בדף הזה מוסבר איך כללים במדיניות חומת האש מאבטחים את הרשת שלכם על ידי אישור או חסימה של תנועה על סמך נתונים מ-Google Threat Intelligence. נתוני Google Threat Intelligence כוללים רשימות של כתובות IP שמבוססות על הקטגוריות הבאות:
- צמתי יציאה של Tor: Tor היא תוכנת קוד פתוח שמאפשרת תקשורת אנונימית. כדי להחריג משתמשים שמסתירים את הזהות שלהם, צריך לחסום את כתובות ה-IP של צמתי היציאה של Tor (נקודות קצה שבהן התנועה יוצאת מרשת Tor).
- כתובות IP זדוניות מוכרות: כתובות IP שמוכרות כמקור של מתקפות על אפליקציות אינטרנט. כדי לשפר את רמת האבטחה של האפליקציה, צריך לחסום את כתובות ה-IP האלה.
- מנועי חיפוש: כתובות IP שאפשר לאשר כדי להפעיל את יצירת האינדקס של האתר.
- טווחים של כתובות IP בענן ציבורי: אפשר לחסום את הקטגוריה הזו כדי למנוע מכלים אוטומטיים זדוניים לגלוש באפליקציות אינטרנט, או לאפשר אותה אם השירות שלכם משתמש בעננים ציבוריים אחרים. הקטגוריה הזו מחולקת לקטגוריות המשנה הבאות:
- טווחים של כתובות IP שמשמשים את Amazon Web Services
- טווחי כתובות ה-IP שמשמשים את Microsoft Azure
- טווחים של כתובות IP שמשמשים את Google Cloud
- טווחים של כתובות IP שבהם נעשה שימוש בשירותי Google
רשימות הנתונים של Google Threat Intelligence יכולות לכלול כתובות IPv4, כתובות IPv6 או את שניהם. כדי להגדיר את Google Threat Intelligence בכללי מדיניות חומת האש, משתמשים בשמות הרשימות המוגדרות מראש של Google Threat Intelligence על סמך הקטגוריה שרוצים לאפשר או לחסום. הרשימות האלה מתעדכנות באופן שוטף, כדי להגן על השירותים מפני איומים חדשים בלי צורך לבצע שלבי הגדרה נוספים. אלה השמות התקינים של הרשימות.
| שם הרשימה | תיאור |
|---|---|
| כתובות IP זדוניות מוכרות ( iplist-known-malicious-ips) |
התאמה לכתובות IP שידוע שהן משמשות לתקיפת אפליקציות אינטרנט |
| סורקים של מנועי חיפוש ( iplist-search-engines-crawlers) |
התאמה לכתובות IP של סורקים של מנועי חיפוש |
| צמתי יציאה של Tor ( iplist-tor-exit-nodes) |
תואם לכתובות IP של צמתי יציאה של Tor |
| כתובות IP בענן ציבורי ( iplist-public-clouds) |
התאמה לכתובות IP ששייכות לעננים ציבוריים |
| עננים ציבוריים – AWS ( iplist-public-clouds-aws) |
תואם לטווחים של כתובות IP שמשמשים את Amazon Web Services |
| עננים ציבוריים – Azure ( iplist-public-clouds-azure) |
תואם לטווחי כתובות IP שמשמשים את Microsoft Azure |
| עננים ציבוריים – Google Cloud ( iplist-public-clouds-gcp) |
תואם לטווחים של כתובות IP שמשמשים משאבים של לקוחות, כמו מכונות וירטואליות של Compute Engine ואשכולות GKE. הטווחים האלה כוללים טווחים של כתובות IP שהוקצו ללקוחות שמשמשים את כל לקוחות Google Cloud ולא מוגבלים לפרויקט או לארגון שלכם. |
| עננים ציבוריים – שירותי Google ( iplist-public-clouds-google-services) |
התאמה של טווחי כתובות IP שמשמשים לגישה לאינטרנט ול-API לכל שירותי Google, כולל Google Cloud, Google Workspace, מפות Google ו-YouTube. הרשימה הזו כוללת את תשתית השירותים בבעלות Google, כמו Google Public DNS, והיא מייצגת את קבוצת המשנה של טווחי כתובות ה-IP הציבוריות של Google, ששונה מרשימת כתובות ה-IP שהוקצו ללקוחות ב- Google Cloud . |
| ספקי VPN ( iplist-vpn-providers) |
תואם לכתובות IP ששייכות לספקי VPN עם מוניטין נמוך |
| שרתי proxy אנונימיים ( iplist-anon-proxies) |
התאמה לכתובות IP ששייכות לשרתי proxy אנונימיים פתוחים |
| אתרים לכריית מטבעות וירטואליים ( iplist-crypto-miners) |
התאמה לכתובות IP ששייכות לאתרים של כריית מטבעות וירטואליים |
שימוש ב-Google Threat Intelligence עם מסננים אחרים של כללי מדיניות לחומת אש
כדי להגדיר כלל מדיניות של חומת אש עם נתוני מודיעין איומים של Google, פועלים לפי ההנחיות הבאות:
בכללי תעבורת נתונים יוצאת (egress), מציינים את היעד באמצעות רשימה אחת או יותר של Google Threat Intelligence.
