重要詞彙

本頁提供適用於 Cloud Next Generation Firewall 的重要術語。請詳閱這些字詞,進一步瞭解 Cloud NGFW 的運作方式和基礎概念。

位址群組

位址群組是 IPv4 位址範圍或 IPv6 位址範圍的邏輯集合,格式為 CIDR。您可以使用位址群組定義多個防火牆規則參照的一致來源或目的地。如要進一步瞭解位址群組,請參閱防火牆政策的位址群組

CIDR 格式

無類別跨網域路由 (CIDR) 格式或標記法是一種表示 IP 位址及其子網路的方法。這是撰寫完整子網路遮罩的替代方案。格式為 IP 位址、正斜線 (/) 和數字。這個數字表示 IP 位址中定義網路部分的位元數。

Cloud NGFW

Cloud Next Generation Firewall 是完全分散式的防火牆服務,具備進階防護功能、微區隔和全面涵蓋範圍,可協助保護 Trusted Cloud by S3NS 工作負載不受內外部攻擊的侵擾。Cloud NGFW 提供兩種級別:Cloud Next Generation Firewall Essentials 和 Cloud Next Generation Firewall Standard。詳情請參閱「 Cloud NGFW 總覽」。

Cloud NGFW Essentials

Cloud Next Generation Firewall Essentials 是 Trusted Cloud提供的基礎防火牆服務,這項服務包含多項功能,例如全域網路防火牆政策和區域網路防火牆政策、由 Identity and Access Management (IAM) 控管的標記位址群組,以及虛擬私有雲 (VPC) 防火牆規則。詳情請參閱「Cloud NGFW Essentials 總覽」一文。

Cloud NGFW Standard

Cloud NGFW Standard 擴充了 Cloud NGFW Essentials 的功能,提供更強大的防護機制,協助您保護雲端基礎架構免受惡意攻擊。

包括防火牆政策規則中的完整網域名稱 (FQDN) 物件地理位置物件等功能。

防火牆規則

防火牆規則是網路安全的基本要素。防火牆規則會控管虛擬機器 (VM) 執行個體的往來流量。根據預設,系統會封鎖連入流量。詳情請參閱防火牆政策

防火牆規則記錄

您可以根據防火牆規則記錄,進一步稽核、驗證及分析防火牆規則的成效。舉例來說,您可以判斷用於拒絕流量的防火牆規則是否正常運作。需要瞭解特定防火牆規則影響的連線數量時,這項功能也能派上用場。詳情請參閱防火牆規則記錄

防火牆政策

防火牆政策可讓您將多項防火牆規則組成群組,然後一次更新所有規則,並透過 IAM 角色有效地控管。防火牆政策分為三種:階層式防火牆政策全域網路防火牆政策區域網路防火牆政策。詳情請參閱防火牆政策

防火牆政策規則

建立防火牆政策規則時,您必須指定一組用來定義規則作用的組成部分。這些元件會指定流量方向、來源、目的地,以及第 4 層特徵,例如通訊協定和目的地通訊埠 (如果通訊協定使用通訊埠)。這些元件稱為防火牆政策規則。 詳情請參閱防火牆政策規則

FQDN 物件

完整網域名稱 (FQDN) 是網路上特定資源的完整名稱,例如,cloud.google.com。防火牆政策規則中的 FQDN 物件會篩選來自或傳送至特定網域名稱的連入或連出流量。系統會根據流量方向,比對與網域名稱相關聯的 IP 位址與流量來源或目的地。詳情請參閱FQDN 物件

地理位置物件

在防火牆政策規則中使用地理位置物件,根據特定地理位置或區域篩選外部 IPv4 和外部 IPv6 流量。您可以搭配其他來源或目的地篩選器使用地理位置物件。詳情請參閱「地理位置物件」。

全域網路防火牆政策

您可以透過全域網路防火牆政策,將規則歸類至適用於所有區域 (全域) 的政策物件。將全域網路防火牆政策與虛擬私有雲網路建立關聯後,政策中的規則即可套用至虛擬私有雲網路中的資源。如要瞭解全域網路防火牆政策的規格和詳細資料,請參閱全域網路防火牆政策

