验证 IDS 端点是否正常运行
如需确认 IDS 端点是否正常运行,请执行以下操作:
- 验证 IDS 端点是否显示在 Cloud IDS Google Cloud 控制台中,
并且
Attached Policies
列中有数据包镜像政策。 - 确保已启用关联的政策(点击政策名称),然后
确保
Policy Enforcement
设为已启用。 - 如需验证流量是否被镜像,请在以下位置选择一个虚拟机实例:
监控 VPC,请转到可观测性标签页,确保
Mirrored Bytes
信息中心显示镜像到 IDS 端点的流量。 - 确保同一流量(或虚拟机)不会受到多个
数据包镜像政策,因为每个数据包只能被镜像到
目标。检查
Attached Policies
列,并确保 每个虚拟机只有一项政策 使用 SSH 连接到受监控的 然后运行以下命令:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
如果 curl 在平台上不可用,您可以使用类似的工具 执行 HTTP 请求的方法
几秒钟后,Cloud IDS 界面和 (威胁日志)。
解密流量以进行检查
Cloud IDS 需要查看解密的流量。您可以在第 7 层加载时解密流量 或部署第三方设备如果您想解密 请阅读下一部分。
由于外部应用负载平衡器需要 SSL 证书,因此 且客户端经过加密从 GFE 到后端的流量 Cloud IDS 可以检查标准 HTTP 流量。请参阅以下内容 用于设置解密的资源:
只检查少量流量
Cloud IDS 只能检查流向虚拟机或 GKE Pod 的流量。如果您的子网或 VPC 不包含任何虚拟机或 GKE Pod,则 Cloud IDS 无法检查定向到您的其他资源的流量。
使用 Cloud 下一代防火墙时,系统将忽略端点政策
当您使用 Cloud Next Generation Firewall L7 检查政策和 Cloud IDS 时 端点政策,请确保这些政策不会应用于相同的流量。如果 如果政策重叠,则优先采用 L7 检查政策, 不会进行镜像反转