בכללי תעבורה נכנסת, מציינים את המקור באמצעות רשימה אחת או יותר של מקורות מ-Google Threat Intelligence.
אתם יכולים להגדיר רשימות של Google Threat Intelligence למדיניות היררכית של חומת אש, למדיניות גלובלית של חומת אש ברשת ולמדיניות אזורית של חומת אש ברשת.
אפשר להשתמש ברשימות האלה יחד עם רכיבים אחרים של מסנני כללים במקור או ביעד.
מידע על אופן הפעולה של רשימות של Google Threat Intelligence עם מסנני מקורות אחרים בכללי התעבורה הנכנסת זמין במאמרים בנושא מקורות לכללי תעבורה נכנסת במדיניות היררכית של חומת אש ומקורות לכללי תעבורה נכנסת במדיניות של חומת אש ברשת.
מידע על אופן הפעולה של רשימות של Google Threat Intelligence עם מסנני יעדים אחרים בכללי היציאה זמין במאמר בנושא יעדים לכללי יציאה.
רישום ביומן של כללי מדיניות חומת אש מתבצע ברמת הכלל. כדי שיהיה לכם קל יותר לבצע ניפוי באגים ולנתח את ההשפעה של כללי חומת האש, אל תכללו כמה רשימות של Google Threat Intelligence בכלל חומת אש יחיד.
אפשר להוסיף כמה רשימות של Google Threat Intelligence לכלל במדיניות חומת האש. כל שם רשימה שנכלל בכלל נספר כמאפיין אחד, ללא קשר למספר כתובות ה-IP או טווחי כתובות ה-IP שנכללים ברשימה. לדוגמה, אם הכלל במדיניות חומת האש כולל את שמות הרשימות
iplist-tor-exit-nodes,iplist-known-malicious-ipsו-iplist-search-engines-crawlers, מספר מאפייני הכלל לכל מדיניות חומת אש יגדל בשלושה. מידע נוסף על מספר מאפייני הכלל
יצירת חריגים לרשימות של Google Threat Intelligence
אם יש לכם כללים שחלים על רשימות של Google Threat Intelligence, אתם יכולים להשתמש בטכניקות הבאות כדי ליצור כללי חריגה שחלים על כתובות IP מסוימות ברשימה של Google Threat Intelligence:
כלל חומת אש שמאפשר גישה באופן סלקטיבי: נניח שיש לכם כלל חומת אש לתעבורת נתונים נכנסת או יוצאת שדוחה חבילות נתונים מרשימת Google Threat Intelligence או לרשימה הזו. כדי לאפשר חבילות מכתובת IP שנבחרה או לכתובת IP שנבחרה ברשימת המודיעין של Google בנושא איומים, צריך ליצור כלל חומת אש נפרד עם עדיפות גבוהה יותר לכניסה או ליציאה, שמציין את כתובת ה-IP של החריגה כמקור או כיעד.
כלל חומת אש לדחייה סלקטיבית: נניח שיש לכם כלל חומת אש לתעבורת נתונים נכנסת או יוצאת שמאפשר חבילות נתונים מרשימת Google Threat Intelligence או לרשימה כזו. כדי לחסום מנות מכתובת IP נבחרת או לכתובת IP נבחרת ברשימה הזו של Google Threat Intelligence, יוצרים כלל חסימה של חומת אש לכניסה או ליציאה עם עדיפות גבוהה יותר, שמציין את כתובת ה-IP של החריגה כמקור או כיעד.