本页面介绍了防火墙政策规则如何根据 Google Threat Intelligence 数据允许或阻止流量,从而保护您的网络。Google Threat Intelligence 数据包括基于以下类别的 IP 地址列表:
- Tor 退出节点:Tor 是一种开源软件,可实现匿名通信。如需排除隐藏其身份的用户,请阻止 Tor 退出节点(流量离开 Tor 网络的端点)的 IP 地址。
- 已知恶意 IP 地址:已知属于 Web 应用攻击来源的 IP 地址。为了改善应用的安全状况,请屏蔽这些 IP 地址。
- 搜索引擎:您可以允许以启用网站索引的 IP 地址。
- 公有云 IP 地址范围:您可以阻止此类别以免恶意自动化工具浏览 Web 应用;或者,如果您的服务使用其他公有云,则您可以允许此类别。此类别进一步分为以下子类别:
- Amazon Web Services 使用的 IP 地址范围
- Microsoft Azure 使用的 IP 地址范围
- Google Cloud使用的 IP 地址范围
- Google 服务使用的 IP 地址范围
Google Threat Intelligence 数据列表可以包含 IPv4 地址和/或 IPv6 地址。如需在防火墙政策规则中配置 Google Threat Intelligence,请根据您要允许或阻止的类别来使用预定义的 Google Threat Intelligence 列表名称。这些列表会持续更新,从而保护服务免受新威胁的影响,而无需执行额外的配置步骤。有效的列表名称如下。
| 列表名称 | 说明 |
|---|---|
| 已知恶意 IP ( iplist-known-malicious-ips) |
匹配已知用于攻击 Web 应用的 IP 地址 |
| 搜索引擎抓取工具 ( iplist-search-engines-crawlers) |
匹配搜索引擎抓取工具的 IP 地址 |
| Tor 退出节点 ( iplist-tor-exit-nodes) |
匹配 TOR 退出节点的 IP 地址 |
| 公有云 IP ( iplist-public-clouds) |
匹配属于公有云的 IP 地址 |
| 公有云 - AWS ( iplist-public-clouds-aws) |
匹配 Amazon Web Services 使用的 IP 地址范围 |
| 公有云 - Azure ( iplist-public-clouds-azure) |
匹配 Microsoft Azure 使用的 IP 地址范围 |
| 公有云 - Google Cloud ( iplist-public-clouds-gcp) |
与客户资源(例如 Compute Engine 虚拟机和 GKE 集群)使用的 IP 地址范围相匹配。这些范围包括所有 Google Cloud 客户使用的客户分配的 IP 范围,不限于您自己的项目或组织。 |
| 公有云 - Google 服务 ( iplist-public-clouds-google-services) |
匹配用于 API 和网页访问所有 Google 服务(包括 Google Cloud、Google Workspace、Google 地图和 YouTube)的 IP 地址范围。 此列表涵盖 Google 自有的服务基础架构(例如 Google 公共 DNS),并且表示与 Google Cloud 列表中的客户分配 IP 不同的Google 公共 IP 范围的子集。 |
| VPN 提供商 ( iplist-vpn-providers) |
匹配属于声誉不佳的 VPN 提供方的 IP 地址 |
| 匿名代理 ( iplist-anon-proxies) |
匹配属于开放匿名代理的 IP 地址 |
| 加密货币挖矿网站 ( iplist-crypto-miners) |
匹配属于加密货币挖矿网站的 IP 地址 |
将 Google Threat Intelligence 与其他防火墙政策规则过滤条件结合使用
要使用 Google Threat Intelligence 定义防火墙政策规则,请遵循以下准则:
对于出站流量规则,请使用一个或多个目的地 Google Threat Intelligence 列表指定目的地。
对于入站流量规则,请使用一个或多个来源 Google Threat Intelligence 列表指定来源。
您可以为分层防火墙政策、全球网络防火墙政策和区域级网络防火墙政策配置 Google Threat Intelligence 列表。
您可以将这些列表与其他来源或目的地规则过滤条件组件结合使用。
如需了解 Google Threat Intelligence 列表如何与入站流量规则中的其他来源过滤条件搭配使用,请参阅分层防火墙政策中的入站流量规则的来源和网络防火墙政策中的入站流量规则的来源。
如需了解 Google Threat Intelligence 列表如何与出站流量规则中的其他目的地过滤条件搭配使用,请参阅出站流量规则的目的地。
防火墙日志记录是在规则级别完成的。为便于调试和分析防火墙规则所带来的影响,请勿在单一防火墙规则中包含多个 Google Threat Intelligence 列表。
您可以向防火墙政策规则添加多个 Google Threat Intelligence 列表。无论该列表中包含的 IP 地址或 IP 地址范围的数量是多少,规则中包含的每个列表名称都算作一个属性。例如,如果您已在防火墙政策规则中添加了
iplist-tor-exit-nodes、iplist-known-malicious-ips和iplist-search-engines-crawlers列表名称,则每项防火墙政策的规则属性计数增加 3。如需详细了解规则属性数量,请参阅规则属性计数详细信息。
创建 Google Threat Intelligence 列表的例外情况
如果您的规则适用于 Google Threat Intelligence 列表,则可以使用以下方法创建适用于 Google Threat Intelligence 列表中的某些 IP 地址的例外规则:
选择性允许防火墙规则:假设您有入站流量或出站流量防火墙规则,该规则拒绝来自或发送到 Google Threat Intelligence 列表的数据包。如需允许来自或发送到该 Google Threat Intelligence 列表中所选 IP 地址的数据包,请创建单独的优先级较高的入站流量或出站流量允许防火墙规则,以将例外 IP 地址指定为来源或目的地。
选择性拒绝防火墙规则:假设您有入站流量或出站流量防火墙规则,该规则允许来自或发送到 Google Threat Intelligence 列表的数据包。如需拒绝来自或发送到该 Google Threat Intelligence 列表中所选 IP 地址的数据包,请创建优先级较高的入站流量或出站流量拒绝防火墙规则,以将例外 IP 地址指定为来源或目的地。