Questa pagina descrive in che modo le regole dei criteri firewall proteggono la tua rete consentendo o bloccando il traffico in base ai dati di Google Threat Intelligence. I dati di Google Threat Intelligence includono elenchi di indirizzi IP in base alle seguenti categorie:
- Nodi di uscita Tor: Tor è un software open source che consente la comunicazione anonima. Per escludere gli utenti che nascondono la propria identità, blocca gli indirizzi IP dei nodi di uscita Tor (gli endpoint in cui il traffico esce dalla rete Tor).
- Indirizzi IP dannosi noti: indirizzi IP noti per essere l'origine di attacchi alle applicazioni web. Per migliorare la security posture della tua applicazione, blocca questi indirizzi IP.
- Motori di ricerca: indirizzi IP che puoi consentire per abilitare l'indicizzazione del sito.
- Intervalli di indirizzi IP cloud pubblici: questa categoria può essere bloccata per impedire a strumenti automatizzati dannosi di navigare nelle applicazioni web o consentita se il tuo servizio utilizza altri cloud pubblici. Questa categoria è ulteriormente suddivisa
nelle seguenti sottocategorie:
- Intervalli di indirizzi IP utilizzati da Amazon Web Services
- Intervalli di indirizzi IP utilizzati da Microsoft Azure
- Intervalli di indirizzi IP utilizzati da Google Cloud
- Intervalli di indirizzi IP utilizzati dai servizi Google
Gli elenchi di dati di Google Threat Intelligence possono includere indirizzi IPv4, indirizzi IPv6 o entrambi. Per configurare Google Threat Intelligence nelle regole delle policy firewall, utilizza i nomi degli elenchi predefiniti di Google Threat Intelligence in base alla categoria che vuoi consentire o bloccare. Questi elenchi vengono aggiornati continuamente, proteggendo i servizi da nuove minacce senza necessità di ulteriori passaggi di configurazione. I nomi delle liste validi sono i seguenti.
| Nome elenco | Descrizione |
|---|---|
| IP dannosi noti ( iplist-known-malicious-ips) |
Corrisponde agli indirizzi IP noti per gli attacchi alle applicazioni web |
| Crawler del motore di ricerca ( iplist-search-engines-crawlers) |
Corrisponde agli indirizzi IP dei crawler dei motori di ricerca |
| Nodi di uscita TOR ( iplist-tor-exit-nodes) |
Corrisponde agli indirizzi IP dei nodi di uscita TOR |
| IP cloud pubblico ( iplist-public-clouds) |
Corrisponde agli indirizzi IP appartenenti ai cloud pubblici |
| Cloud pubblici - AWS ( iplist-public-clouds-aws) |
Corrisponde agli intervalli di indirizzi IP utilizzati da Amazon Web Services |
| Cloud pubblici - Azure ( iplist-public-clouds-azure) |
Corrisponde agli intervalli di indirizzi IP utilizzati da Microsoft Azure |
| Cloud pubblici - Google Cloud ( iplist-public-clouds-gcp) |
Corrisponde agli intervalli di indirizzi IP utilizzati dalle risorse dei clienti, come VM Compute Engine e cluster GKE. Questi intervalli includono intervalli IP assegnati dal cliente utilizzati da tutti i clienti Google Cloud e non sono limitati al tuo progetto o alla tua organizzazione. |
| Cloud pubblici - Servizi Google ( iplist-public-clouds-google-services) |
Corrisponde agli intervalli di indirizzi IP utilizzati per l'accesso API e web a tutti i servizi Google, inclusi Google Cloud, Google Workspace, Maps e YouTube. Questo elenco copre l'infrastruttura di servizi di proprietà di Google, come Google Public DNS, e rappresenta il sottoinsieme di intervalli IP pubblici di Google distinti dagli IP assegnati dal cliente nell'elenco Google Cloud . |
| Provider VPN ( iplist-vpn-providers) |
Corrisponde agli indirizzi IP appartenenti a provider VPN con reputazione bassa |
| Proxy anonimi ( iplist-anon-proxies) |
Corrisponde agli indirizzi IP appartenenti a proxy anonimi aperti |
| Siti di cryptomining ( iplist-crypto-miners) |
Corrisponde agli indirizzi IP appartenenti a siti di mining di criptovalute |
Utilizzare Google Threat Intelligence con altri filtri delle regole delle policy del firewall
Per definire una regola del criterio firewall con Google Threat Intelligence, segui queste linee guida:
Per le regole in uscita, specifica la destinazione utilizzando uno o più elenchi di Google Threat Intelligence.
Per le regole in entrata, specifica l'origine utilizzando uno o più elenchi di Google Threat Intelligence.
Puoi configurare gli elenchi di Google Threat Intelligence per i criteri firewall gerarchici, i criteri firewall di rete globali e i criteri firewall di rete regionali.
Puoi utilizzare questi elenchi insieme ad altri componenti di filtro delle regole di origine o destinazione.
Per informazioni su come funzionano gli elenchi di Google Threat Intelligence con altri filtri di origine nelle regole in entrata, consulta Origini per le regole in entrata nelle policy dei firewall gerarchiche e Origini per le regole in entrata nelle policy dei firewall di rete.
Per informazioni su come funzionano gli elenchi di Google Threat Intelligence con altri filtri di destinazione nelle regole in uscita, consulta Destinazioni per le regole in uscita.
Il logging dei firewall viene eseguito a livello di regola. Per semplificare il debug e l'analisi dell'effetto delle regole firewall, non includere più elenchi di Google Threat Intelligence in una singola regola firewall.
Puoi aggiungere più elenchi di Google Threat Intelligence a una regola di policy firewall. Ogni nome di elenco incluso nella regola viene conteggiato come un attributo, indipendentemente dal numero di indirizzi IP o intervalli di indirizzi IP inclusi nell'elenco. Ad esempio, se hai incluso i nomi degli elenchi
iplist-tor-exit-nodes,iplist-known-malicious-ipseiplist-search-engines-crawlersnella regola del criterio firewall, il conteggio degli attributi della regola per criterio firewall viene aumentato di tre. Per saperne di più sul conteggio degli attributi delle regole, consulta Dettagli sul conteggio degli attributi delle regole.
Creare eccezioni agli elenchi di Google Threat Intelligence
Se hai regole che si applicano agli elenchi Google Threat Intelligence, puoi utilizzare le seguenti tecniche per creare regole di eccezione applicabili a determinati indirizzi IP all'interno di un elenco Google Threat Intelligence:
Regola firewall di autorizzazione selettiva: supponiamo che tu abbia una regola firewall in entrata o in uscita che nega i pacchetti da o verso un elenco di Google Threat Intelligence. Per consentire i pacchetti da o verso un indirizzo IP selezionato all'interno di questo elenco di Google Threat Intelligence, crea una regola firewall di autorizzazione in entrata o in uscita separata con priorità più elevata che specifichi l'indirizzo IP di eccezione come origine o destinazione.
Regola firewall di negazione selettiva: supponiamo che tu abbia una regola firewall in entrata o in uscita che consente i pacchetti da o verso un elenco di Google Threat Intelligence. Per negare pacchetti da o verso un indirizzo IP selezionato all'interno di questo elenco di Google Threat Intelligence, crea una regola firewall di negazione in entrata o in uscita con priorità più elevata che specifica l'indirizzo IP di eccezione come origine o destinazione.
Passaggi successivi
- Componenti delle regole dei criteri firewall
- Oggetti nome di dominio completo
- Gruppi di indirizzi per i criteri firewall