Registos de filtragem de URLs

Os registos do serviço de filtragem de URLs permitem-lhe auditar, validar e analisar a filtragem de tráfego baseada em URLs na sua rede.

Quando a firewall de nova geração da nuvem realiza a filtragem baseada em URL no tráfego com a inspeção da camada 7 ativada, gera uma entrada de registo para cada ligação com detalhes sobre a ligação. O NGFW da nuvem gera uma entrada de registo quando a regra da firewall com inspeção da camada 7 é ativada, independentemente de o Cloud Logging estar ativado ou desativado.

Para ver e examinar os registos de filtragem de URLs, no Explorador de registos, pesquise o registo networksecurity.googleapis.com/firewall_url_filter.

Esta página descreve o formato e a estrutura dos registos de filtragem de URLs que o Cloud NGFW gera para cada ligação quando permite ou nega o tráfego.

Formato do registo de filtragem de URLs

O NGFW da nuvem cria uma entrada de registo no Cloud Logging para cada ligação que é submetida a filtragem de URLs para monitorizar o tráfego de ou para uma instância de máquina virtual (VM) numa zona específica. Os registos de registo estão incluídos no campo de payload JSON de um LogEntry.

Alguns campos de registo estão num formato de vários campos, com mais do que um conjunto de dados num determinado campo. Por exemplo, o campo connection está no formato Connection, que contém o endereço IP e a porta do servidor, o endereço IP e a porta do cliente, e o número do protocolo num único campo.

A tabela seguinte descreve o formato dos campos do registo de filtragem de URLs.

Campo Tipo Descrição
connection Connection Uma tupla de 5 elementos que descreve os parâmetros de ligação associados ao tráfego que é permitido ou recusado com base nas informações de indicação do nome do servidor (SNI).
interceptInstance InterceptInstance Os detalhes da instância de VM onde o tráfego é permitido ou negado com base nas informações de domínio e SNI.
detectionTime string A hora (UTC) em que o ponto final da firewall deteta uma correspondência para o domínio e as informações de SNI.
uriMatched string O domínio em relação ao qual o ponto final da firewall detetou uma correspondência.
interceptVpc VpcDetails Os detalhes da rede da nuvem virtual privada (VPC) associada à instância de VM onde o tráfego é permitido ou recusado com base nas informações de domínio e SNI.
ruleIndex integer O índice ou o número de ordem do filtro de URL em relação ao qual o ponto final da firewall detetou uma correspondência.
direction string A direção do tráfego (CLIENT_TO_SERVER ou SERVER_TO_CLIENT) para a qual o ponto final da firewall detetou uma correspondência.
securityProfileGroupDetails SecurityProfileGroupDetails Os detalhes do grupo de perfis de segurança aplicado ao tráfego intercetado.
denyType string O tipo de informações que o ponto final da firewall usa para negar um tráfego.
  • SNI: o ponto final da firewall negou o tráfego devido a uma correspondência detetada com um SNI.
  • HOST: o ponto final da firewall recusou o tráfego devido a uma correspondência detetada com as informações do domínio presentes no campo do cabeçalho do anfitrião.
  • URI: o ponto final da firewall recusou o tráfego devido a uma correspondência detetada com um URI.
action string A ação, allow ou deny, realizada no tráfego que é filtrado com base nas informações do domínio e SNI. O perfil de segurança define esta ação. Para saber mais acerca da ação configurada, consulte o perfil de segurança de filtragem de URLs.
applicationLayerDetails ApplicationLayerDetails Os detalhes relacionados com o processamento da camada de aplicação.
sessionLayerDetails SessionLayerDetails Os detalhes relacionados com o processamento da camada de sessão.

Formato do campo Connection

A tabela seguinte descreve o formato do campo Connection.

Campo Tipo Descrição
clientIp string O endereço IP do cliente. Se o cliente for uma VM do Compute Engine, clientIp é o endereço IP interno principal ou um endereço num intervalo de IPs de alias da interface de rede da VM. O endereço IP externo não é apresentado. Os registos mostram o endereço IP da instância de VM, conforme observado no cabeçalho IP, semelhante ao despejo de TCP na instância de VM.
clientPort integer O número da porta do cliente.
serverIp string O endereço IP do servidor. Se o servidor for uma VM do Compute Engine, serverIp é o endereço IP interno principal ou um endereço num intervalo de IPs de alias da interface de rede da VM. O endereço IP externo não é apresentado, mesmo que seja usado para estabelecer a ligação.
serverPort integer O número da porta do servidor.
protocol string O protocolo IP da ligação.