階層式防火牆政策

階層式防火牆政策可將規則編成政策物件群組,並套用至一或多個專案中的多個虛擬私有雲網路。您可以將階層式防火牆政策與整個機構或個別資料夾建立關聯。如要瞭解階層式防火牆政策的規格和詳細資料,請參閱「階層式防火牆政策」。

Identity and Access Management

Trusted Cloud's IAM 可讓您對特定 Trusted Cloud 資源授予精細的存取權,協助預防其他資源遭到存取;IAM 可讓您採用最低權限安全原則,規定任何人都不應擁有超出實際需求的權限。詳情請參閱 IAM 總覽

默示規則

每個虛擬私有雲網路都有兩項默示 IPv4 防火牆規則。如果虛擬私有雲網路已啟用 IPv6,該網路也會有兩項默示 IPv6 防火牆規則。這些規則不會顯示在Trusted Cloud 控制台中。

無論網路的建立方式為何,也不論是自動模式或自訂模式虛擬私有雲網路,所有虛擬私有雲網路都含有隱含的 IPv4 防火牆規則。預設網路具有相同的默示規則。詳情請參閱隱含規則

網路防火牆政策

網路防火牆政策 (又稱「防火牆政策」) 可讓您將多項防火牆規則組成群組,然後一次更新所有規則,並透過 IAM 角色有效地控管。這些政策包含可明確拒絕或允許連線的規則,與虛擬私有雲防火牆規則相同。包括全域和區域網路防火牆政策。詳情請參閱防火牆政策

網路標記

網路標記是字串,會新增至資源 (例如 Compute Engine VM 執行個體或執行個體範本) 的標記欄位。標記並非獨立資源,因此無法單獨建立。凡是含有該字串的資源,都會視為具有該標記。標記可讓您建立適用於特定 VM 執行個體的 VPC 防火牆規則路徑

政策繼承

根據預設,機構政策會由您強制執行政策的資源子系繼承。舉例來說,如果您對資料夾強制執行政策, Trusted Cloud 系統會對該資料夾中的所有專案強制執行政策。如要進一步瞭解這項行為及如何變更,請參閱「階層評估規則」。

優先順序

防火牆政策中規則的優先順序是 0 到 2,147,483,647 之間的整數 (包含首尾)。整數值越小代表優先順序越高。詳情請參閱「優先順序」。

區域性防火牆政策

區域性網路防火牆政策可將規則編成政策物件群組,並套用至特定區域。將區域網路防火牆政策與虛擬私有雲網路建立關聯後,政策中的規則即可套用至虛擬私有雲網路該區域內的資源。如要瞭解區域防火牆政策的規格和詳細資料,請參閱區域網路防火牆政策

伺服器名稱指示

伺服器名稱指示 (SNI) 是 TLS 電腦網路通訊協定的擴充功能。SNI 可讓多個 HTTPS 網站共用 IP 和 TLS 憑證,因此更有效率且經濟實惠,因為您不需要為同一伺服器上的每個網站個別取得憑證。

標記

Trusted Cloud 資源階層 可將資源整理成樹狀結構。這個階層架構可協助您大規模管理資源,但只能模擬少數業務維度,包括機構架構、區域、工作負載類型和成本中心。階層架構缺乏彈性,無法將多個業務層面分層組合。

標記可為資源建立註解,在某些情況下,您還能將資源是否具備特定標記設為條件,並按照這項條件允許或拒絕政策。只要使用標記並依據條件強制執行政策,即可精細控管資源階層結構。

標記與聯播網標記不同。如要進一步瞭解標記和網路標記之間的差異,請參閱標記和網路標記比較

防火牆標記

代碼也稱為安全代碼。您可以在全域網路防火牆政策和區域網路防火牆政策中,使用標記定義來源和目標。標記與網路標記不同。 網路標記是簡單的字串,不是鍵和值,也不提供任何存取權控管功能。如要進一步瞭解代碼和網路標記之間的差異,以及各項產品支援的標記類型,請參閱「代碼和網路標記比較」。

虛擬私有雲防火牆規則

虛擬私有雲防火牆規則可讓您在虛擬私有雲網路中,允許或拒絕來往 VM 執行個體的連線。系統一律會強制執行已啟用的虛擬私有雲防火牆規則,保護採用各種設定和作業系統的執行個體,即便執行個體未啟動亦然。這些規則適用於特定專案和聯播網。詳情請參閱虛擬私有雲防火牆規則

後續步驟