Diese Seite enthält wichtige Begriffe für Cloud Next Generation Firewall. Schauen Sie sich diese Begriffe an, um mehr über die Funktionsweise von Cloud NGFW und die grundlegenden Konzepte zu erfahren.
Adressgruppen
Adressbereiche sind eine logische Sammlung von IPv4-Adressbereichen oder IPv6-Adressbereichen im CIDR-Format. Mit Adressgruppen können Sie konsistente Quellen oder Ziele definieren, auf die viele Firewallregeln verweisen. Weitere Informationen zu Adressgruppen finden Sie unter Adressgruppen für Firewallrichtlinien.
CIDR-Format
Das CIDR-Format (Classless Inter-Domain Routing) ist eine Methode zur Darstellung einer IP-Adresse und ihres Subnetzes. Sie ist eine Alternative zum Ausschreiben einer vollständigen Subnetzmaske. Sie besteht aus einer IP-Adresse, gefolgt von einem Schrägstrich (/) und einer Zahl. Die Zahl gibt die Anzahl der Bits in der IP-Adresse an, die den Netzwerkanteil definieren.
Cloud NGFW
Cloud Next Generation Firewall ist ein vollständig verteilter Firewalldienst mit erweiterten Schutzfunktionen, Mikrosegmentierung und umfassender Abdeckung, um Ihre Trusted Cloud by S3NS Arbeitslasten vor internen und externen Angriffen zu schützen. Cloud NGFW ist in zwei Stufen verfügbar: Cloud Next Generation Firewall Essentials und Cloud Next Generation Firewall Standard. Weitere Informationen finden Sie unter Cloud NGFW – Übersicht.
Cloud NGFW Essentials
Cloud Next Generation Firewall Essentials ist der grundlegende Firewalldienst von Trusted Cloud. Er umfasst Features und Funktionen wie globale Netzwerk-Firewallrichtlinien und regionale Netzwerk-Firewallrichtlinien, Identity and Access Management (IAM)-verwaltete Tags, Adressgruppen und VPC-Firewallregeln (Virtual Private Cloud). Weitere Informationen finden Sie unter Cloud NGFW Essentials – Übersicht.
Cloud NGFW Standard
Cloud NGFW Standard erweitert die Funktionen von Cloud NGFW Essentials, um erweiterte Funktionen zum Schutz Ihrer Cloud-Infrastruktur vor böswilligen Angriffen bereitzustellen.
Dazu gehören unter anderem FQDN-Objekte (voll qualifizierte Domainnamen) und Standortbestimmungs-Objekte in Firewallrichtlinien-Regeln.
Firewallregeln
Firewallregeln sind die Bausteine der Netzwerksicherheit. Eine Firewallregel steuert den eingehenden oder ausgehenden Traffic für eine VM-Instanz. Standardmäßig wird eingehender Traffic blockiert. Weitere Informationen finden Sie unter Firewallrichtlinien.
Logging von Firewallregeln
Durch das Logging der Firewallregeln können Sie deren Auswirkungen im Blick behalten, prüfen und analysieren. Beispielsweise lässt sich so feststellen, ob eine Firewallregel zum Ablehnen von Traffic wie vorgesehen funktioniert. Das Logging von Firewallregeln ist auch nützlich, wenn Sie ermitteln müssen, wie viele Verbindungen von einer bestimmten Firewallregel betroffen sind. Weitere Informationen finden Sie unter Logging von Firewallregeln.
Firewallrichtlinien
Mit Firewallrichtlinien lassen sich mehrere Firewallregeln gruppieren, sodass Sie sie alle auf einmal mit effektiver Steuerung über IAM-Rollen (Identity and Access Management) aktualisieren können. Es gibt drei Arten von Firewallrichtlinien: hierarchische Firewallrichtlinien, globale Netzwerk-Firewallrichtlinien und regionale Netzwerk-Firewallrichtlinien. Weitere Informationen finden Sie unter Firewallrichtlinien.
Firewallrichtlinien-Regeln
Beim Erstellen einer Firewallrichtlinienregel geben Sie eine Reihe von Komponenten an, die die Funktionsweise der Regel definieren. Diese Komponenten geben Merkmale für Trafficrichtung, Quelle, Ziel und Ebene 4 an, z. B. Protokoll und Zielport (wenn das Protokoll Ports verwendet). Diese Komponenten werden als Firewallrichtlinienregeln bezeichnet. Weitere Informationen finden Sie unter Firewallrichtlinien-Regeln.
