En esta página, se describen las categorías y los estados de Estadísticas de firewall.
Las estadísticas analizan la configuración y el uso de tus reglas de firewall con el tipo de estadísticas google.compute.firewall.Insight.
Categorías de estadísticas
Dentro de Estadísticas de firewall, las estadísticas se dividen en las dos categorías generales que se describen en la siguiente tabla.
| Categoría | Descripción | Estadísticas |
|---|---|---|
| Basada en la configuración | Las estadísticas se generan en función de los datos sobre cómo configuraste las reglas de firewall. | Reglas bloqueadas |
| Basado en registros | Las estadísticas se generan a partir del registro sobre el uso de tus reglas de firewall y la información sobre cómo configuraste tus reglas de firewall. |
Reglas demasiado permisivas
Reglas |
Cada subtipo de estadística tiene un nivel de gravedad. Por ejemplo, para las estadísticas de regla bloqueada, el nivel de gravedad es medium. Para obtener más información, consulta Gravedad en la documentación del recomendador.
Estados de estadísticas
Cada estadística puede tener uno de los siguientes estados, que puedes cambiar como se describe en la siguiente tabla.
| Estado | Descripción |
|---|---|
ACTIVE |
La estadística está activa. Google continúa actualizando el contenido de las estadísticas ACTIVE según la información más reciente. |
DISMISSED |
La estadística se descarta y ya no se muestra a ningún usuario en ninguna lista de estadísticas activas. Puedes restablecer el estado Para obtener más información, consulta Marca una estadística como descartada. |
Reglas bloqueadas
Las reglas de bloqueo comparten atributos, como direcciones IP, con otras reglas con prioridad igual o superior, llamadas reglas de bloqueo. Estadísticas de firewall analiza tus reglas de firewall de VPC y políticas de firewall para detectar estas reglas en sombra.
- En el caso de las políticas de firewall asignadas a una red de VPC, puedes ver estadísticas sobre una regla de política ensombrecida por una regla de VPC en la misma política o en cualquier otra.
- Las políticas de firewall jerárquicas, las políticas de firewall de red globales y las reglas de firewall de VPC se evalúan en función del orden de evaluación de políticas y reglas. Por ejemplo, en el caso de las políticas de firewall de red global, es posible que obtengas información sobre qué regla de política de firewall de red global está bloqueada por una regla de firewall de VPC según el orden de evaluación de reglas.
- Si tienes reglas de firewall con etiquetas seguras en una política de firewall de red global, puedes ver estadísticas sobre esas reglas que se ocultan entre sí en la misma política de firewall global. Para obtener más información, consulta Etiquetas para firewalls.
Las Estadísticas de firewall no identifican todas las reglas bloqueadas posibles. Específicamente, no identifica que varias etiquetas de otras reglas de firewall hayan bloqueado las etiquetas de una regla de firewall.
Ejemplos de reglas bloqueadas
En este ejemplo, algunas reglas bloqueadas y reglas de bloqueo tienen filtros de rango de IP de origen superpuestos, y otros tienen prioridades de reglas diferentes.
En la siguiente tabla, se muestran las reglas de firewall de A a E. Para diferentes situaciones de reglas bloqueadas, consulta las secciones que siguen a la tabla.
| Política de firewall |
Tipo | Targets | Filtros | Protocolos o puertos |
Acción | Priority | |
|---|---|---|---|---|---|---|---|
| Regla de firewall A | X | Entrada | Aplicar a todo | 10.10.0.0/16 | tcp:80 | Allow | 1000 |
| Regla de firewall B | Y | Entrada | Aplicar a todo | 10.10.0.0/24 | tcp:80 | Allow | 1000 |
| Regla de firewall C | - | Entrada | web | 10.10.2.0/24 | tcp:80 tcp:443 | Allow | 1000 |
| Regla de firewall D | - | Entrada | web | 10.10.2.0/24 | tcp:80 | Denegar | 900 |
| Regla de firewall E | - | Entrada | web | 10.10.2.0/24 | tcp:443 | Denegar | 900 |
Ejemplo 1: La regla de firewall B está bloqueada por la regla de firewall A
En este ejemplo, hay dos reglas de firewall: A y B. Estas reglas son casi idénticas, excepto por los filtros de rango de dirección IP de origen. Por ejemplo, el rango de direcciones IP de A es 10.10.0.0/16, mientras que el rango de direcciones IP de B es 10.10.0.0/24. Por lo tanto, la regla de firewall B está bloqueada por la regla de firewall A.
