Center 价格。

如需了解防火墙规则日志记录价格，请参阅 Network Telemetry 价格。

以下场景说明了 Cloud NGFW 定价如何适用于常见用例。

您正在使用 VPC 防火墙规则，并且想要升级到更现代的政策结构，同时又不想为额外功能付费。

解决方案：您可以将现有规则迁移到 Cloud NGFW Essentials 层。此层级包含 VPC 防火墙规则的所有功能，并免费提供地址组等更强大的功能。

费用：迁移工具和基本版功能的使用完全免费。

您想使用基于标记的免费规则来处理内部东西向流量，阻止标记为 Internal-VM 的特定虚拟机群组访问互联网，并对剩余的出站互联网流量应用高级规则。

解决方案： 您可以通过创建防火墙政策来实现此目的，该政策中的规则将按特定的优先级顺序进行处理：

1. 规则 1（优先级 1000，最高优先级）：创建 Cloud NGFW Essentials 防火墙规则来处理所有东西向流量。您还应使用 Internal-VM 标记来标记不面向互联网的虚拟机。
2. 规则 2（优先级 2000）：创建一条基于标记的基本规则，拒绝任何带有 Internal-VM 标记的虚拟机访问互联网。
3. 规则 3（优先级 3000）：创建一条规则，使用 Cloud NGFW 标准功能检查所有剩余的出站互联网流量。

费用： 您只需支付由最终防火墙规则（规则 3）评估的出站流量的处理费用。由于免费规则处理所有内部流量和被阻止的虚拟机，因此您的费用仅限于您明确发送以供检查的互联网出站流量。

您希望仅对进出生产数据库的流量应用高级 IDPS 规则，同时允许所有其他内部东西向流量免费通过。

解决方案：您可以通过创建防火墙政策来实现此目的，该政策会在一般流量规则之上叠加一条具有较高优先级的特定规则：

1. 规则 1（优先级 1000，最高优先级）：创建免费的 Cloud NGFW Essentials 规则，根据 IP 地址和标记处理大部分东西向流量。
2. 规则 2（优先级 2000）：您使用 Cloud NGFW Enterprise 创建一条优先级更高的特定规则。此规则配置为仅匹配具有 Database 目标标记和 valid-DB-client 源标记的流量，并将其操作设置为执行 IDPS 检查。

费用：您只需为发送以进行 IDPS 检查的精确流量支付 Cloud NGFW Enterprise 费用。这种基于标记的精细方法可确保您保护关键工作负载，而无需为检查内部网络上的每个数据包付费。

Cloud NGFW 会根据包含 Cloud NGFW 标准版或 Cloud NGFW 企业版层级中功能的规则评估的流量的数据处理量向您收费。无论规则允许还是拒绝流量，只要评估了规则，您就需要支付费用。例如，如果您启用标准地理位置规则，则该规则评估的所有流量都会向您收费，即使流量来自允许的国家/地区也是如此。

对于标准层级，您只需为从互联网到虚拟机实例的南北向流量（入站）以及从虚拟机实例到互联网的流量（出站）付费。对于企业级层，您需要为南北向流量和东西向流量（Google Cloud 内资源之间的流量）付费。

防火墙政策会根据规则优先级，针对规则评估流量。只要规则使用付费功能评估了给定的流量，就会产生费用。在典型的流量流中，首先，流量由使用 Cloud NGFW 基本功能版功能的规则处理。为了优化费用，您可以为基本版规则分配比付费层级规则更高的优先级。如果流量与 Essentials 规则不匹配，则会由使用 Cloud NGFW Standard 或 Cloud NGFW Enterprise 层级的功能的规则进行评估。

Cloud NGFW 不会针对同一流量流向您收取两次费用。例如，如果一个流量流同时由标准规则和企业规则评估，则您只需支付企业规则评估费用。

为了帮助您了解结算费用的计算方式，以下部分将介绍常见的防火墙政策场景。

在此场景中，您的政策同时使用了 Cloud NGFW 基本功能版和 Cloud NGFW 标准版层级中的免费功能和付费功能。在该政策中，Essentials 规则的优先级（优先级数值）高于 Standard 规则。

假设有 100 GB 的北-南流量（进出互联网的流量）进入您的网络，并按如下方式进行评估：

1. 50 GB 的流量会根据 Cloud NGFW Essential 规则进行评估。此处理过程是免费的。
2. 剩余的 50 GB 流量将继续执行政策中的下一条规则，该规则包含 Cloud NGFW 标准版功能。这 50 GB 流量按 Cloud NGFW 标准费率计费。

结算摘要：

• 标准计费流量：50 GB
• 总计费流量：50 GB

在此场景中，您的防火墙政策规则使用了免费功能，这些功能会触发 IDPS 检查的付费处理。在该政策中，基本规则的优先级（优先级编号）高于企业规则。

假设有 100 GB 的南北向流量进入您的网络，并按如下方式进行评估：

1. 50 GB 的流量会根据 Cloud NGFW Essential 规则进行评估。此处理过程是免费的。
2. 剩余的 50 GB 流量将继续匹配政策中的下一条规则。该规则包含企业功能，可将匹配的流量发送到 IDPS 进行检查。这 50 GB 流量按 Cloud NGFW Enterprise 费率计费。

结算摘要：

• 企业计费流量：50 GB
• 计费流量总计：50 GB + 端点部署费用

在此场景中，您的防火墙政策规则配置了所有三个层级的功能。在该政策中，Essentials 规则的优先级最高（优先级编号较低），其次是优先级较低的规则，该规则结合了企业版和标准版的功能。

假设有 100 GB 的南北向流量进入您的网络，并按如下方式进行评估：

1. 50 GB 的流量会根据 Cloud NGFW Essential 规则进行评估。此处理过程是免费的。
2. 剩余的 50 GB 流量将继续匹配政策中的下一个优先级较低的规则，该规则结合了 Cloud NGFW 企业版和 Cloud NGFW 标准版层级的功能。

如果单条规则使用了多个层级的功能，则流量按所用最高层级的费率计费。因此，这 50 GB 流量按 Cloud NGFW Enterprise 费率计费。

结算摘要：

• 企业计费流量：50 GB
• 计费流量总计：50 GB + 端点部署费用