Firewall Insights - Übersicht

Mit Firewall Insights können Sie Ihre Firewall-Konfigurationen besser verstehen und sicher optimieren. Firewall Insights bietet Berichte, die Informationen zur Firewall-Nutzung und zu den Auswirkungen verschiedener Firewall-Regeln auf Ihr VPC-Netzwerk (Virtual Private Cloud) enthalten.

Weitere Informationen zu Insights-Konzepten finden Sie unter Insights in der Recommender-Dokumentation.

Vorteile

Mit Firewall Insights Metric Reports und Insight Reports können Sie Ihre Firewall-Konfigurationen auf folgende Weise verwalten.

Mit Metrics-Berichten können Sie die folgenden Aufgaben ausführen:

  • Stellen Sie sicher, dass die Firewall-Regeln ordnungsgemäß verwendet werden.
  • Stellen Sie in bestimmten Zeiträumen sicher, dass die Firewall-Regeln die beabsichtigten Verbindungen zulassen oder blockieren
  • Führen Sie ein Live-Debugging von Verbindungen durch, die aufgrund von Firewall-Regeln versehentlich getrennt wurden.
  • Verwenden Sie Monitoring, um böswillige Versuche eines Zugriffs auf Ihr Netzwerk zu erkennen und Benachrichtigungen zu erhalten, wenn sich die Anzahl der Treffer von Firewall-Regeln erheblich ändert.

Anhand von Insight-Berichten können Sie die Ergebnisse einer intelligenten Analyse prüfen, die zu einer oder mehreren Statistiken führt. Mit diesen Statistiken können Sie die folgenden Aufgaben ausführen:

Metrics-Berichte

Mithilfe der Metriken, die die Firewall-Auslastung verfolgen, können Sie die Verwendung von Firewall-Regeln in Ihrem VPC-Netzwerk analysieren. Metriken sind über die API für Cloud Monitoring verfügbar.

Weitere Informationen finden Sie unter Firewall Insights-Metriken anzeigen.

Metriken für die Anzahl der Firewall-Treffer

Firewall Insights verfolgt die Anzahl der Firewall-Treffer für den gesamten durch Firewall Rules Logging protokollierten Datentraffic. Für jede Firewall-Regel mit Logging können Sie sehen, wie oft die Firewall-Regel Verbindungen blockiert oder zugelassen hat. Sie können diese Metriken auch für die Schnittstelle einer bestimmten VM-Instanz anzeigen.

Die Daten für eine Trefferanzahl können einige Minuten hinter dem tatsächlichen Ereignis zurückbleiben. Firewall Insights generiert nur Firewall-Trefferzählungsmetriken für Datentraffic, der den Spezifikationen für das Firewall Rules-Logging entspricht. Beispielsweise kann Logging nur für TCP- und UDP-Traffic durchgeführt werden.

Firewall – letzte Metriken

Sie können einsehen, wann eine bestimmte Firewall-Regel das letzte Mal angewendet wurde, um Datentraffic zuzulassen oder zu verweigern, indem Sie die Firewall last used-Metriken anzeigen. Durch Anzeigen dieser Metriken können Sie herausfinden, welche Firewall-Regeln in letzter Zeit nicht verwendet wurden.

Dieser Messwert erfasst die Gesamtzahl der Treffer in den letzten 24 Monaten oder für langes Logging, je nachdem, welcher Wert niedriger ist. Dieser Zeitraum wird durch den Aufbewahrungszeitraum für das Cloud Logging bestimmt. Wenn der letzte Treffer vor mehr als 24 Monaten aufgetreten ist, wird last hit time als N/A (not applicable) angezeigt.

Metriken für die Verwendung von Firewall-Regeln sind nur für den Zeitraum korrekt, in dem das Logging von Firewall-Regeln aktiviert ist.

Insight-Berichte

Insight-Berichte bieten Ihnen eine intelligente Analyse der Konfiguration Ihrer Firewalls. Ein Bericht enthält eine oder mehrere Insights.

Insight-Typen und -Zustände

Der Statistiktyp für Firewall Insights heißt google.compute.firewall.Insight.

Jede Erkenntnis kann einen der folgenden Zustände haben, den Sie wie in der folgenden Tabelle beschrieben ändern können.

Bundesstaat Beschreibung
ACTIVE Die Erkenntnis ist aktiv. Google aktualisiert weiterhin Inhalte für ACTIVE-Insights basierend auf den neuesten Informationen.
DISMISSED

Die Insight wird verworfen und keinem Nutzer mehr in einer aktiven Insight-Liste angezeigt. Sie können den Zustand DISMISSED auf der Seite verworfener Verlauf wieder auf ACTIVE wiederherstellen.

Weitere Informationen finden Sie unter Statistiken als DISMISSED markieren.

