阻止来自Google Compute Instance的违规IP

时间:2016-01-25 19:09:37

标签: google-compute-engine google-cloud-platform

Google Compute Engine实例是否存在网络级IP地址阻止/黑名单功能?例如,站点驻留在GCE实例上以允许公共用户访问。但是,恶意脚本会运行几次/秒,这不是合法的流量。理想情况下,违规用户的IP可以放在阻止列表中,这样流量就不会路由到实例,而只是仅服务器端机制(apache模块,IPtables等)仍然需要CPU / RAM /磁盘资源。

4 个答案:

答案 0 :(得分:1)

您可以为实例设置HTTP负载均衡器,并仅允许从LB IP地址到您的实例的流量。有关详细信息,请参阅此Help Center article

答案 1 :(得分:0)

GCP本身不提供WAF。您可以使用市场WAF(如Brocade WAF)来阻止IP。

https://cloud.google.com/launcher/solution/brocade-public-1063/stm-csub-1000-h-saf?q=brocade

答案 2 :(得分:0)

绝对不是建议的管理防火墙黑名单的方法。

但是...

在计算GUI中,您可以在匹配项为“拒绝”且协议和端口为“全部拒绝”时创建防火墙规则集操作。然后设置源IP。

compute GUI

然后您可以运行cron作业以通过gcloud compute firewall-rules update更新防火墙,以在列表更改时更新源IP。

注释(来自Google-https://cloud.google.com/vpc/docs/using-firewalls):

gcloud计算防火墙规则更新用于更新允许/拒绝传入/传出流量的防火墙规则。仅针对专门传递的参数更新防火墙规则。其他属性将保持不变。更新防火墙规则时,无法定义操作标志(允许还是拒绝匹配流量)

答案 3 :(得分:-2)

是的,您可以使用Gcloud Firewall阻止它。

尝试从命令行创建防火墙规则或登录Google Cloud。

示例:

gcloud compute firewall-rules create tcp-deny --network example-network --source-ranges 10.0.0.0/8 --allow !tcp:80

以上规则将阻止10.0.0.0/8到端口80(tcp)的范围。 可以通过tcp和udp阻止其他IP范围。

有关详情,请查看:glcoud network config