Firewall Insights - Übersicht

Mit Firewall Insights können Sie Ihre Firewall-Konfigurationen besser verstehen und sicher optimieren. Firewall Insights bietet Berichte, die Informationen zur Firewall-Nutzung und zu den Auswirkungen verschiedener Firewall-Regeln auf Ihr VPC-Netzwerk (Virtual Private Cloud) enthalten.

Weitere Informationen zu Insights-Konzepten finden Sie unter Insights in der Recommender-Dokumentation.

Vorteile

Mit Firewall Insights Metric Reports und Insight Reports können Sie Ihre Firewall-Konfigurationen auf folgende Weise verwalten.

Mit Metrics-Berichten können Sie die folgenden Aufgaben ausführen:

  • Stellen Sie sicher, dass die Firewall-Regeln ordnungsgemäß verwendet werden.
  • Stellen Sie in bestimmten Zeiträumen sicher, dass die Firewall-Regeln die beabsichtigten Verbindungen zulassen oder blockieren
  • Führen Sie ein Live-Debugging von Verbindungen durch, die aufgrund von Firewall-Regeln versehentlich getrennt wurden.
  • Verwenden Sie Cloud Monitoring, um böswillige Zugriffsversuche auf Ihr Netzwerk zu erkennen und Benachrichtigungen zu erhalten, wenn sich die Trefferzahlen der Firewallregeln erheblich ändern.

Mit Insight-Berichten können Sie die Ergebnisse einer intelligenten Analyse prüfen, die zu einem oder mehreren Erkenntnissen führt. Mit diesen Informationen können Sie folgende Aufgaben ausführen:

  • Firewall-Fehlkonfigurationen identifizieren.
  • Sicherheitsangriffe identifizieren.
  • Optimieren Sie Firewallregeln und verschärfen Sie die Sicherheitsgrenzen, indem Sie allow-Regeln, die während eines Beobachtungszeitraums nicht erreicht wurden, entfernen (die Zeitspanne bis zur Insight). In der Betaphase sind es sechs Wochen.

Metrics-Berichte

Mithilfe der Metriken, die die Firewall-Auslastung verfolgen, können Sie die Verwendung von Firewall-Regeln in Ihrem VPC-Netzwerk analysieren. Metriken sind über die API für Cloud Monitoring verfügbar.

Weitere Informationen finden Sie unter Firewall Insights-Metriken anzeigen.

Metriken für die Anzahl der Firewall-Treffer

Firewall Insights verfolgt die Anzahl der Firewall-Treffer für den gesamten durch Firewall Rules Logging protokollierten Datentraffic. Für jede Firewall-Regel mit Logging können Sie sehen, wie oft die Firewall-Regel Verbindungen blockiert oder zugelassen hat. Sie können diese Metriken auch für die Schnittstelle einer bestimmten VM-Instanz anzeigen.

Die Daten für eine Trefferanzahl können einige Minuten hinter dem tatsächlichen Ereignis zurückbleiben. Firewall Insights generiert nur Firewall-Trefferzählungsmetriken für Datentraffic, der den Spezifikationen für das Firewall Rules-Logging entspricht. Beispielsweise kann Logging nur für TCP- und UDP-Traffic durchgeführt werden.

Firewall – letzte Metriken

Sie können einsehen, wann eine bestimmte Firewall-Regel das letzte Mal angewendet wurde, um Datentraffic zuzulassen oder zu verweigern, indem Sie die Firewall last used-Metriken anzeigen. Durch Anzeigen dieser Metriken können Sie herausfinden, welche Firewall-Regeln in letzter Zeit nicht verwendet wurden.

Diese Metrik erfasst den Verlauf der letzten 42 Tage. Dieser Zeitraum wird durch die Aufbewahrungsdauer für Cloud Logging bestimmt. Wenn der letzte Treffer vor mehr als 42 Tagen aufgetreten ist, wird last hit time als N/A (not applicable) angezeigt.

Metriken für die Verwendung von Firewall-Regeln sind nur für den Zeitraum korrekt, in dem das Logging von Firewall-Regeln aktiviert ist.

Insight-Berichte

Insight-Berichte bieten Ihnen eine intelligente Analyse der Konfiguration Ihrer Firewalls. Ein Bericht enthält eine oder mehrere Insights.

Insight-Typen und -Zustände

Der Insight-Typ für Firewall Insights heißt google.compute.firewall.Insight.

Jede Erkenntnis kann einen der folgenden Zustände haben, den Sie wie in der folgenden Tabelle beschrieben ändern können.

kennzeichnen.
State Beschreibung
ACTIVE Die Erkenntnis ist aktiv. Google aktualisiert weiterhin Inhalte für ACTIVE-Insights basierend auf den neuesten Informationen.
DISMISSED

Die Insight wird verworfen und keinem Nutzer mehr in einer aktiven Insight-Liste angezeigt. Sie können den Zustand DISMISSED auf der Seite verworfener Verlauf wieder auf ACTIVE wiederherstellen.

