Auf dieser Seite wird beschrieben, wie Firewallrichtlinien-Regeln Ihr Netzwerk sichern, indem sie Traffic basierend auf Google Threat Intelligence-Daten zulassen oder blockieren. Google Threat Intelligence-Daten enthalten Listen von IP-Adressen basierend auf den folgenden Kategorien:
- Tor-Ausgangsknoten: Tor ist eine Open-Source-Software, die anonyme Kommunikation ermöglicht. Wenn Sie Nutzer ausschließen möchten, die ihre Identität ausblenden, blockieren Sie die IP-Adressen der Tor-Ausgangsknoten (Endpunkte, an denen der Traffic das Tor-Netzwerk verlässt).
- Bekannte schädliche IP-Adressen: IP-Adressen, von denen bekannterweise Angriffe auf Webanwendungen ausgingen. Blockieren Sie diese IP-Adressen, um den Sicherheitsstatus Ihrer Anwendung zu verbessern.
- Suchmaschinen: IP-Adressen, für die Sie die Aktivierung der Websiteindexierung zulassen können.
- IP-Adressbereiche der öffentlichen Cloud: Diese Kategorie kann entweder blockiert werden, um zu verhindern, dass schädliche automatisierte Tools in Webanwendungen suchen, oder sie kann zugelassen werden, wenn Ihr Dienst andere öffentliche Clouds verwendet. Diese Kategorie ist in die folgenden Unterkategorien unterteilt:
- Von Amazon Web Services verwendete IP-Adressbereiche
- Von Microsoft Azure verwendete IP-Adressbereiche
- Von Google Cloudverwendete IP-Adressbereiche
- Von Google-Diensten verwendete IP-Adressbereiche
Die Google Threat Intelligence-Datenlisten können IPv4-Adressen, IPv6-Adressen oder beides enthalten. Um Google Threat Intelligence in Ihren Firewallrichtlinien-Regeln zu konfigurieren, verwenden Sie die vordefinierten Google Threat Intelligence-Listennamen basierend auf der Kategorie, die Sie zulassen oder blockieren möchten. Diese Listen werden kontinuierlich aktualisiert, um Dienste ohne zusätzliche Konfigurationsschritte vor neuen Bedrohungen zu schützen. Folgende Listennamen sind gültig:
| Name der Liste | Beschreibung |
|---|---|
| Bekannte schädliche IP-Adressen ( iplist-known-malicious-ips) |
Entspricht IP-Adressen, die bekanntermaßen Angriffe auf Webanwendungen ausführen |
| Suchmaschinen-Crawler ( iplist-search-engines-crawlers) |
Entspricht IP-Adressen von Suchmaschinen-Crawlern |
| TOR-Exit-Knoten ( iplist-tor-exit-nodes) |
Entspricht IP-Adressen der TOR-Ausgangsknoten |
| IP-Adressen von öffentlichen Clouds ( iplist-public-clouds) |
Entspricht IP-Adressen, die zu öffentlichen Clouds gehören |
| Öffentliche Clouds – AWS ( iplist-public-clouds-aws) |
Führt zu Übereinstimmung mit den IP-Adressbereichen, die von Amazon Web Services verwendet werden |
| Öffentliche Clouds – Azure ( iplist-public-clouds-azure) |
Entspricht den von Microsoft Azure verwendeten IP-Adressbereichen |
| Öffentliche Clouds – Google Cloud ( iplist-public-clouds-gcp) |
Entspricht IP-Adressbereichen, die von Kundenressourcen wie Compute Engine-VMs und GKE-Clustern verwendet werden. Diese Bereiche umfassen kundenzugewiesene IP-Bereiche, die von allen Google Cloud Kunden verwendet werden und nicht auf Ihr eigenes Projekt oder Ihre eigene Organisation beschränkt sind. |
| Öffentliche Clouds – Google-Dienste ( iplist-public-clouds-google-services) |
Entspricht den IP-Adressbereichen, die für den API- und Webzugriff auf alle Google-Dienste verwendet werden, einschließlich Google Cloud, Google Workspace, Maps und YouTube. Diese Liste umfasst die Infrastruktur von Google-Diensten wie Google Public DNS und stellt die Teilmenge der öffentlichen IP-Bereiche von Google dar, die sich von den kundenzugewiesenen IPs in der Google Cloud -Liste unterscheiden. |
| VPN-Anbieter ( iplist-vpn-providers) |
Entspricht IP-Adressen, die zu VPN-Anbietern mit geringer Reputation gehören |
| Anonyme Proxys ( iplist-anon-proxies) |
Entspricht IP-Adressen, die zu offenen anonymen Proxys gehören |
| Kryptomining-Websites ( iplist-crypto-miners) |
Entspricht IP-Adressen, die zu Kryptomining-Websites gehören |
Google Threat Intelligence mit anderen Filtern für Firewallrichtlinien-Regeln verwenden
Befolgen Sie diese Richtlinien, um eine Firewallrichtlinien-Regel mit Google Threat Intelligence zu definieren:
Geben Sie für Regeln für ausgehenden Traffic das Ziel mithilfe einer oder mehrerer Google Threat Intelligence-Ziellisten an.
