En esta página, se describen las categorías y los estados de Estadísticas de firewall.
Las estadísticas analizan la configuración y el uso de las reglas de firewall mediante el tipo de estadística google.compute.firewall.Insight.
Categorías de estadísticas
En Estadísticas de firewall, las estadísticas se dividen en dos categorías generales que se describen en la siguiente tabla.
| Categoría | Descripción | Estadísticas |
|---|---|---|
| Basada en la configuración | Las estadísticas se generan en función de los datos sobre cómo configuraste tus reglas de firewall. | Reglas bloqueadas |
| Basado en registros | Las estadísticas se generan en función de los registros sobre el uso de tus reglas de firewall y la información sobre cómo configuraste tus reglas de firewall. |
Reglas demasiado permisivas
Reglas |
Cada subtipo de estadística tiene un nivel de gravedad. Por ejemplo, para las estadísticas de regla bloqueada, el nivel de gravedad es medium. Para obtener más información, consulta Gravedad en la documentación del recomendador.
Estados de estadísticas
Cada estadística puede tener uno de los siguientes estados, que puedes cambiar como se describe en la siguiente tabla.
| Estado | Descripción |
|---|---|
ACTIVE |
La estadística está activa. Google continúa actualizando el contenido de las estadísticas ACTIVE según la información más reciente. |
DISMISSED |
La estadística se descarta y ya no se muestra a ningún usuario de ninguna
lista de estadísticas activas. Puedes restablecer el estado Para obtener más información, consulta Cómo marcar una estadística como descartada. |
Reglas bloqueadas
Las reglas bloqueadas comparten atributos, como las direcciones IP, con otras reglas con prioridad superior o igual, llamadas reglas de bloqueo. Estadísticas de firewall analiza tus reglas de firewall de VPC y las políticas de firewall para detectar estas reglas bloqueadas.
- Para las políticas de firewall asignadas a una red de VPC, puedes ver estadísticas sobre una regla de política bloqueada por una regla de VPC en la misma política o en cualquier otra.
- Las políticas de firewall jerárquicas, las políticas de firewall de red globales y las reglas de firewall de VPC se evalúan según el orden de evaluación de las políticas y reglas. Por ejemplo, en el caso de las políticas de firewall de red global, puedes obtener estadísticas sobre qué regla de firewall de red global está bloqueada por una regla de firewall de VPC según el orden de evaluación de reglas.
- Si tienes reglas de firewall con etiquetas seguras en una política de firewall de red global, puedes ver estadísticas sobre esas reglas que se ocultan entre sí en la misma política de firewall global. Para obtener más información, consulta Etiquetas para firewalls.
Las Estadísticas de firewall no identifican todas las reglas bloqueadas posibles. Específicamente, no identifica que varias etiquetas de otras reglas de firewall ocultaron las etiquetas de una regla de firewall.
Ejemplos de reglas bloqueadas
En este ejemplo, algunas reglas de bloqueo y de bloqueo tienen filtros de rango de IP de origen superpuestos, mientras que otras tienen prioridades de reglas diferentes.
En la siguiente tabla, se muestran las reglas de firewall de A a E. Para diferentes situaciones de reglas bloqueadas, consulta las secciones que siguen a la tabla.
| Política de firewall |
Tipo | Targets | Filtros | Protocolos o puertos |
Acción | Priority | |
|---|---|---|---|---|---|---|---|
| Regla de firewall A | X | Entrada | Aplicar a todo | 10.10.0.0/16 | tcp:80 | Allow | 1000 |
| Regla de firewall B | Sí | Entrada | Aplicar a todo | 10.10.0.0/24 | tcp:80 | Allow | 1000 |
| Regla de firewall C | - | Entrada | web | 10.10.2.0/24 | tcp:80 tcp:443 | Allow | 1000 |
| Regla de firewall D | - | Entrada | web | 10.10.2.0/24 | tcp:80 | Rechazar | 900 |
| Regla de firewall E | - | Entrada | web | 10.10.2.0/24 | tcp:443 | Denegar | 900 |
Ejemplo 1: La regla de firewall B está bloqueada por la regla de firewall A
En este ejemplo, hay dos reglas de firewall: A y B. Estas reglas son casi idénticas, excepto por sus filtros de rango de direcciones IP de origen. Por ejemplo, el rango de direcciones IP de A es 10.10.0.0/16, mientras que el rango de direcciones IP de B es 10.10.0.0/24. Por lo tanto, la regla de firewall B está bloqueada por la regla de firewall A.