Verdeckte Firewallregeln

Firewall Insights analysiert Ihre Firewall-Regeln, um Firewall-Regeln zu erkennen, die von anderen Regeln verdeckt werden. Eine verdeckte Regel ist eine Firewall-Regel, deren relevante Attribute wie IP-Adressbereiche und Ports von Attributen aus einer oder mehreren anderen Firewall-Regeln mit höherer oder gleicher Priorität überlappt werden, die als verdeckende Regeln bezeichnet werden.

Das Aktivieren der Firewall Insights API ist erforderlich, um shadowed-firewall-rule-Statistiken zu generieren. Verdeckte Regeln werden innerhalb von 24 Stunden nach Aktivierung von Firewall Rules-Logging berechnet; die Informationen zu verdeckten Regeln werden täglich aktualisiert.

Beispiele für verdeckte Regeln

In diesem Beispiel haben einige verdeckte und verdeckende Regeln überlappende Quell-IP-Bereichsfilter und andere unterschiedliche Regelprioritäten.

Die folgende Tabelle zeigt die Firewall-Regeln A bis E. In den folgenden Abschnitten finden Sie Informationen zu verschiedenen Szenarien mit verdeckten Regeln.

Typ Ziele Filter Protokolle oder Ports Aktion Priorität
Firewall-Regel A. Ingress Auf alle anwenden 10.10.0.0/16 tcp:80 Allow 1000
Firewall-Regel B. Ingress Auf alle anwenden 10.10.0.0/24 tcp:80 Allow 1000
Firewall-Regel C. Ingress web 10.10.2.0/24 tcp:80
tcp:443
Allow 1000
Firewall-Regel D. Ingress web 10.10.2.0/24 tcp:80 Ablehnen 900
Firewall-Regel E. Ingress web 10.10.2.0/24 tcp:443 Ablehnen 900

Beispiel 1: Firewall-Regel B wird von Firewall-Regel A verdeckt

In diesem Beispiel gibt es zwei Firewall-Regeln, A und B. Diese Regeln sind bis auf die Quell-IP-Bereichsfilter nahezu identisch. Der IP-Bereich der Firewall-Regel A beträgt 10.10.0.0/16, während der Adressbereich der Firewall-Regel B 10.10.0.0/24 beträgt. Somit wird die Firewall-Regel B von der Firewall-Regel A verdeckt.

Die Erkenntnis shadowed firewall rules weist normalerweise auf eine Fehlkonfiguration der Firewall hin. Beispielsweise ist die IP-Filtereinstellung von Firewall-Regel A unnötig zu weit gefasst, oder die Filtereinstellung von Firewall-Regel B ist zu restriktiv und wird nicht benötigt.

Beispiel 2: Die Firewall-Regel C wird von den Firewall-Regeln D und E verdeckt

In diesem Beispiel gibt es drei Firewall-Regeln: C, D und E. Die Firewall-Regel C ermöglicht das Eindringen von HTTP-Port 80 und HTTPS-Port 443 Web-Traffic und hat eine Priorität von 1000 (Standardpriorität). Die Firewall-Regeln D und E verweigern das Eindringen von HTTP- bzw. HTTPS-Webtraffic und haben beide eine Priorität von 900 (hohe Priorität). Somit wird die Firewall C durch die kombinierten Firewall-Regeln D und E verdeckt.

Allow-Regeln ohne Treffer im Beobachtungszeitraum

Die von der Cloud-Konsole für diese Metrik bereitgestellten Daten basieren auf dem Firewall Rules-Logging. Die Daten sind nur dann korrekt, wenn Firewallregel-Logging für die Firewallregel im entsprechenden Zeitraum kontinuierlich aktiviert wurde. Andernfalls kann die tatsächliche Anzahl höher sein als angegeben. Der Beobachtungszeitraum umfasst standardmäßig 6 Wochen.

Regeln mit Treffern im Beobachtungszeitraum ablehnen

Wenn Sie das Firewall Rules-Logging aktivieren, analysiert Firewall Insights Logs, um Einblicke für jede deny-Regel im angegebenen Beobachtungszeitraum zu erhalten, die standardmäßig die letzten 24 Stunden umfasst.

Diese Erkenntnisse liefern Ihnen Firewall-Pakete-Drop-Signale, mit denen Sie prüfen können, ob die verworfenen Pakete aufgrund von Sicherheitsmaßnahmen erwartet werden oder ob sie beispielsweise aufgrund von Netzwerkfehlkonfigurationen unerwartet sind.

Hier können Sie Metriken und Erkenntnisse anzeigen

Sie können sich Firewall Insights-Messwerte und -Statistiken an folgenden Stellen in der Cloud Console ansehen:

Nächste Schritte