本頁面說明防火牆政策規則如何根據 Google Threat Intelligence 資料允許或封鎖流量,進而保護網路。Google Threat Intelligence 資料包含下列類別的 IP 位址清單:
- Tor 結束節點:Tor 是開放原始碼軟體,可實現匿名通訊。如要排除隱藏身分的使用者,請封鎖 Tor 結束節點的 IP 位址 (流量離開 Tor 網路的端點)。
- 已知的惡意 IP 位址:已知是網頁應用程式攻擊來源的 IP 位址。如要提升應用程式的安全性,請封鎖這些 IP 位址。
- 搜尋引擎:您可以允許這些 IP 位址,讓網站編入索引。
- 公用雲端 IP 位址範圍:您可以封鎖這個類別,避免惡意自動化工具瀏覽網路應用程式;如果您的服務使用其他公用雲端,則可以允許這個類別。這個類別進一步細分為以下子類別:
- Amazon Web Services 使用的 IP 位址範圍
- Microsoft Azure 使用的 IP 位址範圍
- Google Cloud使用的 IP 位址範圍
- Google 服務使用的 IP 位址範圍
Google 威脅情報資料清單可包含 IPv4 位址、IPv6 位址或兩者。如要在防火牆政策規則中設定 Google Threat Intelligence,請根據要允許或封鎖的類別,使用預先定義的 Google Threat Intelligence 清單名稱。這些清單會持續更新,保護服務免於新威脅侵擾,且無需額外設定步驟。有效清單名稱如下。
| 名單名稱 | 說明 |
|---|---|
| 已知的惡意 IP ( iplist-known-malicious-ips) |
比對已知會攻擊網頁應用程式的 IP 位址 |
| 搜尋引擎檢索器 ( iplist-search-engines-crawlers) |
與搜尋引擎檢索器的 IP 位址相符 |
| TOR 結束節點 ( iplist-tor-exit-nodes) |
比對 TOR 結束節點的 IP 位址 |
| 公有雲 IP ( iplist-public-clouds) |
與公有雲的 IP 位址相符 |
| 公有雲 - AWS ( iplist-public-clouds-aws) |
與 Amazon Web Services 使用的 IP 位址範圍相符 |
| 公有雲 - Azure ( iplist-public-clouds-azure) |
與 Microsoft Azure 使用的 IP 位址範圍相符 |
| 公有雲 - Google Cloud ( iplist-public-clouds-gcp) |
與客戶資源 (例如 Compute Engine VM 和 GKE 叢集) 使用的 IP 位址範圍相符。這些範圍包括所有 Google Cloud 客戶使用的客戶指派 IP 範圍,不限於您自己的專案或機構。 |
| 公有雲 - Google 服務 ( iplist-public-clouds-google-services) |
與用於 API 和網路存取的 IP 位址範圍相符,可存取所有 Google 服務,包括 Google Cloud、Google Workspace、地圖和 YouTube。這份清單涵蓋 Google 擁有的服務基礎架構 (例如 Google 公用 DNS),並代表Google 公開 IP 範圍的子集,與 Google Cloud 清單中客戶指派的 IP 不同。 |
| VPN 供應商 ( iplist-vpn-providers) |
比對屬於信譽不佳 VPN 供應商的 IP 位址 |
| 匿名 Proxy ( iplist-anon-proxies) |
比對屬於開放式匿名 Proxy 的 IP 位址 |
| 加密貨幣挖礦網站 ( iplist-crypto-miners) |
與加密貨幣挖礦網站的 IP 位址相符 |
搭配其他防火牆政策規則篩選器使用 Google Threat Intelligence
如要使用 Google 威脅情報定義防火牆政策規則,請按照下列 指南操作:
針對輸出規則,請使用一或多個目的地 Google 威脅情報清單指定目的地。
針對輸入規則,請使用一或多個來源 Google Threat Intelligence 清單指定來源。
您可以為階層式防火牆政策、全域網路防火牆政策和區域網路防火牆政策,設定 Google 威脅情報清單。
您可以搭配其他來源或目的地規則篩選器元件使用這些清單。
如要瞭解 Google 威脅情報清單如何與輸入規則中的其他來源篩選器搭配運作,請參閱「階層式防火牆政策中的輸入規則來源」和「網路防火牆政策中的輸入規則來源」。
如要瞭解 Google 威脅情報清單如何與輸出規則中的其他目的地篩選器搭配運作,請參閱「輸出規則目的地」。
防火牆記錄是在規則層級進行。為方便您偵錯及分析防火牆規則的影響,請勿在單一防火牆規則中加入多個 Google Threat Intelligence 清單。
您可以在防火牆政策規則中新增多個 Google 威脅情報清單。 無論清單中包含多少 IP 位址或 IP 位址範圍,規則中包含的每個清單名稱都會計為一個屬性。舉例來說,如果您在防火牆政策規則中加入
iplist-tor-exit-nodes、iplist-known-malicious-ips和iplist-search-engines-crawlers清單名稱,每個防火牆政策的規則屬性計數就會增加三。如要進一步瞭解規則屬性計數,請參閱「規則屬性計數詳細資料」。
為 Google Threat Intelligence 清單建立例外狀況
如果您的規則適用於 Google 威脅情報清單,可以使用下列技術建立例外規則,適用於 Google 威脅情報清單中的特定 IP 位址:
選擇性允許防火牆規則:假設您有輸入或輸出防火牆規則,會拒絕來自或傳送至 Google 威脅情報清單的封包。如要允許 Google 威脅情報清單中特定 IP 位址的封包,請建立優先順序較高的個別輸入或輸出允許防火牆規則,並將例外 IP 位址指定為來源或目的地。
選擇性拒絕防火牆規則:假設您有允許封包從 Google 威脅情報清單傳入或傳出的輸入/輸出防火牆規則。如要拒絕 Google 威脅情報清單中特定 IP 位址傳送或接收的封包,請建立優先順序較高的輸入或輸出拒絕防火牆規則,並將例外 IP 位址指定為來源或目的地。