排查端点和检查问题

验证 IDS 端点是否正常运行

如需确认 IDS 端点是否正常运行,请执行以下操作:

  1. 验证 IDS 端点是否显示在 Cloud IDS Google Cloud 控制台中,以及 Attached Policies 列中是否存在数据包镜像政策。
  2. 点击相应政策名称,确保已启用所附加的政策,并确保 Policy Enforcement 已设为已启用
  3. 如需验证是否正在镜像流量,请在受监控的 VPC 中选择一个虚拟机实例,前往可观测性标签页,并确保 Mirrored Bytes 信息中心显示流量已镜像到 IDS 端点。
  4. 确保同一流量(或虚拟机)不会受到多个数据包镜像政策的影响,因为每个数据包只能镜像到一个目的地。检查 Attached Policies 列,确保每个虚拟机只有一项政策。

  5. 使用 SSH 连接到受监网络中的虚拟机,然后运行以下命令以生成测试提醒:

    curl http://example.com/cgi-bin/../../../..//bin/cat%%20/etc/passwd

    如果平台上不提供 curl,您可以使用类似的工具执行 HTTP 请求。

    几秒钟后,Cloud IDS 界面和 Cloud Logging(威胁日志)中都应会显示一条提醒。

解密流量以进行检查

如需检查流量,Cloud IDS 会使用数据包镜像将已配置流量的数据包级副本发送到 IDS 虚拟机。即使收集器目的地收到所有镜像数据包,Cloud IDS 也无法解密任何携带使用 TLS、HTTPS 或 HTTP2 等安全协议加密的数据的数据包。

例如,如果您使用 HTTPS 或 HTTP2 作为外部应用负载均衡器的后端服务协议,则发送到负载均衡器后端的数据包可以镜像到 Cloud IDS;但是,Cloud IDS 无法检查这些请求,因为数据包携带的是加密数据。如需启用 Cloud IDS 检查,您必须将后端服务协议更改为 HTTP。或者,您也可以使用 Google Cloud Armor 进行入侵防范,并启用应用负载均衡器日志以进行请求检查。如需详细了解应用负载均衡器请求日志记录,请参阅全球外部应用负载均衡器日志记录和监控以及区域级外部应用负载均衡器日志记录和监控

仅检查少量流量

Cloud IDS 会检查发送到或接收镜像子网中资源的流量,包括 Google Cloud 虚拟机、GKE 节点和 Pod。

如果镜像子网不包含任何虚拟机,Cloud IDS 将没有流量可供检查。

使用 Cloud NGFW L7 检查政策时,系统会忽略端点政策

当您将 Cloud 新一代防火墙第 7 层检查政策(使用 apply_security_profile_group 操作的规则)与 Cloud IDS 搭配使用时,系统会评估防火墙政策规则,但不会将流量镜像到 Cloud IDS 进行检查。要避免出现这种情况,请确保 Cloud NGFW L7 检查政策不适用于您需要使用 Cloud IDS 检查的数据包。