验证 IDS 端点是否正常运行
如需确认 IDS 端点是否正常运行,请执行以下操作:
- 验证 IDS 端点是否显示在 Cloud IDS Google Cloud 控制台中,
并且
Attached Policies列中有数据包镜像政策。 - 点击相应政策名称,确保已启用所附加的政策,并确保
Policy Enforcement已设置为已启用。 - 如需验证是否正在镜像流量,请在受监控的 VPC 中选择一个虚拟机实例,前往可观测性标签页,并确保
Mirrored Bytes信息中心显示流量已镜像到 IDS 端点。 - 确保同一流量(或虚拟机)不会受到多个
数据包镜像政策,因为每个数据包只能被镜像到
目标。检查
Attached Policies列,并确保 每个虚拟机只有一项政策 使用 SSH 连接到受监网络中的虚拟机,然后运行以下命令以生成测试提醒:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
如果平台上不提供 curl,您可以使用类似的工具执行 HTTP 请求。
几秒钟后,Cloud IDS 界面和 Cloud Logging(威胁日志)中都应会显示一条提醒。
解密流量以进行检查
Cloud IDS 需要查看解密的流量。您可以在 L7 负载均衡器中解密流量,也可以部署第三方设备。如果您想解密 请阅读下一部分。
由于外部应用负载平衡器需要 SSL 证书,因此 且客户端经过加密从 GFE 到后端的流量是标准 HTTP 流量,Cloud IDS 可以对其进行检查。如需设置解密,请参阅以下资源:
只检查少量流量
Cloud IDS 只能检查流向虚拟机或 GKE Pod 的流量。如果您的子网或 VPC 不包含任何虚拟机或 GKE Pod,则 Cloud IDS 无法检查定向到您的其他资源的流量。
使用 Cloud 新一代防火墙时,端点政策会被忽略
使用 Cloud 新一代防火墙第 7 层检查政策和 Cloud IDS 端点政策时,请确保这些政策不会应用于同一流量。如果 如果政策重叠,则优先采用 L7 检查政策, 不会进行镜像反转