FQDN-Objekte
Ein voll qualifizierter Domainname (FQDN) ist der vollständige Name einer bestimmten Ressource im Internet. Beispiel: cloud.google.com
. FQDN-Objekte in Firewallrichtlinien-Regeln filtern eingehenden oder ausgehenden Traffic von oder zu einem bestimmten Domainnamen. Basierend auf der Trafficrichtung werden die mit den Domainnamen verknüpften IP-Adressen der Quelle oder dem Ziel des Traffics zugeordnet. Weitere Informationen finden Sie unter FQDN-Objekte.
Standortobjekte
Verwenden Sie Standortobjekte in Firewallrichtlinien-Regeln, um externen IPv4- und externen IPv6-Traffic anhand bestimmter geografischer Standorte oder Regionen zu filtern. Sie können Standortobjekte zusammen mit anderen Quell- oder Zielfiltern verwenden. Weitere Informationen finden Sie unter Standortobjekte.
Globale Netzwerk-Firewallrichtlinien
Mit globalen Netzwerk-Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das für alle Regionen (global) gilt. Nachdem Sie eine globale Netzwerk-Firewallrichtlinie mit einem VPC-Netzwerk verknüpft haben, können die Regeln in der Richtlinie auf Ressourcen im VPC-Netzwerk angewendet werden. Informationen zu Spezifikationen und details für globalen Netzwerkfirewallrichtlinien finden Sie unter Globale Netzwerk-Firewallrichtlinien.
Hierarchische Firewallrichtlinien
Mit hierarchischen Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das auf viele VPC-Netzwerke in einem oder mehreren Projekten angewendet werden kann. Sie können hierarchische Firewallrichtlinien mit einer gesamten Organisation oder einzelnen Ordnern verknüpfen. Details und Spezifikationen zu hierarchischen Firewallrichtlinien finden Sie unter Hierarchische Firewallrichtlinien.
Identity and Access Management
Mit IAM vonTrusted Cloudkönnen Sie detaillierte Zugriffsberechtigungen auf bestimmte Trusted Cloud -Ressourcen gewähren und unerwünschten Zugriff auf andere Ressourcen verhindern. Sie haben mit IAM die Möglichkeit, das Sicherheitsprinzip der geringsten Berechtigung anzuwenden, das besagt, dass niemand mehr Berechtigungen haben sollte, als er tatsächlich benötigt. Weitere Informationen finden Sie in der IAM-Übersicht.
Implizierte Regeln
Jedes VPC-Netzwerk hat zwei implizierte IPv4-Firewallregeln. Wenn IPv6 in einem VPC-Netzwerk aktiviert ist, verfügt das Netzwerk außerdem über zwei implizite IPv6-Firewallregeln. Diese Regeln werden in derTrusted Cloud Console nicht angezeigt.
Die implizierten IPv4-Firewallregeln gelten für alle VPC-Netzwerke, unabhängig davon, wie die Netzwerke erstellt wurden und ob sie sich im automatischen oder benutzerdefinierten Modus befinden. Das default-Netzwerk hat die gleichen implizierten Regeln. Weitere Informationen finden Sie unter Implizierte Regeln.
Netzwerk-Firewallrichtlinien
Mit Netzwerk-Firewallrichtlinien, die auch als Firewallrichtlinien bezeichnet werden, können Sie mehrere Firewallregeln gruppieren, um sie alle gleichzeitig zu aktualisieren. Die Steuerung erfolgt durch IAM-Rollen. Diese Richtlinien enthalten Regeln, die Verbindungen explizit ablehnen oder zulassen, wie VPC-Firewallregeln. Dazu gehören globale und regionale Netzwerk-Firewallrichtlinien. Weitere Informationen finden Sie unter Firewallrichtlinien.
Netzwerk-Tags
Ein Netzwerk-Tag ist ein Zeichenstring, der einem „tags“-Feld in einer Ressource wie Compute Engine-VM-Instanzen oder Instanzvorlagen hinzugefügt wird. Da ein Tag keine separate Ressource ist, können Sie es auch nicht separat erstellen. Alle Ressourcen mit diesem String haben dieses Tag. Mit Tags können Sie VPC-Firewallregeln und -routen für bestimmte VM-Instanzen festlegen.
