我正在google app engine上运行我的服务器,我的所有服务(例如MongoDB,Redis,Elasticsearch)都部署在计算引擎上。现在我想从App引擎连接我的计算引擎实例,这就是为什么我删除了我的计算引擎的所有防火墙规则,这些规则是从外部ip连接它们,现在只有我的谷歌云项目内部网络中的实例可以连接到自己,现在我只是想知道 IP欺骗,因为没有人从我的内部网络外部可以连接到我的实例现在可以通过告诉我的防火墙他们的IP是任何IP来伪造他们的IP我的实例是因为如果可能发生这种情况,那么我的整个安全性都将被破坏。
现在有一个问题是谷歌云项目的防火墙实施任何措施来保护我们的实例免受IP欺骗,或者我们必须设置一些东西以避免这种情况。
如果您对此有任何疑问,请赐教。
由于
答案 0 :(得分:3)
您不清楚自己关注哪种欺骗方案。想到这两个:
内部网络的外部派对欺骗数据包,即。 10.0.0.0/8范围。这是不可能的,因为网络中的数据包只能来自该专用网络中的虚拟机和VPN。
欺骗来自其他Google / GCE IP范围的数据包;例如。用于外部地址的:这应该由谷歌的网络ACL捕获。
但我不建议根据IP地址进行身份验证。例如,如果您在GCE / GAE实体之间通过外部IP地址进行通信,则它很容易过于宽泛,也允许其他GCE / GAE客户。即使您只将单个IP地址列入白名单,也存在随着时间的推移,您的设置变得更加复杂的风险。想象一下,例如,如果员工删除GCE实例而不从白名单中删除IP。在这种情况下,IP将被释放并可供其他GCE客户使用,然后他们可以访问您的服务。
因此,使用SSL客户端证书等应用程序级别的身份验证机制通常会更安全。