Google Cloud App Engine 防火墙是不是有一些 API？

Posted 2023-04-15

【中文标题】Google Cloud App Engine 防火墙是不是有一些 API？

【英文标题】：Does Google Cloud App Engine Firewall have some API?Google Cloud App Engine 防火墙是否有一些 API？

【发布时间】：2020-04-18 12:50:10

【问题描述】：

我一直在搜索 Google App Engine（从现在开始为 GAE）是否具有某种 DDO 保护。显然它有，但它已被 GAE 防火墙取代，它允许您选择允许哪些 IP 访问您的应用程序。

这个防火墙向我提出了 2 个问题：

如果有人试图对我的应用发起 DDO 攻击。他们会成功还是会失败？我想相信 Google 会自动停止它（或至少尝试一下），但我真的不知道它是否会。 是否有某种 API 用于编程语言（如 Java）来修改防火墙中允许的 IP，以便我可以通过编程方式禁止我认为危险的 IP？我找不到任何东西，这真的很棒。

谢谢！

【问题讨论】：

如果你用谷歌搜索“google app engine firewall api”，顶部的响应描述了一个API。

可以链接吗？我没有看到任何适用于 Java 的 API，他们只是说从谷歌云中的控制台做的事情

【参考方案1】：

您可以使用具有Java client available here 的AppEngine Admin APIs 以编程方式管理您的防火墙规则（但是我找不到更新防火墙规则的调用）。

【讨论】：

奇怪，他们有一个防火墙模型，但没有任何东西可以使用它......

如果是这种情况，您可以使用其余的 api 来实现 :) 还要检查 mvn Central 上的最新版本，你永远不知道！

【参考方案2】：

好的，我想我找到了。以下是各种编程语言的库列表：https://cloud.google.com/apis/docs/cloud-client-libraries?hl=es

我正在寻找的似乎是FirewallClient，它有方法insertFirewall(InsertFirewallHttpRequest request)：https://googleapis.dev/java/google-cloud-clients/latest/index.html

【参考方案3】：

如果您担心应用的安全性，我的建议是使用Identity-aware-proxy。这应该为您的应用提供全面保护，而不仅仅是针对 DDoS 攻击。

【讨论】：

这不能满足我的需要。任何人仍然可以对我进行 DDoS。我需要阻止对我的服务器的任何 http 请求

并非如此。启用 IAP 后，只有您允许访问的用户才能从第一个实例访问您的应用程序。即使有人试图攻击您的应用程序，由于代理就像用户和应用程序之间的第一道负载平衡墙，攻击甚至不会到达您的后端

但我需要允许任何使用 google、fb 或 twitter 的用户登录，而不仅仅是一组 google 用户

我明白了。这是其他一些讨论。我认为您找到了最佳解决方案。

【参考方案4】：

尝试使用 Cloud Armor 这是最好的解决方案：

https://cloud.google.com/armor