Formato do campo InterceptInstance

A tabela seguinte descreve o formato do campo InterceptInstance.

Campo Tipo Descrição
zone string O nome da zona onde a instância de VM associada ao tráfego intercetado está localizada.
vm string O nome da instância de VM associada ao tráfego intercetado.
projectId string O nome do Google Cloud projeto associado ao tráfego intercetado.

Formato do campo VpcDetails

A tabela seguinte descreve o formato do campo VpcDetails.

Campo Tipo Descrição
vpc string O nome da rede VPC associada ao tráfego intercetado.
projectId string O nome do Google Cloud projeto associado à rede VPC.

Formato do campo SecurityProfileGroupDetails

A tabela seguinte descreve o formato do campo SecurityProfileGroupDetails.

Campo Tipo Descrição
securityProfileGroupId string O nome do grupo de perfis de segurança que é aplicado ao tráfego.
organizationId string O ID da organização à qual a instância de VM pertence.

Formato do campo ApplicationLayerDetails

A tabela seguinte descreve o formato do campo ApplicationLayerDetails.

Campo Tipo Descrição
protocol string A versão do protocolo que o ponto final da firewall usa na camada de aplicação.
  • HTTP0: indica uma versão HTTP inferior a 1. O ponto final da firewall lê as informações do domínio a partir do primeiro campo do cabeçalho do anfitrião.
  • HTTP1: indica a versão 1.x do HTTP. O ponto final da firewall lê as informações do domínio a partir do primeiro campo do cabeçalho do anfitrião.
  • HTTP2: indica a versão 2.x do HTTP. Uma vez que o campo do cabeçalho do anfitrião é opcional para esta versão do protocolo, o ponto final da firewall lê as informações do domínio a partir do pseudocabeçalho de autoridade ou dos blocos de cabeçalho dos tipos de frames de cabeçalho, continuação ou push_promise.
uri string As informações de domínio e subdomínio que o ponto final da firewall lê a partir do tráfego.

Formato do campo SessionLayerDetails

A tabela seguinte descreve o formato do campo SessionLayerDetails.

Campo Tipo Descrição
sni string A Indicação do nome do servidor (SNI) que o ponto final da firewall lê a partir do tráfego.
protocolVersion string A versão do protocolo que o ponto final da firewall usa na camada de sessão.
  • TLS1_0: indica a versão 1.0 do TLS.
  • TLS1_1: indica a versão 1.1 do TLS.
  • TLS1_2: indica a versão 1.2 do TLS.
  • TLS1_3: indica a versão 1.3 do TLS.

Correlação do registo de filtragem de URLs com um registo de firewall

Quando o tráfego é avaliado por uma regra de firewall, o Cloud NGFW regista uma entrada de registo de regras de firewall. Esta entrada inclui campos como o endereço IP de origem, o endereço IP de destino e a hora da inspeção de tráfego. Para ver estes registos de regras de firewall, consulte o artigo Ver registos.

Se uma regra de política de firewall com inspeção da camada 7 tiver o registo ativado, o Cloud NGFW regista primeiro a entrada de registo de regras de firewall para o tráfego avaliado. Em seguida, envia o tráfego para o ponto final da firewall para inspeção da camada 7.

O ponto final da firewall analisa o tráfego através do respetivo domínio e SNI, e cria um registo de filtragem de URLs separado para a ligação. Este registo de filtragem de URLs inclui campos como o nome do domínio, a origem do tráfego e o destino do tráfego.

Para ver os registos de filtragem de URLs, no Explorador de registos, pesquise o registo networksecurity.googleapis.com/firewall_url_filter.

Pode comparar os campos no registo de regras da firewall e no registo de filtragem de URLs para identificar a ligação que acionou a filtragem de URLs e tomar as medidas adequadas para a resolver.

Por exemplo, tem uma regra de política de firewall configurada com as seguintes definições:

  • Endereço IP de origem: 192.0.2.0
  • Porta de origem: 47644
  • Endereço IP de destino: 192.0.2.1
  • Porta de destino: 80
  • Registo: Enabled

Para ver os registos de filtragem de URLs associados a esta regra, navegue para a página Explorador de registos. No painel Consulta, cole a seguinte consulta no campo do editor de consultas.

  resource.type="networksecurity.googleapis.com/FirewallEndpoint"
  jsonPayload.source_ip_address="192.0.2.0"
  jsonPayload.source_port="47644"
  jsonPayload.destination_ip_address="192.0.2.1"
  jsonPayload.destination_port="80"

A secção Resultados da consulta apresenta o seguinte registo de filtragem de URLs:

    {
      "insertId": "akxp8uf5f0fuv",
      "jsonPayload": {
      "connection": {
      "serverPort": 80,
      "clientPort": 47644,
      "protocol": "TCP",
      "clientIp": "192.0.2.0",
      "serverIp": "192.0.2.1"
    },
      "interceptInstance": {
      "zone": "us-central1-c",
      "vm": "aied-test-dont-delete",
      "projectId": "project_001"
    },
      "detectionTime": "2025-06-02T19:09:27.802711668Z",
      "uriMatched": "",
      "interceptVpc": {
      "projectId": "project_001",
      "vpc": "default"
    },
      "ruleIndex": 0,
      "direction": "CLIENT_TO_SERVER",
      "@type": "type.googleapis.com/google.cloud.networksecurity.logging.v1.URLFilterLog",
      "securityProfileGroupDetails": {
      "securityProfileGroupId": "project_001/spg/my-spg-id",
      "organizationId": "organization_001"
    },
      "denyType": "HOST",
      "action": "DENY",
      "applicationLayerDetails": {
      "protocol": "HTTP1",
      "uri": "server.fwp.com"
    },
      "sessionLayerDetails": {
      "sni": "",
      "protocolVersion": "PROTOCOL_VERSION_UNSPECIFIED"
    }
  },
    "resource": {
    "type": "networksecurity.googleapis.com/FirewallEndpoint",
    "labels": {
      "location": "us-central1-c",
      "resource_container": "organizations/organization_001",
      "id": "pg-ni-latencyayzl8peq"
    }
  },
  "timestamp": "2025-06-02T19:09:35.452299517Z",
  "logName": "projects/project_001/logs/networksecurity.googleapis.com%2Ffirewall_url_filter",
  "receiveTimestamp": "2025-06-02T19:09:35.452299517Z"
}

Da mesma forma, para ver os registos da firewall associados a esta regra, navegue para a página Logs Explorer. No painel Consulta, cole a seguinte consulta no campo do editor de consultas.

    jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
    jsonPayload.connection.src_ip="192.0.2.0"
    jsonPayload.connection.src_port="47644"
    jsonPayload.connection.dest_ip="192.0.2.1"
    jsonPayload.connection.dest_port="80"

A secção Resultados da consulta apresenta o seguinte registo da firewall:

    {
      insertId: "qn82vdg109q3r9"
      jsonPayload: {
      connection: {
      }
      dest_ip: "192.0.2.1"
      dest_port: 80
      protocol: 6
      src_ip: "192.0.2.0"
      src_port: 47644
      disposition: "INTERCEPTED"
      ►instance: {4}
      ▸ remote_instance: {4}
      ▸ remote_vpc: {3}
      rule_details: {
      action: "APPLY_SECURITY_PROFILE_GROUP"
      apply_security_profile_fallback_action: "UNSPECIFIED"
      direction: "INGRESS"
      ▸ ip_port_info: [1]
      ▼
      priority: 6000
      reference: "network: fwplus-vpc/firewallPolicy: fwplus-fwpolicy"
      source_range: [
      1
      0: "192.0.2.0/24"
      target_secure_tag: [
      0: "tagValues/281479199099651"
      ]
      }
      vpc: {
      project_id: "project_001"
      subnetwork_name: "fwplus-us-central1-subnet"
      vpc_name: "fwplus-vpc"
      }
      }
      logName: "projects/project_001/logs/compute.googleapis.com%2Ffirewall",
      receiveTimestamp: "2023-11-28T19:08:46.749244092Z"
      resource: {2}
      timestamp: "2023-11-28T19:08:40.207465099Z"
    }

Com as consultas de registo de filtragem de URLs e de registo da firewall, pode ver a correlação entre elas. A tabela seguinte mapeia os campos do registo da firewall para os campos do registo de filtragem de URLs correspondentes.

Campo do registo de firewall Campo de registo de filtragem de URLs Descrição
src_ip clientIp O endereço IP de origem no registo da firewall está correlacionado com o endereço IP do cliente no registo de filtragem de URLs para identificar a origem do tráfego filtrado
src_port clientPort A porta de origem no registo da firewall está correlacionada com a porta do cliente no registo de filtragem de URLs para identificar a porta de origem usada pelo tráfego filtrado
dest_ip serverIp O endereço IP de destino no registo da firewall está correlacionado com o endereço IP do servidor no registo de filtragem de URLs para identificar o destino do tráfego filtrado
dest_port serverPort A porta de destino no registo da firewall está correlacionada com a porta do servidor no registo de filtragem de URLs para identificar a porta de destino usada pelo tráfego filtrado

O que se segue?