Por lo general, la estadística shadowed firewall rules indica una configuración incorrecta de firewall; por ejemplo, la configuración del filtro de direcciones IP de A es amplia o la configuración del filtro de B es demasiado restrictiva y no es necesaria.
Ejemplo 2: La regla de firewall C está bloqueada por las reglas de firewall D y E
En este ejemplo, hay tres reglas de firewall: C, D y E. La regla de firewall C permite la entrada de tráfico web de puertos HTTP 80 y puerto HTTPS 443; además, tiene una prioridad de 1000 (prioridad predeterminada). Por el contrario, las reglas de firewall D y E rechazan la entrada de tráfico web HTTP y HTTPS, respectivamente, y ambas tienen una prioridad de 900 (prioridad alta). Por lo tanto, la regla de firewall C está bloqueada por las reglas de firewall D y E combinadas.
Ejemplo 3: La regla de firewall B en la política de firewall Y está bloqueada por la regla de firewall A en la política X
En este ejemplo, hay dos reglas de firewall: A y B. La regla de firewall A está en la política X asociada con Folder1, mientras que la regla de firewall B está en la política Y asociada con Folder2. Folder1 y Folder2 se encuentran en el mismo nodo de la organización, y Folder2 es un elemento secundario de Folder1. Estas dos reglas son idénticas, excepto por su rango de direcciones IP de origen. Esta estadística indica que la regla de firewall B de la política Y no es necesaria porque ya está cubierta por la regla de firewall A en la política X. Por lo tanto, la regla de firewall B en la política Y está bloqueada por la regla de firewall A en la política X.
Ejemplo 4: La regla de firewall B en la política de firewall de red global Y está bloqueada por la regla de firewall A
En este ejemplo, hay dos reglas de firewall: A y B. Las reglas de firewall A y B están en Network1, pero la regla de firewall B está en la política de firewall de red global Y.
El orden de aplicación de la política de firewall de la política Y es AFTER_CLASSIC_FIREWALLS.
Estas dos reglas son casi idénticas, excepto por su rango de direcciones IP de origen.
Esta estadística indica que la regla B en la política Y no es necesaria, ya que está cubierta por la regla A. Por lo tanto, la regla de firewall B en la política Y está bloqueada por la regla de firewall A.
Reglas de rechazo con hits
Esta estadística proporciona detalles sobre las reglas de deny que tuvieron hits durante el período de observación.
Estas estadísticas te proporcionan señales de descarte de paquetes de firewall. Luego, puedes verificar si los paquetes descartados son esperados debido a las protecciones de seguridad o si son el resultado de una configuración incorrecta de la red.
Reglas demasiado permisivas
Las Estadísticas de firewall proporcionan un análisis integral para determinar si las reglas de firewall son demasiado permisivas. Este análisis incluye las siguientes estadísticas:
- Reglas de permiso sin hits
- Permite reglas que queden obsoletas según el análisis adaptable
- Reglas de permiso con atributos sin usar
- Reglas de permiso con rangos de puertos o direcciones IP demasiado permisivos
Los datos que proporcionan estas estadísticas provienen del registro de reglas de firewall. Por lo tanto, estos datos son precisos solo si habilitaste el registro de reglas de firewall durante todo el período de observación. De lo contrario, la cantidad de reglas en cada categoría de estadística podría ser más alta de lo indicado.
