En esta página, se describen los estados y las categorías de Estadísticas de firewall. Las estadísticas analizan la configuración y el uso de la regla de firewall mediante el tipo de estadística google.compute.firewall.Insight.
Categorías de estadísticas
En Estadísticas de firewall, las estadísticas se dividen en las dos categorías generales que se describen en la siguiente tabla.
| Categoría | Descripción | Insights |
|---|---|---|
| Basada en la configuración | Las estadísticas se generan en función de los datos sobre cómo configuraste tus reglas de firewall. | Reglas bloqueadas |
| Basado en registros | Las estadísticas se generan en función de los registros sobre el uso de las reglas de firewall y la información sobre la configuración de las reglas de firewall. |
Reglas demasiado permisivas
Reglas |
Estados de estadísticas
Cada estadística puede tener uno de los siguientes estados, que puedes cambiar como se describe en la siguiente tabla.
| Estado | Descripción |
|---|---|
ACTIVE |
La estadística está activa. Google continúa actualizando el contenido de las estadísticas ACTIVE según la información más reciente. |
DISMISSED |
Las estadísticas se descartan y ya no se muestran a ningún usuario en ninguna
lista de estadísticas activas. Puedes restablecer el estado de Si deseas obtener más información, consulta Cómo marcar una estadística como descartada. |
Reglas bloqueadas
Las reglas bloqueadas comparten atributos, como las direcciones IP, con otras reglas de mayor o igual prioridad. Estadísticas de firewall analiza tus reglas de firewall para detectar estas reglas bloqueadas.
Cada subtipo de estadística tiene un nivel de gravedad. Por ejemplo, para las estadísticas de reglas bloqueadas, el nivel de gravedad es medium. Para obtener más información, consulta Gravedad en la documentación del recomendador.
Las Estadísticas de firewall no identifican todas las reglas bloqueadas posibles. Específicamente, no identifica que varias etiquetas de otras reglas de firewall hayan reemplazado las etiquetas de una regla de firewall.
Ejemplos de reglas bloqueadas
En este ejemplo, algunas reglas bloqueadas y bloqueadas tienen filtros de rango de IP de origen superpuestos, mientras que otras tienen prioridades de reglas diferentes.
En la siguiente tabla, se muestran las reglas de firewall de A a E. Para diferentes situaciones de reglas bloqueadas, consulta las secciones que siguen a la tabla.
| Tipo | Targets | Filtros | Protocolos o puertos | Acción | Priority | |
|---|---|---|---|---|---|---|
| Regla de firewall A | Entrada | Aplicar a todo | 10.10.0.0/16 | tcp:80 | Allow | 1000 |
| Regla de firewall B | Entrada | Aplicar a todo | 10.10.0.0/24 | tcp:80 | Allow | 1000 |
| Regla de firewall C | Entrada | web | 10.10.2.0/24 | tcp:80 tcp:443 | Allow | 1000 |
| Regla de firewall D | Entrada | web | 10.10.2.0/24 | tcp:80 | Rechazar | 900 |
| Regla de firewall E | Entrada | web | 10.10.2.0/24 | tcp:443 | Denegar | 900 |
Ejemplo 1: La regla de firewall B está bloqueada por la regla de firewall A
En este ejemplo, hay dos reglas de firewall: A y B. Estas reglas son casi idénticas, excepto por sus filtros de rango de direcciones IP de origen. Por ejemplo, el rango de direcciones IP de A es 10.10.0.0/16, mientras que el rango de direcciones IP de B es 10.10.0.0/24. Por lo tanto, la regla de firewall B está bloqueada por la regla de firewall A.
Por lo general, la estadística shadowed firewall rules indica una configuración incorrecta del firewall; por ejemplo, la configuración del filtro de dirección IP de A es amplia, o la configuración de filtro de B es demasiado restrictiva y innecesaria.