Übernahme von Richtlinien
Standardmäßig werden Organisationsrichtlinien von den Nachfolgerelementen der Ressourcen übernommen, für die Sie die Richtlinie erzwingen. Wenn Sie beispielsweise eine Richtlinie für einen Ordner erzwingen, erzwingt Trusted Cloud die Richtlinie für alle Projekte in dem Ordner. Weitere Informationen zu diesem Verhalten und zu dessen Änderung finden Sie unter Regeln für die Evaluierung der Hierarchie.
Priorität
Die Priorität einer Regel in einer Firewallrichtlinie ist eine Ganzzahl von 0 bis einschließlich 2.147.483.647. Niedrigere Werte bedeuten eine höhere Priorität. Weitere Informationen finden Sie unter Priorität.
Regionale Netzwerk-Firewallrichtlinien
Mit regionalen Netzwerk-Firewallrichtlinien können Sie Regeln in einem Richtlinienobjekt gruppieren, das für eine bestimmte Region gilt. Nachdem Sie eine regionale Netzwerk-Firewallrichtlinie mit einem VPC-Netzwerk verknüpft haben, können die Regeln in der Richtlinie auf Ressourcen in dieser Region des VPC-Netzwerks angewendet werden. Weitere Informationen zu regionalen Firewallrichtlinien finden Sie unter Regionale Netzwerk-Firewallrichtlinien.
Server Name Indication
Server Name Indication (SNI) ist eine Erweiterung des TLS-Protokolls (Transport Layer Security). Mit SNI können sich mehrere HTTPS-Websites eine IP-Adresse und ein TLS-Zertifikat teilen. Das ist effizienter und kostengünstiger, da Sie nicht für jede Website auf demselben Server ein eigenes Zertifikat benötigen.
Tags
Mit der Trusted Cloud Ressourcenhierarchie können Sie Ihre Ressourcen in einer Baumstruktur organisieren. Diese Hierarchie hilft Ihnen, Ressourcen in großem Maßstab zu verwalten, aber sie modelliert nur wenige Geschäftsdimensionen, darunter Organisationsstruktur, Regionen, Arbeitslasttypen und Kostenstellen. Der Hierarchie fehlt die Flexibilität, mehrere Geschäftsdimensionen miteinander zu verbinden.
Mit Tags können Sie Annotationen für Ressourcen erstellen und in einigen Fällen Richtlinien je nachdem, ob eine Ressource ein bestimmtes Tag hat, zulassen oder ablehnen. Sie können Tags und eine bedingte Durchsetzung von Richtlinien verwenden, um Ihre Ressourcenhierarchie genau zu steuern.
Tags unterscheiden sich von Netzwerktags. Weitere Informationen zu den Unterschieden zwischen Tags und Netzwerktags finden Sie unter Vergleich von Tags und Netzwerktags.
Tags für Firewalls
Tags werden auch als sichere Tags bezeichnet. Mit Tags können Sie Quellen und Ziele in globalen Netzwerk-Firewallrichtlinien und regionalen Netzwerk-Firewallrichtlinien definieren. Tags unterscheiden sich von Netzwerk-Tags. Netzwerktags sind einfache Strings, keine Schlüssel und Werte, und bieten keine Art der Zugriffssteuerung. Weitere Informationen zu den Unterschieden zwischen Tags und Netzwerktags und den jeweils unterstützten Produkten finden Sie unter Vergleich von Tags und Netzwerktags.
VPC-Firewallregeln
Mit VPC Firewallregeln können Sie Verbindungen zu oder von VM-Instanzen in Ihrem VPC-Netzwerk zulassen oder ablehnen. Aktivierte VPC-Firewallregeln werden immer erzwungen. Sie schützen Ihre Instanzen unabhängig von ihrer Konfiguration und ihrem Betriebssystem, selbst wenn sie nicht gestartet wurden. Diese Regeln gelten für ein bestimmtes Projekt und Netzwerk. Weitere Informationen finden Sie unter VPC-Firewallregeln.
Nächste Schritte
- Konzeptionelle Informationen zu Cloud NGFW finden Sie unter Cloud NGFW – Übersicht.
- Konzeptionelle Informationen zu Firewallrichtlinienregeln finden Sie unter Firewallrichtlinien-Regeln.
- Informationen zum Erstellen, Aktualisieren, Überwachen oder Löschen von VPC-Firewallregeln finden Sie unter VPC-Firewallregeln verwenden.