Las estadísticas de reglas demasiado permisivas evalúan el tráfico de TCP y UDP. No se analizan otros tipos de tráfico. Para obtener más información, consulta la descripción de cada estadística.
Cada subtipo de estadística tiene un nivel de gravedad. Por ejemplo, el nivel de gravedad es high para las estadísticas de reglas demasiado permisivas. Para obtener más información, consulta Gravedad en la documentación del recomendador.
Reglas de permiso sin hits
Esta estadística identifica reglas allow que no tuvieron hits durante el período de observación.
Para cada regla, puedes ver las predicciones de aprendizaje automático sobre si es probable que una regla o un atributo se cumpla en el futuro. Esta predicción se produce mediante un análisis de aprendizaje automático que tiene en cuenta el patrón de tráfico histórico de esta regla y otras similares en la misma organización.
Para ayudarte a comprender la predicción, esta estadística identifica reglas similares en el mismo proyecto que la regla que identificó la estadística. En la estadística, se enumera el recuento de aciertos de estas reglas y se resumen los detalles de su configuración. Estos detalles incluyen la prioridad y los atributos de cada regla, como su dirección IP y los rangos de puertos.
Allow rules with no hits evalúa las reglas de firewall que se aplican al tráfico de TCP y UDP. Si una regla de firewall permite cualquier otro tipo de tráfico, no se incluye en este análisis.
Reglas de permiso que quedan obsoletas según el análisis adaptable
Esta estadística identifica las reglas allow que tienen menos probabilidades de estar activas según los patrones de uso y el análisis adaptable. La estadística se produce mediante un análisis de aprendizaje automático que considera el recuento de hits promedio de las últimas seis semanas y el análisis adaptable de los recuentos de hits recientes. Sin embargo, si la regla nunca estuvo activa desde que comenzó el seguimiento del recuento de hits, es posible que también se incluya en la estadística hasta que vuelva a estar activa.
Por ejemplo, supongamos que una regla de firewall recibió hits con frecuencia durante las últimas semanas del período de observación y dejó de recibir hits por varios días. En ese caso, es posible que veas esta estadística para esa regla, lo que indica un cambio en el patrón de uso. Sin embargo, las reglas de firewall se analizan para identificar esos hits con poca frecuencia, pero activos; estas reglas activas no aparecen en esta estadística.
Para cada regla, si el análisis de aprendizaje automático identifica la regla como inactiva, puedes ver estadísticas basadas en el análisis adaptable de forma más rápida y antes del final de tu período de observación. Por ejemplo, puedes comenzar a obtener estadísticas basadas en el análisis adaptable después de la primera semana de tu período de observación, incluso si este es de 12 meses.
Una vez que finalice tu período de observación, podrás ver las estadísticas basadas en los datos recopilados a través del registro de reglas de firewall para todo el período de observación.
Reglas de permiso con atributos sin usar
Esta estadística identifica las reglas de allow que tienen atributos, como la dirección IP y los rangos de puertos, que no tuvieron éxito durante el período de observación.
Para cada regla identificada, esta estadística también informa la probabilidad de que se alcance la regla en el futuro. Esta predicción se basa en las predicciones de aprendizaje automático que consideran los patrones de tráfico históricos de esta regla y otras similares en la misma organización.
Para ayudarte a comprender la predicción, la estadística resume otras reglas de firewall en el mismo proyecto que tienen atributos similares. Este resumen incluye datos sobre si se cumplieron los atributos de esas reglas.
Allow rules with unused attributes evalúa solo los atributos que se definen para el tráfico de TCP y UDP. Si una regla permite otros tipos de tráfico además de TCP y UDP, la regla se puede incluir en este análisis. Sin embargo, no se analizan los atributos que pertenecen a otros tipos de tráfico.
