Esta página descreve como as regras de política de firewall protegem sua rede permitindo ou bloqueando o tráfego com base nos dados do Google Threat Intelligence. Os dados do Google Threat Intelligence incluem listas de endereços IP com base nas seguintes categorias:
- Nós de saída do Tor: o Tor é um software de código aberto que possibilita a comunicação anônima. Para excluir usuários que ocultam a própria identidade, bloqueie os endereços IP dos nós de saída do Tor (endpoints em que o tráfego sai da rede do Tor).
- Endereços IP maliciosos conhecidos: endereços IP conhecidos como origem de ataques de aplicativos da Web. Para melhorar a postura de segurança do seu aplicativo, bloqueie esses endereços IP.
- Mecanismos de pesquisa: endereços IP que podem ser permitidos para ativar a indexação do site.
- Intervalos de endereços IP de nuvem pública: essa categoria pode ser bloqueada para evitar que ferramentas automatizadas maliciosas procurem web apps ou pode ser permitida se o serviço usar outras nuvens públicas. Essa categoria é dividida nas seguintes subcategorias:
- Corresponde aos intervalos de endereços IP usados pelo Amazon Web Services
- Corresponde aos intervalos de endereços IP usados pelo Microsoft Azure
- Intervalos de endereços IP usados pelo Google Cloud
- Corresponde aos intervalos de endereços IP usados pelo Serviços do Google
As listas de dados do Google Threat Intelligence podem incluir endereços IPv4, endereços IPv6 ou ambos. Para configurar o Google Threat Intelligence nas regras da política de firewall, use os nomes predefinidos da lista do Google Threat Intelligence com base na categoria que você quer permitir ou bloquear. Essas listas são atualizadas continuamente, protegendo os serviços de novas ameaças sem etapas de configuração adicionais. Os nomes de listas válidos são definidos conforme a seguir.
| Nome da lista | Descrição |
|---|---|
| IPs maliciosos conhecidos ( iplist-known-malicious-ips) |
Corresponde a endereços IP conhecidos por atacar aplicativos da web |
| Rastreadores de mecanismos de pesquisa ( iplist-search-engines-crawlers) |
Corresponde aos endereços IP dos rastreadores dos mecanismos de pesquisa |
| Nós de saída do TOR ( iplist-tor-exit-nodes) |
Corresponde aos endereços IP dos nós de saída do TOR |
| IPs de nuvem pública ( iplist-public-clouds) |
Correspondem a endereços IP que pertencem às nuvens públicas |
| Nuvens públicas – AWS ( iplist-public-clouds-aws) |
Corresponde aos intervalos de endereços IP usados pela Amazon Web Services |
| Nuvens públicas - Azure ( iplist-public-clouds-azure) |
Corresponde aos intervalos de endereços IP usados pelo Microsoft Azure |
| Nuvens públicas: Google Cloud ( iplist-public-clouds-gcp) |
Corresponde aos intervalos de endereços IP usados por recursos do cliente, como VMs do Compute Engine e clusters do GKE. Esses intervalos incluem intervalos de IP atribuídos pelo cliente usados por todos os clientes do Google Cloud e não são restritos ao seu projeto ou organização. |
| Nuvens públicas - Serviços do Google ( iplist-public-clouds-google-services) |
Corresponde aos intervalos de endereços IP usados para acesso à API e à Web a todos os serviços do Google, incluindo Google Cloud, Google Workspace, Maps e YouTube. Essa lista abrange a infraestrutura de serviços do Google, como o DNS público do Google, e representa o subconjunto de intervalos de IP públicos do Google distintos dos IPs atribuídos pelo cliente na lista Google Cloud . |
| Provedores de VPN ( iplist-vpn-providers) |
Corresponde a endereços IP que pertencem a provedores de VPN de baixa reputação. |
| Proxies anônimos ( iplist-anon-proxies) |
Corresponde a endereços IP que pertencem a proxies anônimos abertos. |
| Sites de mineração de criptomoedas ( iplist-crypto-miners) |
Corresponde a endereços IP que pertencem a sites de mineração de criptomoedas |
Usar o Google Threat Intelligence com outros filtros de regra de política de firewall
Para definir uma regra de política de firewall com o Google Threat Intelligence, siga estas diretrizes:
Para regras de saída, especifique o destino usando uma ou mais listas do Google Threat Intelligence.
Para regras de entrada, especifique a origem usando uma ou mais listas do Google Threat Intelligence.
É possível configurar as listas do Google Threat Intelligence para políticas hierárquicas de firewall, políticas de firewall de rede global e políticas de firewall de rede regional.
É possível usar essas listas com outros componentes de filtro da regra de origem ou destino.
Para informações sobre como as listas do Google Threat Intelligence funcionam com outros filtros de origem nas regras de entrada, consulte Origens para regras de entrada em políticas hierárquicas de firewall e Origens para regras de entrada em políticas de firewall de rede.
Para informações sobre como as listas do Google Threat Intelligence funcionam com outros filtros de destino nas regras de saída, consulte Destinos para regras de saída.
A geração de registros de firewall é feita no nível da regra. Para facilitar a depuração e a análise do efeito das regras de firewall, não inclua várias listas do Google Threat Intelligence em uma única regra.
É possível adicionar várias listas da Inteligência contra ameaças do Google a uma regra da política de firewall. Cada nome de lista incluído na regra é contado como um atributo, independentemente do número de endereços IP ou intervalos de endereços IP incluídos nessa lista. Por exemplo, se você incluiu os nomes das listas
iplist-tor-exit-nodes,iplist-known-malicious-ipseiplist-search-engines-crawlersna regra da política de firewall, a contagem de atributos de regra por política de firewall será aumentada em três. Para mais informações sobre a contagem de atributos de regras, consulte Detalhes da contagem de atributos de regras.
Como criar exceções para listas do Google Threat Intelligence
Se você tiver regras que se aplicam a listas do Google Threat Intelligence, use as seguintes técnicas para criar regras de exceção aplicáveis a determinados endereços IP em uma lista do Google Threat Intelligence:
Regra de firewall de permissão seletiva: suponha que você tenha uma regra de firewall de entrada ou saída que negue pacotes de ou para uma lista do Google Threat Intelligence. Para permitir pacotes de ou para um endereço IP selecionado nessa lista do Google Threat Intelligence, crie uma regra de firewall de permissão de entrada ou saída de prioridade mais alta separada que especifique o endereço IP de exceção como origem ou destino.
Regra de firewall de negação seletiva: suponha que você tenha uma regra de firewall de entrada ou saída que permita pacotes de ou para uma lista do Google Threat Intelligence. Para negar pacotes de ou para um endereço IP selecionado nessa lista do Google Threat Intelligence, crie uma regra de firewall de negação de entrada ou saída de prioridade mais alta que especifique o endereço IP de exceção como origem ou destino.
A seguir
- Componentes da regra de política de firewall
- Objetos de nome de domínio totalmente qualificado
- Grupos de endereços para políticas de firewall