问题标签 [google-cloud-armor]

我想为我的网站创建新的 Cloud Armor 策略以防止托管在 GCP VM 上的 DDOS 攻击。那么如何防止和配置 tcp、udp flood 和 ICMP。还有哪些IP要加入黑名单。

请推荐我，谢谢

Firebase 托管没有提供足够的安全性，但我喜欢 Firebase 的功能。所以我写了一个渲染动态内容的firebase函数。我把它放在谷歌负载均衡器后面，以便能够阻止除白名单 IP 之外的所有流量。

我希望编写一个函数，在成功登录后将 IP 列入云盔甲的白名单。我希望将尽可能多的 IP 列入白名单（1000+），并在每个会话到期时为每个 IP 添加一个 TTL。

我的目标是严格限制访问并防止可能导致功能下降并产生费用的 DDoS 攻击。不记名令牌对于我的用例来说是不够的。

所以这是一个两部分的问题，是否可以通过编程方式将 IP 列入白名单？我可以将多少个 IP 列入白名单有限制吗？

更新： 根据https://cloud.google.com/armor/quotas，我可以有 200 条规则，每条规则包含 10 个 IP，即 2000 个 IP。所以我的新问题是，这是 Cloud Armor 的标准用例吗？

我知道我可以增加配额，但还有其他负载均衡器服务，例如 Cloudflare，具有更大的 IP 白名单。虽然，我想留在谷歌服务中。

在 GCP 云盔甲文档中，这里提到它支持配置 HTTP(S) 和 TCP 负载均衡器。但我无法将 TCP 负载均衡器添加为 Cloud Armor 中的目标，因为它没有在目标列表中显示 TCP 负载均衡器。

我目前有一个 GKE 集群运行我的前端（Angular）和我的后端（Nodejs / Adonisjs），我使用此条件为 Cloud Armor 配置了允许策略

它可以很好地返回 HTTP CODE 403，但是如果我使用 Postman 将源头设置为https://subdomain.domain.cl进行查询，则会绕过 Cloud Armor 的安全性。

由于我的前端在客户端运行，我没有允许连接的静态 IP 地址，我该如何解决这个问题？

引用https://cloud.google.com/load-balancing/docs/https/setting-up-https-serverless#enabling

虽然可以使用 Cloud Run（全托管）、Cloud Functions 和 App Engine 后端为后端服务配置 Google Cloud Armor，但此功能存在一定的限制，尤其是 Cloud Run（全托管）和 App Engine。有权访问 Google Cloud 分配给这些服务的默认 URL 的用户可以绕过负载平衡器并直接访问服务 URL，从而绕过任何已配置的 Google Cloud Armor 安全策略。

避免攻击者针对 Cloud Run URL ( *.run.app) 绕过 Cloud Armor 的最佳方法是什么？

通常我会让 Cloud Run 只能由服务帐户调用，但 Cloud Load Balancer 不能使用服务帐户来调用 Cloud Run。另一种方法是将 Cloud Load Balancer 配置为在标头中使用令牌，并将在 Cloud Run 中运行的应用配置为仅接受具有正确标头/令牌的调用，但我不希望在应用中这样做。

我正在尝试将谷歌云盔甲添加到我的 Terraform 项目中，该项目使用 Kubernetes 部署应用程序。我按照这个例子。但是，就我而言，我想创建此规则： https ://github.com/hashicorp/terraform-provider-google/blob/master/examples/cloud-armor/main.tf

关闭所有端口上所有 IP 的所有流量，但打开端口 80 和 443 上所有 IP 的流量

• web_application_firewall.tf然后我在目录下添加了一个文件，它terraform/kubernetes具有以下配置：

在这里，我停用了端口 445，但重新部署后，我仍然可以访问 Web 应用程序。你能告诉我我在这里做错了什么吗？先感谢您。

我有一个 VM 实例，它接收到大量试图破解实例的垃圾邮件/机器人流量，例如New Request to /blog/wp-includes/wlwmanifest.xml. 尽管这些都没有成功，但它给实例增加了压力。

是否可以阻止谷歌云网络上的特定端点尝试？

到目前为止，我只能找到一种使用防火墙阻止特定 IP 地址的方法。

我在这里寻找类似于答案的东西：https ://community.cloudflare.com/t/is-there-a-way-to-prevent-wp-path-probing/204761

首先，我使用 Nginx 入口控制器和 gke 的掌舵，并且我使用 ModSecurity 作为 waf。尽管如此，我正在研究一种新型的waf来显示预防的结果，云盔甲看起来就像我正在寻找的东西。不幸的是，它仅适用于 HTTP/HTTPS 负载均衡器，但我的 Nginx 入口外部负载均衡器是 TCP 负载均衡器。据我研究，我无法将此负载平衡器的协议 TCP 转换为 HTTP/HTTPS。

其次，我尝试创建一个新的云负载均衡器来通过它路由流量。不幸的是，即使我可以在上面激活云盔甲，路由也没有像我预期的那样工作，因为它仍然返回了 502，即使它的运行状况检查看起来还不错。

最后，我尝试将 BackendConfig 与 yaml 一起使用：

而且它不再起作用了。那是我最后的希望。这里有什么建议吗？

我正在使用 Cloud Armor 部署 WAF，我意识到可以在“仅限预览”模式下创建规则，并且 Cloud Logging 中有 Cloud Armor 条目。

问题是，当我创建“仅限预览”规则并且该规则与某些请求匹配时，我无法在日志中区分与某些特定规则匹配的请求和/或正常的普通请求。它们看起来都差不多。

在这些情况下，当请求匹配特定规则时，是否有任何日志记录属性仅存在（或具有特定值）？因为我发现明确检查某些请求匹配的规则的唯一方法是取消选中“仅预览”标志，并且在测试时对生产不利。

如何限制从外部 GCP 访问 API Gateway？Cloud Armor 只能用于负载均衡器。

我创建了 GCP API 网关（后端是 App Engine 上的 Flask 应用程序）。我想限制来自外部 GCP 项目的访问。