Ejemplo 2: La regla de firewall C está bloqueada por las reglas de firewall D y E
En este ejemplo, hay tres reglas de firewall: C, D y E. La regla de firewall C permite la entrada del tráfico HTTP de los puertos 80 y HTTPS 443, y tiene una prioridad de 1000 (prioridad predeterminada). Por el contrario, las reglas de firewall D y E rechazan la entrada de tráfico web HTTP y HTTPS, respectivamente, y ambas tienen una prioridad de 900 (prioridad alta). Por lo tanto, la regla de firewall C está bloqueada por las reglas de firewall D y E combinadas.
Reglas de rechazo con hits
Esta estadística proporciona detalles sobre las reglas deny que tuvieron hits durante el período de observación.
Estas estadísticas te proporcionan señales de descarte de paquetes de firewall. Luego, puedes verificar si los paquetes descartados se esperan debido a las protecciones de seguridad o si se deben a una configuración incorrecta de la red.
Reglas demasiado permisivas
Estadísticas de firewall proporciona un análisis integral para determinar si las reglas de firewall son demasiado permisivas. Este análisis incluye las siguientes estadísticas:
- Reglas de permiso sin hits
- Reglas de permiso con atributos sin usar
- Reglas de permiso con rangos de puertos o direcciones IP demasiado permisivos
Los datos que proporcionan estas estadísticas provienen del registro de las reglas de firewall. Por lo tanto, estos datos son precisos solo si habilitaste el registro de reglas de firewall durante todo el período de observación. De lo contrario, la cantidad de reglas en cada categoría de estadísticas podría ser mayor que la indicada.
Las estadísticas de reglas demasiado permisivas evalúan el tráfico de TCP y UDP. No se analizan otros tipos de tráfico. Para obtener más información, consulta la descripción de cada estadística.
Cada subtipo de estadística tiene un nivel de gravedad. Por ejemplo, el nivel de gravedad es high para estadísticas de reglas demasiado permisivas. Para obtener más información, consulta Gravedad en la documentación del recomendador.
Reglas de permiso sin hits
Esta estadística identifica reglas allow que no tuvieron hits durante el período de observación.
Para cada regla, puedes ver las predicciones del aprendizaje automático sobre si es posible que una regla o un atributo se apliquen en el futuro. Esta predicción se produce mediante un análisis de aprendizaje automático que considera el patrón de tráfico histórico de esta regla y reglas similares en la misma organización.
Para ayudarte a comprender la predicción, esta estadística identifica reglas similares en el mismo proyecto que la regla que identificó. La estadística enumera el recuento de aciertos de estas reglas y resume los detalles de su configuración. Estos detalles incluyen la prioridad y los atributos de cada regla, como su dirección IP y rangos de puertos.
Allow rules with no hits evalúa las reglas de firewall que se aplican al tráfico de TCP y UDP. Si una regla de firewall permite cualquier otro tipo de tráfico, no se incluye en este análisis.
Reglas de permiso con atributos sin usar
En esta estadística, se identifican las reglas allow que tienen atributos, como dirección IP y rangos de puertos, que no se detectaron durante el período de observación.
Para cada regla identificada, esta estadística también informa la probabilidad de que la regla tenga hits en el futuro. Esta predicción se basa en predicciones de aprendizaje automático que consideran los patrones de tráfico históricos de esta regla y reglas similares en la misma organización.
Para ayudarte a comprender la predicción, la estadística resume otras reglas de firewall en el mismo proyecto que tienen atributos similares. Este resumen incluye datos sobre si los atributos de esas reglas se alcanzaron.
Allow rules with unused attributes evalúa solo los atributos que se definen para el tráfico de TCP y UDP. Si una regla permite otros tipos de tráfico además de TCP y UDP, la regla se puede incluir en este análisis. Sin embargo, no se analizan los atributos que pertenecen a otros tipos de tráfico.
