要保护GCP云函数的HTTP端点，可以使用GCP的Identity-Aware Proxy（IAP）来进行身份验证和访问控制。以下是一个示例解决方案，使用了IAP和Cloud Functions的HTTP触发器。

1. 在GCP控制台中，打开Cloud Functions页面，并创建一个HTTP触发器的云函数。

例如，创建一个名为my-function的云函数，可以通过HTTP请求访问。

2. 在GCP控制台中，打开Identity-Aware Proxy（IAP）页面，并启用IAP。

3. 在IAP页面中，选择"应用访问"，然后点击"添加"，选择您的云函数。

4. 在IAP页面中，选择"认证"，然后点击"添加"，选择"所有用户"或指定的用户组。

5. 在IAP页面中，选择"访问控制"，然后点击"添加"，选择"所有用户"或指定的用户组，并选择"拒绝"权限。

现在，您的云函数的HTTP端点已经被IAP保护，并且只允许经过身份验证的用户访问。

以下是一个示例云函数的代码，使用了Express框架和IAP中间件来进行身份验证。

const express = require('express');
const app = express();

// 使用IAP中间件进行身份验证
app.use((req, res, next) => {
  const iap = require('iap');
  const iapClientId = 'YOUR_IAP_CLIENT_ID';

  iap
    .authorize({ clientId: iapClientId })
    .then((decodedUser) => {
      // 用户已通过身份验证，继续处理请求
      next();
    })
    .catch((err) => {
      // 身份验证失败，返回未经授权的错误响应
      res.status(401).send('Unauthorized');
    });
});

// 处理HTTP请求的云函数逻辑
app.get('/', (req, res) => {
  res.send('Hello, World!');
});

// 在Cloud Functions中导出Express应用
exports.myFunction = require('firebase-functions').https.onRequest(app);

注意，上述代码中的YOUR_IAP_CLIENT_ID应替换为您的IAP客户端ID。您可以在IAP页面中找到该ID。

这样，当您的云函数的HTTP端点被访问时，会先经过身份验证，只有经过身份验证的用户才能访问。