排查端点和检查问题

验证 IDS 端点是否正常运行

如需确认 IDS 端点是否正常运行,请执行以下操作:

  1. 验证 IDS 端点是否显示在 Cloud IDS Google Cloud 控制台中, 并且 Attached Policies 列中有数据包镜像政策。
  2. 点击相应政策名称,确保已启用所附加的政策,并确保 Policy Enforcement 已设置为已启用
  3. 如需验证是否正在镜像流量,请在受监控的 VPC 中选择一个虚拟机实例,前往可观测性标签页,并确保 Mirrored Bytes 信息中心显示流量已镜像到 IDS 端点。
  4. 确保同一流量(或虚拟机)不会受到多个 数据包镜像政策,因为每个数据包只能被镜像到 目标。检查 Attached Policies 列,并确保 每个虚拟机只有一项政策
  5. 使用 SSH 连接到受监网络中的虚拟机,然后运行以下命令以生成测试提醒:

    curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
    

    如果平台上不提供 curl,您可以使用类似的工具执行 HTTP 请求。

    几秒钟后,Cloud IDS 界面和 Cloud Logging(威胁日志)中都应会显示一条提醒。

解密流量以进行检查

Cloud IDS 需要查看解密的流量。您可以在 L7 负载均衡器中解密流量,也可以部署第三方设备。如果您想解密 请阅读下一部分。

由于外部应用负载平衡器需要 SSL 证书,因此 且客户端经过加密从 GFE 到后端的流量是标准 HTTP 流量,Cloud IDS 可以对其进行检查。如需设置解密,请参阅以下资源:

只检查少量流量

Cloud IDS 只能检查流向虚拟机或 GKE Pod 的流量。如果您的子网或 VPC 不包含任何虚拟机或 GKE Pod,则 Cloud IDS 无法检查定向到您的其他资源的流量。

使用 Cloud 新一代防火墙时,端点政策会被忽略

使用 Cloud 新一代防火墙第 7 层检查政策和 Cloud IDS 端点政策时,请确保这些政策不会应用于同一流量。如果 如果政策重叠,则优先采用 L7 检查政策, 不会进行镜像反转