La estadística shadowed firewall rules suele indicar una configuración incorrecta del firewall. Por ejemplo, la configuración del filtro de dirección IP de A es amplia o la configuración del filtro de B es demasiado restrictiva y no es necesaria.
Ejemplo 2: La regla de firewall C está bloqueada por las reglas de firewall D y E
En este ejemplo, hay tres reglas de firewall: C, D y E. La regla de firewall C permite la entrada del tráfico web del puerto HTTP 80 y del puerto HTTPS 443, y tiene una prioridad de 1000 (prioridad predeterminada). Por el contrario, las reglas de firewall D y E rechazan el ingreso del tráfico web HTTP y HTTPS, respectivamente, y ambas tienen una prioridad de 900 (prioridad alta). Por lo tanto, la regla de firewall C está bloqueada por las reglas de firewall D y E combinadas.
Ejemplo 3: La regla de firewall B en la política de firewall Y está bloqueada por la regla de firewall A en la política X
En este ejemplo, hay dos reglas de firewall: A y B. La regla de firewall A está en la política X asociada con la carpeta 1, mientras que la regla de firewall B está en la política Y asociada con la carpeta 2. Tanto Folder1 como Folder2 se encuentran en el mismo nodo de organización, y Folder2 es un elemento secundario de Folder1. Estas dos reglas son idénticas, excepto por su rango de direcciones IP de origen. Esta estadística indica que la regla de firewall B en la política Y no es necesaria porque ya está cubierta por la regla de firewall A en la política X. Por lo tanto, la regla de firewall B en la política Y está bloqueada por la regla de firewall A en la política X.
Ejemplo 4: La regla de firewall B en la política de firewall de red global Y está bloqueada por la regla de firewall A
En este ejemplo, hay dos reglas de firewall: A y B. Las reglas de firewall A y B están en Network1, pero la regla de firewall B está en la política de firewall de red global Y.
El orden de aplicación de la política de firewall de la política Y es AFTER_CLASSIC_FIREWALLS.
Estas dos reglas son casi idénticas, excepto por el rango de direcciones IP de origen.
Esta estadística indica que la regla B en la política Y no es necesaria, ya que la regla A ya la abarca. Por lo tanto, la regla de firewall B en la política Y está bloqueada por la regla de firewall A.
Reglas de rechazo con hits
Esta estadística proporciona detalles sobre las reglas deny que tuvieron hits durante el período de observación.
Estas estadísticas te proporcionan señales de descarte de paquetes de firewall. Luego, puedes verificar si los paquetes descartados se esperan debido a protecciones de seguridad o si son el resultado de una configuración incorrecta de la red.
Reglas demasiado permisivas
Las Estadísticas de firewall proporcionan un análisis integral sobre si las reglas de firewall son demasiado permisivas. Este análisis incluye las siguientes estadísticas:
- Reglas de permiso sin hits
- Permite reglas obsoletas en función del análisis adaptable
- Reglas de permiso con atributos sin usar
- Reglas de permiso con rangos de puertos o direcciones IP demasiado permisivos
Los datos proporcionados por estas estadísticas provienen del registro de reglas de firewall. Por lo tanto, estos datos son precisos solo si habilitaste el registro de reglas de firewall para todo el período de observación. De lo contrario, la cantidad de reglas en cada categoría de estadísticas podría ser mayor que la indicada.
