我正在为GKE上的入口设置一个应用程序,并且想要关闭tcp / udp的端口。除了GCE防火墙设置,我应该如何关闭它们。
通过第三方进行的端口扫描,我发现某些端口已打开,并且其中可能存在任何安全漏洞。
对于某些端口,它们由tcp / udp负载均衡器使用,gcp官方站点表示。 1
现在,我正在使用HTTPS负载平衡器,并且没有设置打开端口的任何其他设置。 我认为全局负载均衡器是最前端的,防火墙设置对负载均衡器后面的任何后端均有效。
为进行试用,我设置了一个防火墙设置,即所有入口连接都被禁止具有最高优先级,但是未显示任何效果。
目标端口列表: tcp开放端口:25,43,110,143,195,465,587,700,993,995,1883,3389,5222,5432,5671,5672,5900,5901,6379,8080,8085,8099,9092,9200,9300 udp开放端口:443
使用nmap(在PowerShell上进行连接检查),它们显示出相同的结果。
上述所有端口保持打开状态。
PS C:\Users\L> $tc = New-Object System.Net.Sockets.tcpClient
PS C:\Users\L> $tc.connect("target-doamin", 25)
PS C:\Users\L> $tc.connected
True
答案 0 :(得分:1)
根据documentation,防火墙规则适用于实例级别。因此,它们无法阻止流量到达负载均衡器本身。
作为一种解决方法,我建议定义Network tags并使用防火墙规则作为目标。