Während der Beta-Phase können Sie Insights nur mit der Cloud-Konsole ablehnen und wiederherstellen. Weitere Informationen finden Sie unter Statistiken als DISMISSED markieren.

Verdeckte Firewallregeln

Firewall Insights analysiert Ihre Firewall-Regeln, um Firewall-Regeln zu erkennen, die von anderen Regeln verdeckt werden.

Eine verdeckte Regel ist eine Firewall-Regel, deren relevante Attribute wie IP-Adressbereiche und Ports von Attributen aus einer oder mehreren anderen Firewall-Regeln mit höherer oder gleicher Priorität überlappt werden, die als verdeckende Regeln bezeichnet werden. Eine Firewall wertet eine verdeckte Regel aufgrund der Überlappung nicht aus und weil die verdeckte Regel eine niedrigere Priorität als ihre verdeckende Regeln hat.

Beispiele für verdeckte Regeln

In diesem Beispiel haben einige verdeckte und verdeckende Regeln überlappende Quell-IP-Bereichsfilter und andere unterschiedliche Regelprioritäten.

Die folgende Tabelle zeigt die Firewall-Regeln A bis E. In den folgenden Abschnitten finden Sie Informationen zu verschiedenen Szenarien mit verdeckten Regeln.

Typ Ziele Filter Protokolle oder Ports Aktion Priorität
Firewall-Regel A. Ingress Auf alle anwenden 10.10.0.0/16 tcp:80 Allow 1000
Firewall-Regel B. Ingress Auf alle anwenden 10.10.0.0/24 tcp:80 Allow 1000
Firewall-Regel C. Ingress web 10.10.2.0/24 tcp:80
tcp:443
Allow 1000
Firewall-Regel D. Ingress web 10.10.2.0/24 tcp:80 Ablehnen 900
Firewall-Regel E. Ingress web 10.10.2.0/24 tcp:443 Ablehnen 900

Beispiel 1: Firewall-Regel B wird von Firewall-Regel A verdeckt

In diesem Beispiel gibt es zwei Firewall-Regeln, A und B. Diese Regeln sind bis auf die Quell-IP-Bereichsfilter nahezu identisch. Der IP-Bereich der Firewall-Regel A beträgt 10.10.0.0/16, während der Adressbereich der Firewall-Regel B 10.10.0.0/24 beträgt. Somit wird die Firewall-Regel B von der Firewall-Regel A verdeckt.

Die Erkenntnis shadowed firewall rules weist normalerweise auf eine Fehlkonfiguration der Firewall hin. Beispielsweise ist die IP-Filtereinstellung von Firewall-Regel A unnötig zu weit gefasst, oder die Filtereinstellung von Firewall-Regel B ist zu restriktiv und wird nicht benötigt.

Beispiel 2: Die Firewall-Regel C wird von den Firewall-Regeln D und E verdeckt

In diesem Beispiel gibt es drei Firewall-Regeln: C, D und E. Die Firewall-Regel C ermöglicht das Eindringen von HTTP-Port 80 und HTTPS-Port 443 Web-Traffic und hat eine Priorität von 1000 (Standardpriorität). Die Firewall-Regeln D und E verweigern das Eindringen von HTTP- bzw. HTTPS-Webtraffic und haben beide eine Priorität von 900 (hohe Priorität). Somit wird die Firewall C durch die kombinierten Firewall-Regeln D und E verdeckt.

Allow-Regeln ohne Treffer in den letzten 6 Wochen

Die von der Cloud-Konsole für diese Metrik bereitgestellten Daten basieren auf dem Firewall Rules-Logging. Die Daten sind nur dann korrekt, wenn das Firewallregel-Logging für die Firewallregel in den letzten 6 Wochen kontinuierlich aktiviert war. Andernfalls könnte die tatsächliche Anzahl der Treffer höher sein.

Deny-Regeln mit Treffern in den letzten 24 Stunden

Wenn Sie das Firewallregel-Logging aktivieren, analysiert Firewall Insights Logs, um Informationen zu allen in den letzten 24 Stunden verwendeten deny-Regeln zu erhalten.

Diese Erkenntnisse liefern Ihnen Firewall-Pakete-Drop-Signale, mit denen Sie prüfen können, ob die verworfenen Pakete aufgrund von Sicherheitsmaßnahmen erwartet werden oder ob sie beispielsweise aufgrund von Netzwerkfehlkonfigurationen unerwartet sind.

Hier können Sie Metriken und Erkenntnisse anzeigen

Sie können Firewallstatistiken und -statistiken an den folgenden Cloud Console-Standorten abrufen:

Nächste Schritte