Las estadísticas de reglas demasiado permisivas evalúan el tráfico de TCP y UDP. No se analizan otros tipos de tráfico. Para obtener más información, consulta la descripción de cada estadística.
Cada subtipo de estadística tiene un nivel de gravedad. Por ejemplo, el nivel de gravedad es high para las estadísticas de reglas demasiado permisivas. Para obtener más información, consulta Gravedad en la documentación del recomendador.
Reglas de permiso sin hits
Esta estadística identifica reglas allow que no tuvieron hits durante el período de observación.
Para cada regla, puedes ver las predicciones del aprendizaje automático sobre si es probable que una regla o un atributo se alcancen en el futuro. Esta predicción se produce mediante un análisis de aprendizaje automático que considera el patrón de tráfico histórico de esta regla y las reglas similares en la misma organización.
Para ayudarte a comprender la predicción, esta estadística identifica reglas similares en el mismo proyecto a la regla que identificó la estadística. La estadística enumera el recuento de aciertos de estas reglas y resume los detalles de su configuración. Estos detalles incluyen la prioridad y los atributos de cada regla, como su dirección IP y sus rangos de puertos.
Allow rules with no hits evalúa las reglas de firewall que se aplican al tráfico de TCP y UDP. Si una regla de firewall permite cualquier otro tipo de tráfico, no se incluye en este análisis.
Permite reglas obsoletas en función del análisis adaptable
Esta estadística identifica las reglas allow que tienen menos probabilidades de estar activas según los patrones de uso y el análisis adaptable. La estadística se produce a partir de un análisis de aprendizaje automático que considera el recuento promedio de hits en las últimas seis semanas y el análisis adaptativo de recuentos de hits recientes. Sin embargo, si la regla nunca estuvo activa desde que comenzó el seguimiento del recuento de hits, es posible que también se incluya en la estadística hasta que vuelva a estar activa.
Por ejemplo, supongamos que una regla de firewall tuvo hits con frecuencia durante las últimas semanas del período de observación y dejó de tener hits durante varios días. En ese caso, es posible que veas esta estadística para esa regla, lo que indica un cambio en el patrón de uso. Sin embargo, se analizan las reglas de firewall para identificar aquellas que se activan con poca frecuencia, pero que están activas. Estas reglas activas no aparecen en esta estadística.
Para cada regla, si el análisis de aprendizaje automático la identifica como inactiva, puedes ver las estadísticas basadas en el análisis adaptativo más rápido y antes de que finalice el período de observación. Por ejemplo, es posible que comiences a obtener estadísticas basadas en el análisis adaptativo después de la primera semana de tu período de observación, incluso si es de 12 meses.
Después de que finalice el período de observación, podrás ver las estadísticas basadas en los datos recopilados a través del registro de reglas de firewall durante todo el período de observación.
Reglas de permiso con atributos sin usar
Esta estadística identifica reglas allow que tienen atributos, como la dirección IP y los rangos de puertos, que no se alcanzaron durante el período de observación.
Para cada regla identificada, esta estadística también informa la probabilidad de que la regla tenga hits en el futuro. Esta predicción se basa en predicciones de aprendizaje automático que consideran los patrones de tráfico históricos de esta regla y las reglas similares en la misma organización.
Para ayudarte a comprender la predicción, la estadística resume otras reglas de firewall en el mismo proyecto que tienen atributos similares. Este resumen incluye datos sobre si se alcanzaron los atributos de esas reglas.
Allow rules with unused attributes evalúa solo los atributos que se definen para el tráfico de TCP y UDP. Si una regla permite otros tipos de tráfico además de TCP y UDP, la regla se puede incluir en este análisis. Sin embargo, no se analizan los atributos que pertenecen a otros tipos de tráfico.