Geben Sie für Regeln für eingehenden Traffic die Quelle mit einer oder mehreren Google Threat Intelligence-Quelllisten an.
Sie können Google Threat Intelligence-Listen für hierarchische Firewallrichtlinien, globale Netzwerk-Firewallrichtlinien und regionale Netzwerk-Firewallrichtlinien konfigurieren.
Sie können diese Listen zusammen mit anderen Komponenten von Quell- oder Zielregelfiltern verwenden.
Informationen dazu, wie Google Threat Intelligence-Listen mit anderen Quellfiltern in den Eingangsregeln funktionieren, finden Sie unter Quellen für Regeln für eingehenden Traffic in hierarchischen Firewallrichtlinien und Quellen für Regeln für eingehenden Traffic in Netzwerk-Firewallrichtlinien.
Informationen zur Funktionsweise von Google Threat Intelligence-Listen mit anderen Zielfiltern in den Regeln für ausgehenden Traffic finden Sie unter Ziele für Regeln für ausgehenden Traffic.
Firewall-Logging erfolgt auf Regelebene. Fügen Sie nicht mehrere Google Threat Intelligence-Listen in eine einzelne Firewallregel ein, um die Fehlerbehebung und Analyse der Auswirkungen Ihrer Firewallregeln zu vereinfachen.
Sie können einer Firewallrichtlinienregel mehrere Google Threat Intelligence-Listen hinzufügen. Jeder in der Regel enthaltene Listenname wird als ein Attribut gezählt, unabhängig von der Anzahl der in dieser Liste enthaltenen IP-Adressen oder IP-Adressbereiche. Wenn Sie beispielsweise die Listennamen
iplist-tor-exit-nodes,iplist-known-malicious-ipsundiplist-search-engines-crawlersin die Firewallregel aufgenommen haben, erhöht sich die Anzahl der Regelattribute pro Firewallrichtlinie um: drei. Weitere Informationen zur Anzahl der Regelattribute finden Sie unter Details zur Regelattributanzahl.
Ausnahmen für Google Threat Intelligence-Listen erstellen
Wenn Sie Regeln für Google Threat Intelligence-Listen haben, können Sie mit den folgenden Methoden Ausnahmeregeln erstellen, die für bestimmte IP-Adressen innerhalb einer Google Threat Intelligence-Liste gelten:
Selektive Zulassungs-Firewallregel: Angenommen, Sie haben eine Firewallregel für eingehenden oder ausgehenden Traffic, die Pakete von oder zu einer Google Threat Intelligence-Liste ablehnt. Wenn Sie Pakete von oder zu einer ausgewählten IP-Adresse innerhalb dieser Google Threat Intelligence-Liste zulassen möchten, erstellen Sie eine separate Zulassungs-Firewallregel für eingehenden oder ausgehenden Traffic mit höherer Priorität, die die Ausnahme-IP-Adresse als Quelle oder Ziel angibt.
Selektive Ablehnungs-Firewallregel: Angenommen, Sie haben eine Firewallregel für eingehenden oder ausgehenden Traffic, die Pakete von oder zu einer Google Threat Intelligence-Liste zulässt. Wenn Sie Pakete von oder zu einer ausgewählten IP-Adresse innerhalb dieser Google Threat Intelligence-Liste ablehnen möchten, erstellen Sie eine Ablehnungs-Firewallregel für eingehenden oder ausgehenden Traffic mit höherer Priorität, die die Ausnahme-IP-Adresse als Quelle oder Ziel angibt.
Nächste Schritte
- Komponenten von Firewallrichtlinienregeln
- Objekte mit voll qualifizierten Domainnamen
- Adressgruppen für Firewallrichtlinien