Cloudflare以外のソースからのサイトのトラフィックを防ぐにはどうすればよいですか？

Question

私はGoogle Cloud Platformを使用して、管理しているサイトにサービスを提供しています。

ロードバランサが1つあり、複数の仮想マシンへの移動を制御しています。

このサイトで[〜＃〜] ddos [〜＃〜]攻撃の問題に遭遇したとき、Google Armorを使用して侵入者のIPをブロックし始めました時間の経過とともに問題がエスカレートすると、私のチームはCloudflareサービスを使用することを決定し、インターネットからサービスへのすべてのドメイントラフィックは、仲介者としてのCloudflareによって導かれます。

ただし、さらに[〜＃〜] ddos [〜＃〜]インシデントは、攻撃が2つの方法で実行されていることを示しています。ドメイン（またはCloudflareを参照するドメインIP）を使用して、ロードバランサの[〜＃〜] ip [〜＃〜]から直接Google Claudから。

[〜＃〜] ip [〜＃〜]が変更されていないため、攻撃者はCloudflareに参加する前に、この負荷バランサーのIPを知っている可能性があります。

すべてのトラフィックがCloudflareによって転送されることを望みます。可能であれば、外部の誰もロードバランサのを知らないようにします[〜＃〜] ip [〜＃〜] または仮想サーバーGoogle Cloudにあります。

2つの質問があります：

ロードバランサのIPアドレスを変更した場合、外部（攻撃者）の誰かがこれにアクセスできます[〜＃〜] ip [〜＃〜]何らかの方法で？
Google Armor（または別のファイアウォール）を使用してGoogle ClaudがCloudflareからのトラフィックのみを受け入れるようにすることができますが、はあります[〜＃〜] ip [〜＃〜]アドレスの永続的な（不変の）リストで、Cloudflareが私のサイト（またはすべてのサイト）との通信にのみ使用しますトラフィックを制限できますか？

多分誰か他の誰かが状況に関していくつかのアイデアを持っているので、彼はそれらを共有したいと思います。私はそれらを聞いてうれしいです。

void_in · Accepted Answer

サイトのパブリックIPアドレスを変更し、Cloudflareを指すようにDNSを構成し、そこからリクエストを転送すると、攻撃者は常にCloudflareを通過し、サーバーに直接アクセスすることはありません。

Cloudflareは、境界で制限できるパブリックIPリストを公開します。リストは https://www.cloudflare.com/ips/ で入手できます。

Benoit Esnard · Answer

CloudFlareの機能である Argo Tunnel を見てみましょう。

サーバーでデーモンを実行させることにより、Cloudflareサーバーのみがサーバーに接続できるようになります。