IBM Cloud Docs
关于 IP 电子欺骗检查

关于 IP 电子欺骗检查

IBM Cloud® Virtual Private Cloud 包含对虚拟服务实例的每个网络接口的 IP 电子欺骗检查,以确保来自该网络接口的流量包含相应的寻址。

禁用 IP 电子欺骗检查允许流量通过网络接口,而不是在网络接口处终止。 如果要将实例用作“下一个中继段”,那么实例的网络接口必须允许 IP 电子欺骗。 例如,如果您正在使用定制负载均衡器实例,那么必须为流量设置 allow_ip_spoofing 才能访问该实例。

可以在检查中的两个点删除流量:

  • 检查入局流量以确保将其寻址到所选网络接口。 如果流量的目标地址与所选网络接口地址不匹配,那么将删除流量。

  • 检查出局流量以验证内容是否来自所选网络接口地址。 如果来自所选网络接口的流量的源地址与所选网络接口地址不匹配,那么将删除该流量。

显示虚拟服务器实例来往流量不成功的图{: caption="来往流量不成功的图IP欺骗" caption-side="bottom"}不成功

显示虚拟服务器实例来往成功流量的图
来往成功流量的图*成功的 IP 欺骗
**

只有具有 IP 电子欺骗操作程序 Identity and Access Management (IAM) 特权的操作程序才能在 VPC 中的接口上启用或禁用 IP 电子欺骗检查。 缺省情况下,已启用入口和出口 IP 电子欺骗检查。

启用 IP 电子欺骗检查

创建虚拟服务器实例后,在 IAM 中具有 IP 电子欺骗操作员 角色的网络管理员可以更新网络接口以启用或禁用 IP 电子欺骗检查。

缺省情况下,针对所有用户禁用 IAM IP 电子欺骗操作程序。

有关 IAM 权限的更多信息,请参阅 Managing IAM access for VPC Infrastructure Services

要在控制台中启用 IP 欺骗,请执行以下步骤:

  1. 转至实例的水平导航栏中的 管理> 访问权 (IAM)
  2. 管理身份 部分中选择 用户,然后选择要授予 IP 电子欺骗角色的用户。
  3. 在“访问策略”选项卡中,单击“分配访问”。
  4. 选择 访问策略 磁贴。
  5. 服务 部分中选择“VPC 基础架构服务”。
  6. 资源 部分中选择“全部”。
  7. 选中 角色和操作 部分中的“IP 电子欺骗操作员”。
  8. 单击添加

要从 CLI 启用 IP 电子欺骗,请运行以下命令:

ibmcloud iam user-policy-create YOUR_USER_EMAIL_ADDRESS --roles "IP Spoofing Operator" --service-name is

了解风险

在网络接口上允许 IP 电子欺骗时,请考虑所涉及的潜在安全风险。 具有 IP 电子欺骗操作员 角色的任何人不仅有权启用虚拟网络设备,还可以将实例配置为代表另一个实例发送流量。 此配置会增加平台可能由于未受教育或恶意用户的操作而受到攻击的情况。

向用户分配 IP 电子欺骗操作员 角色时请谨慎。

针对 IP 电子欺骗事件的警报

在网络接口上修改 IP 欺骗时,会生成活动跟踪日志。

VPC 资源生成的审计事件会自动转发到同一位置的 IBM Cloud Activity Tracker Event Routing 服务实例。 该服务可将事件路由到您定义的目标存储位置。 目标可以是 IBM Cloud Object Storage(COS)目标IBM Cloud Logs 目标IBM® Event Streams for IBM Cloud® 目标。 有关更多信息,请参阅 IBM Cloud Activity Tracker Event Routing 入门

您可以使用 IBM Cloud Logs 对在您的账户中生成并由 IBM Cloud Activity Tracker Event Routing 路由到 IBM Cloud Logs 实例的事件进行[可视化]并发出[警报]。 有关访问 IBM Cloud Logs 用户界面的信息,请参阅 IBM Cloud Logs 文档中的 用户界面导航