правила ingress с действием deny для определенных протоколов и портов или, что еще лучше, опцией запретить все порты могут использоваться для блокировки входящего трафика с нарушающего внешнего IP-адреса; Тем не менее, доступ не запрещен после того, как пользователь-нарушитель попытался получить доступ к экземпляру виртуальной машины более 3 раз и потерпел неудачу, либо он автоматически заблокирует IP-адрес и отправит электронное письмо администратору. Так что это невозможно с брандмауэром GCP.
Однако, возможно, стоит проверить программное обеспечение для предотвращения вторжений, такое как « FAIL2BAN и т. Д.».
Fail2ban сканирует файлы журналов (например, / var / log / apache / error_log) и блокирует IP-адреса, которые показывают вредоносные признаки - слишком много сбоев пароля, поиск эксплойтов и т. Д. Обычно Fail2Ban затем используется для обновления правил брандмауэра до отклонить IP-адреса в течение определенного периода времени, хотя любое произвольное другое действие (например, отправка электронного письма) также может быть настроено. Из коробки Fail2Ban поставляется с фильтрами для различных сервисов (apache, courier, ssh и т. Д.).
Fail2Ban способен снизить частоту попыток неверной аутентификации, однако он не может устранить риск, который представляет слабая аутентификация. Настройте службы на использование только двухфакторных или общедоступных / частных механизмов проверки подлинности, если вы действительно хотите защитить службы.