验证 IDS 端点是否正常运行
如需确认 IDS 端点是否正常运行,请执行以下操作:
- 验证 IDS 端点是否显示在 Cloud IDS Google Cloud 控制台中,并且
Attached Policies列中是否有数据包镜像政策。 - 点击政策名称确保已启用附加的政策,并确保
Policy Enforcement设置为 Enabled。 - 如需验证流量是否正在镜像,请在受监控的 VPC 中选择一个虚拟机实例,转到可观测性标签页,确保
Mirrored Bytes信息中心显示流量正在镜像到 IDS 端点。 - 确保相同的流量(或虚拟机)不受多项数据包镜像政策的影响,因为每个数据包只能镜像到一个目的地。检查
Attached Policies列,并确保每个虚拟机只有一项政策。 使用 SSH 连接到受监控网络中的虚拟机,生成测试提醒,然后运行以下命令:
curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd
如果 curl 在平台上不可用,您可以使用类似的工具执行 HTTP 请求。
几秒钟后,Cloud IDS 界面和 Cloud Logging(威胁日志)中应显示一条提醒。
解密流量以进行检查
Cloud IDS 需要查看解密的流量。您可以在 L7 负载平衡器上解密流量,或部署第三方设备。如果要在负载均衡级别解密流量,请参阅以下部分。
由于外部应用负载平衡器需要 SSL 证书,因此负载平衡器与客户端之间的 SSL 流量会进行加密。从 GFE 到后端的流量是标准 HTTP 流量,Cloud IDS 可以对其进行检查。请参阅以下资源,了解如何设置解密:
我们仅检查少量流量
Cloud IDS 只能检查流向虚拟机或 GKE Pod 的流量。如果您的子网或 VPC 不包含任何虚拟机或 GKE Pod,则 Cloud IDS 无法检查定向到您的其他资源的流量。