Por ejemplo, supongamos que una regla permite el tráfico de TCP y de ICMP. Si el rango de direcciones IP permitido no se usa, no se considera en uso, ya que puedes usarlo para el tráfico de ICMP. Sin embargo, si la misma regla tiene un rango de puertos TCP sin usar, la regla se marca como demasiado permisiva.
Reglas de permiso con rangos de puertos o direcciones IP demasiado permisivos
Esta estadística identifica las reglas de allow que pueden tener direcciones IP o rangos de puertos demasiado amplios.
Por lo general, las reglas de firewall se crean con un alcance más amplio del necesario. Un alcance demasiado amplio puede generar riesgos de seguridad.
Esta estadística ayuda a mitigar este problema mediante el análisis del uso real de la dirección IP y los rangos de puertos de las reglas de firewall. También sugiere una combinación alternativa de direcciones IP y rangos de puertos para reglas con rangos demasiado amplios. Con este conocimiento, puedes quitar los rangos de puertos innecesarios en función de los patrones de tráfico durante el período de observación.
Allow rules with overly permissive IP address or port ranges evalúa solo los atributos que se definen para el tráfico de TCP y UDP. Si una regla permite otros tipos de tráfico además de TCP y UDP, puede incluirse en este análisis.
Sin embargo, los atributos que pertenecen a otros tipos de tráfico no se analizan.
Por ejemplo, supongamos que una regla permite el tráfico de TCP y de ICMP. Si el rango de direcciones IP permitido parece usarse solo de forma parcial, la estadística no marca el rango de direcciones IP como demasiado amplio porque podría usarse para el tráfico ICMP. Sin embargo, si la misma regla tiene un rango de puertos TCP que se usa parcialmente, la regla se marca como demasiado permisiva.
Ten en cuenta que tu proyecto puede tener reglas de firewall que permiten el acceso desde ciertos bloques de direcciones IP para las verificaciones de estado del balanceador de cargas o para otras funciones de Google Cloud. Es posible que estas direcciones IP no tengan hits, pero no se deben quitar de tus reglas de firewall. Para obtener más información sobre estos rangos, consulta la documentación de Compute Engine.
Predicciones de aprendizaje automático
Como se describe en las secciones anteriores, dos estadísticas (reglas allow sin hits y reglas allow con atributos sin usar) usan predicciones de aprendizaje automático.
Para generar predicciones, Estadísticas de firewall entrena un modelo de aprendizaje automático mediante reglas de firewall en la misma organización. De esta manera, las Estadísticas de firewall aprenden patrones comunes. Por ejemplo, las Estadísticas de firewall aprende sobre las combinaciones de atributos que tienden a ser hits. Estos atributos pueden incluir rangos de direcciones IP, rangos de puertos y protocolos de IP.
Si la regla de firewall contiene patrones comunes que muestran que es probable que la regla se alcance, las Estadísticas de firewall tienen mayor confianza en que la regla podría tener éxito en el futuro. Esto también se cumple en el caso opuesto.
Para cada estadística que usa predicciones, Estadísticas de firewall muestra detalles sobre las reglas consideradas similares a la regla identificada por la estadística. Por ejemplo, en el panel Detalles de las estadísticas, puedes ver información detallada sobre las tres reglas más similares a la regla que está sujeta a la predicción. Cuanto más se superpongan los atributos de las dos reglas, más similares serán.
Para las reglas allow sin hits, considera el siguiente ejemplo:
Supongamos que la regla A tiene los siguientes atributos:
Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80
Y supongamos que la regla B tiene los siguientes atributos:
Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80
Estas dos reglas comparten las mismas etiquetas de destino, protocolo y atributos de puerto. Solo difieren en los atributos de origen. Por esta razón, se consideran similares.
En el caso de las reglas allow con atributos sin usar, la similitud se determina de la misma manera. En esta estadística, Estadísticas de firewall considera
reglas similares cuando su configuración incluye los mismos atributos.