Por ejemplo, supongamos que una regla permite el tráfico de TCP y de ICMP. Si el rango de direcciones IP permitido no se usa, no se considera sin uso porque puedes usarlo para el tráfico ICMP. Sin embargo, si la misma regla tiene un rango de puertos TCP sin usar, la regla se marca como demasiado permisiva.
Reglas de permiso con rangos de puertos o direcciones IP demasiado permisivos
En esta estadística, se identifican las reglas de allow que podrían tener direcciones IP o rangos de puertos demasiado amplios.
A menudo, las reglas de firewall se crean con un alcance más amplio de lo necesario. Un alcance demasiado amplio puede suponer riesgos de seguridad.
Esta estadística ayuda a mitigar este problema mediante el análisis del uso real de tu dirección IP y los rangos de puertos de tus reglas de firewall. También sugiere una combinación alternativa de rangos de puertos y direcciones IP para las reglas con rangos demasiado amplios. Con este conocimiento, puedes quitar los rangos de puertos innecesarios según los patrones de tráfico durante el período de observación.
Allow rules with overly permissive IP address or port ranges evalúa solo los atributos que se definen para el tráfico de TCP y UDP. Si una regla permite otros tipos de tráfico además de TCP y UDP, la regla se puede incluir en este análisis. Sin embargo, no se analizan los atributos que pertenecen a otros tipos de tráfico.
Por ejemplo, supongamos que una regla permite el tráfico de TCP y de ICMP. Si el rango de direcciones IP permitido parece usarse solo de forma parcial, la estadística no marca el rango de direcciones IP como demasiado amplio porque podría usarse para el tráfico de ICMP. Sin embargo, si la misma regla tiene un rango de puertos TCP que se usa parcialmente, la regla se marca como demasiado permisiva.
Ten en cuenta que tu proyecto puede tener reglas de firewall que permiten el acceso desde ciertos bloques de direcciones IP para las verificaciones de estado del balanceador de cargas o para otras funciones de Google Cloud. Es posible que estas direcciones IP no tengan hits, pero no se deben quitar de tus reglas de firewall. Para obtener más información sobre estos rangos, consulta la documentación de Compute Engine.
Predicciones de aprendizaje automático
Como se describió en las secciones anteriores, dos estadísticas (reglas allow sin hits y reglas allow con atributos sin usar) usan las predicciones de aprendizaje automático.
Para generar predicciones, Estadísticas de firewall entrena un modelo de aprendizaje automático mediante reglas de firewall en la misma organización. De esta manera, las Estadísticas de firewall aprenden patrones comunes. Por ejemplo, las Estadísticas de firewall aprende sobre las combinaciones de atributos que tienden a ser hits. Estos atributos pueden incluir rangos de direcciones IP, rangos de puertos y protocolos IP.
Si la regla de firewall contiene patrones comunes que muestran que es probable que la regla se alcance, Estadísticas de firewall tiene más confianza en que la regla podría ocurrir en el futuro. Esto también se cumple en el caso opuesto.
Para cada estadística que utiliza predicciones, las Estadísticas de firewall muestran detalles sobre las reglas que se consideran similares a las que identifica la estadística. Por ejemplo, en el panel Detalles de Insight, puedes ver detalles sobre las tres reglas más similares a la regla que está sujeta a la predicción. Cuanto más se superpongan los atributos de las dos reglas, más similares se considerarán.
Para las reglas allow sin hits, considera el siguiente ejemplo:
Supongamos que la regla A tiene los siguientes atributos:
Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80
Supongamos que la regla B tiene los siguientes atributos:
Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80
Estas dos reglas comparten las mismas etiquetas de destino, protocolo y atributos de puerto. Solo difieren en los atributos de origen. Por esta razón, se consideran similares.
Para las reglas allow con atributos sin usar, la similitud se determina de la misma manera. Para esta estadística, las Estadísticas de firewall consideran reglas similares cuando su configuración incluye los mismos atributos.