Por ejemplo, supongamos que una regla permite el tráfico de TCP y de ICMP. Si el rango de direcciones IP permitido parece no usarse, no se considera sin usar, ya que podrías usarlo para tráfico ICMP. Sin embargo, si la misma regla tiene un rango de puertos TCP que no se usa, la regla se marca como demasiado permisiva.
Reglas de permiso con rangos de puertos o direcciones IP demasiado permisivos
Esta estadística identifica reglas allow que pueden tener direcciones IP o rangos de puertos demasiado amplios.
Las reglas de firewall se suelen crear con un permiso más amplio de lo necesario. Un permiso demasiado amplio puede generar riesgos de seguridad.
Esta estadística ayuda a mitigar este problema mediante el análisis del uso real de la dirección IP y los rangos de puertos de tus reglas de firewall. También sugiere una combinación alternativa de direcciones IP y rangos de puertos para las reglas con rangos demasiado amplios. Con este conocimiento, puedes quitar los rangos de puertos innecesarios según los patrones de tráfico durante el período de observación.
Allow rules with overly permissive IP address or port ranges evalúa solo los atributos que se definen para el tráfico de TCP y UDP. Si una regla permite otros tipos de tráfico además de TCP y UDP, la regla se puede incluir en este análisis.
Sin embargo, no se analizan los atributos que pertenecen a otros tipos de tráfico.
Por ejemplo, supongamos que una regla permite el tráfico de TCP y de ICMP. Si el rango de direcciones IP permitido parece usarse solo de forma parcial, la estadística no marca el rango de direcciones IP como demasiado amplio, ya que podría usarse para tráfico de ICMP. Sin embargo, si la misma regla tiene un rango de puertos TCP que se usa parcialmente, la regla se marca como demasiado permisiva.
Ten en cuenta que tu proyecto puede tener reglas de firewall que permiten el acceso desde ciertos bloques de direcciones IP para las verificaciones de estado del balanceador de cargas o para otras funciones de Google Cloud. Es posible que estas direcciones IP no tengan hits, pero no se deben quitar de tus reglas de firewall. Para obtener más información sobre estos rangos, consulta la documentación de Compute Engine.
Predicciones de aprendizaje automático
Como se describió en las secciones anteriores, dos estadísticas, reglas allow sin hits y reglas allow con atributos sin usar, usan predicciones del aprendizaje automático.
Para generar predicciones, las Estadísticas de firewall entrenan un modelo de aprendizaje automático con las reglas de firewall de la misma organización. De esta manera, las Estadísticas de firewall aprenden patrones comunes. Por ejemplo, las Estadísticas de firewall aprende sobre las combinaciones de atributos que tienden a ser hits. Estos atributos pueden incluir rangos de direcciones IP, rangos de puertos y protocolos IP.
Si la regla de firewall contiene patrones comunes que muestran que es probable que se alcance, las Estadísticas de firewall tiene una mayor confianza en que la regla podría alcanzarse en el futuro. Esto también se cumple en el caso opuesto.
Para cada estadística que usa predicciones, Estadísticas de firewall muestra detalles sobre las reglas que se consideraron similares a la regla identificada por la estadística. Por ejemplo, en el panel Detalles de la estadística, puedes ver detalles sobre las tres reglas más similares a la regla que está sujeta a la predicción. Cuanto más superposición exista entre los atributos de las dos reglas, más similares se considerarán.
Para las reglas allow sin hits, considera el siguiente ejemplo:
Supongamos que la regla A tiene los siguientes atributos:
Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80
Supongamos que la regla B tiene los siguientes atributos:
Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80
Estas dos reglas comparten los mismos rótulos identificadores de destino, atributos de protocolo y atributos de puerto. Solo difieren en los atributos de origen. Por esta razón, se consideran similares.
Para las reglas de allow con atributos que no se usan, la similitud se determina de la misma manera. Para esta estadística, las Estadísticas de firewall consideran reglas similares cuando su configuración incluye los mismos atributos.