配置威胁情报

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

借助 Google Cloud Armor 威胁情报,Google Cloud Armor Managed Protection Plus 订阅者可以根据多个类别的威胁情报数据允许或阻止流向外部 HTTP(S) 负载均衡器的流量,从而保护其流量。威胁情报数据分为以下几类:

  • Tor 退出节点:Tor 是一种开源软件,可实现匿名通信。如需排除隐藏其身份的用户,请阻止 Tor 退出节点的 IP 地址(流量离开 Tor 网络的点)。
  • 已知的恶意 IP 地址:需要屏蔽以改善应用安全状况的 IP 地址,因为针对 Web 应用的攻击通常来自于这些地址。
  • 搜索引擎:您可以允许以启用网站索引的 IP 地址。
  • 公有云 IP 地址范围:您可以阻止此类别以免恶意自动化工具浏览 Web 应用;或者,如果您的服务使用其他公有云,则您可以允许此类别。

如需使用威胁情报,您可以使用 evaluateThreatIntelligence 匹配表达式以及表示上述类别之一的 Feed 名称来定义安全政策规则,用于根据这些类别的一部分或全部来允许或阻止流量。 此外,您还必须订阅 Managed Protection Plus。如需详细了解 Managed Protection,请参阅 Managed Protection 概览

配置威胁情报

如需使用威胁情报,请使用 evaluateThreatIntelligence('FEED_NAME') 匹配表达式配置安全政策规则,并根据您要允许或阻止的类别提供 FEED_NAME。每个 Feed 中的信息都会不断更新,从而保护服务免受新威胁的影响,而无需额外的配置步骤。有效的参数如下。

Feed 名称 说明
iplist-tor-exit-nodes 匹配 Tor 退出节点的 IP 地址
iplist-known-malicious-ips 匹配已知用于攻击 Web 应用的 IP 地址
iplist-search-engines-crawlers 匹配搜索引擎抓取工具的 IP 地址
iplist-cloudflare 匹配 Cloudflare 代理服务的 IPv4IPv6 地址范围
iplist-fastly 匹配 Fastly 代理服务的 IP 地址范围
iplist-imperva 匹配 Imperva 代理服务的 IP 地址范围
iplist-public-clouds
  • iplist-public-clouds-aws
  • iplist-public-clouds-azure
  • iplist-public-clouds-gcp
匹配属于公有云的 IP 地址
  • 匹配 Amazon Web Services 使用的 IP 地址范围
  • 匹配 Microsoft Azure 使用的 IP 地址范围
  • 匹配 Google Cloud 使用的 IP 地址范围

您可以使用以下 gcloud 命令以及上表中的 FEED_NAME 和任何 ACTION(如 allowdenythrottle)来配置新的安全政策规则。如需详细了解规则操作,请参阅政策类型

gcloud compute security-policies rules create 1000 \
    --security-policy=NAME \
    --expression="evaluateThreatIntelligence('FEED_NAME')" \
    --action="ACTION"

如果您要排除威胁情报可能阻止评估的 IP 地址或 IP 地址范围,则可以使用以下表达式将地址添加到排除列表中。请将 ADDRESS 替换为您要排除的地址或地址范围。

evaluateThreatIntelligence('iplist-known-malicious-ips', ['ADDRESS'])

后续步骤