Descripción general de Firewall Insights

Con las Estadísticas de firewall, puedes comprender mejor y optimizar de forma segura tus opciones de configuración de firewall. Las Estadísticas de firewall proporcionan informes que contienen información sobre el uso del firewall y el impacto de varias reglas de firewall en tu red de nube privada virtual (VPC).

Para obtener más información sobre los conceptos de estadísticas, consulta Insights en la documentación del recomendador.

Ventajas

Los informes de métricas y las Estadísticas de firewall te permiten administrar la configuración de tu firewall de las siguientes maneras.

Con los informes de métricas, puedes realizar las siguientes tareas:

  • Verificar que las reglas de firewall se usen de la manera prevista.
  • Durante los períodos específicos, verificar que las reglas de firewall permitan o bloqueen las conexiones previstas.
  • Realizar una depuración en tiempo real de las conexiones que se interrumpen de forma involuntaria debido a las reglas de firewall.
  • Usar Cloud Monitoring para detectar intentos maliciosos de acceder a tu red, incluida la recepción de alertas cuando hay cambios significativos en los recuentos de aciertos de las reglas de firewall.

Con los informes de estadísticas, puedes revisar los resultados de un análisis inteligente que da como resultado una o más estadísticas. Estas estadísticas te permiten realizar las siguientes tareas:

Informe de métricas

Las métricas que realizan un seguimiento del uso del firewall te ayudan a analizar el uso de reglas de firewall en tu red de VPC. Las métricas están disponibles a través de la API para Cloud Monitoring.

Para obtener más información, consulta Visualiza métricas de Estadísticas de firewall.

Métricas de recuento de hit de firewall

Las Estadísticas de firewall hacen un seguimiento del recuento de aciertos de firewall para todo el tráfico registrado por los registros de reglas de firewall. Para cada regla de firewall con el registro habilitado, puedes ver cuántas veces la regla de firewall bloqueó o permitió las conexiones. También puedes ver estas métricas para la interfaz de instancias de máquina virtual (VM) específicas.

Los datos de un recuento de aciertos pueden retrasarse varios minutos después del evento real. Las Estadísticas de firewall solo generan métricas de recuento de aciertos de firewall para el tráfico que se ajusta a las especificaciones del registro de reglas de firewall. Por ejemplo, solo se puede registrar el tráfico de TCP y UDP.

Métricas más recientes del firewall

Puedes ver la última vez que se aplicó una regla de firewall específica para permitir o rechazar el tráfico si consultas las métricas de Firewall last used. Ver estas métricas te permite averiguar qué reglas de firewall no se usaron recientemente.

Esta métrica captura el recuento total de aciertos para los últimos 24 meses o, como se habilitó el registro prolongado, lo que sea menor. Este período se determina por el período de retención de Cloud Logging. Si el último resultado ocurrió antes de los últimos 24 meses, last hit time se muestra como N/A (not applicable).

Las métricas de uso de las reglas de firewall son precisas solo durante el período durante el que se habilita el registro de reglas de firewall.

Informes de estadísticas

Los informes de estadísticas te brindan un análisis inteligente de la configuración de tus firewalls. Un informe contiene una o más estadísticas.

Tipos de estadísticas y estados

El tipo de estadística de las Estadísticas de firewall se llama google.compute.firewall.Insight.

Cada estadística puede tener uno de los siguientes estados, que puedes cambiar como se describe en la siguiente tabla.

Estado Descripción
ACTIVE La estadística está activa. Google continúa actualizando el contenido de las estadísticas ACTIVE según la información más reciente.
DISMISSED

La estadística se descarta y ya no se muestra en ninguna lista de estadísticas activas para ningún usuario. Puedes restablecer el estado DISMISSED en ACTIVE en la página Historial descartado.

Para obtener más información, consulta Marca una estadística como DISMISSED.

Reglas de firewall bloqueadas

Firewall Insights analiza tus reglas de firewall para detectar reglas de firewall que están bloqueadas por otras reglas. Una Regla bloqueada es una regla de firewall que tiene todos sus atributos relevantes, como el rango de direcciones IP y los puertos, superpuestos por atributos de una o más reglas de firewall con mayor o igual prioridad. reglas de bloqueo .

Se requiere habilitar la API de Firewall Insights para generar estadísticas de shadowed-firewall-rule. Las reglas bloqueadas se calculan en un plazo de 24 horas después de que habilitas el registro de reglas de firewall y la información de las reglas bloqueadas se actualiza a diario.

Ejemplos de reglas bloqueadas

En este ejemplo, algunas reglas bloqueadas y reglas de bloqueo tienen filtros de rango de IP de origen superpuestos, y otros tienen prioridades de reglas diferentes.

En la siguiente tabla, se muestran las reglas de firewall de A a E. Consulta las secciones que siguen la tabla para diferentes situaciones de reglas bloqueadas.

Tipo Targets Filtros Protocolos o puertos Acción Priority
Regla de firewall A Entrada Aplicar a todo 10.10.0.0/16 tcp:80 Allow 1000
Regla de firewall B Entrada Aplicar a todo 10.10.0.0/24 tcp:80 Allow 1000
Regla de firewall C Entrada web 10.10.2.0/24 tcp:80
tcp:443
Allow 1000
Regla de firewall D Entrada web 10.10.2.0/24 tcp:80 Denegar 900
Regla de firewall E Entrada web 10.10.2.0/24 tcp:443 Denegar 900

Ejemplo 1: La regla de firewall B está bloqueada por la regla de firewall A

En este ejemplo, hay dos reglas de firewall: A y B. Estas reglas son casi iguales, excepto por los filtros de rango de IP de origen. El rango de IP de la regla de firewall A es 10.10.0.0/16, mientras que el rango de direcciones de la regla B es 10.10.0.0/24. Por lo tanto, la regla de firewall B está bloqueada por la regla de firewall A.

La estadística shadowed firewall rules suele indicar una configuración incorrecta del firewall. Por ejemplo, la configuración de los filtros IP de la regla de firewall A es demasiado amplia o la configuración de filtros de la regla de firewall B es demasiado restrictiva y no es necesaria.

Ejemplo 2: La regla de firewall C está bloqueada por las reglas de firewall D y E

En este ejemplo, hay tres reglas de firewall: C, D y E. La regla de firewall C permite la entrada del tráfico web del puerto HTTP 80 y del puerto HTTPS 443, y tiene una prioridad de 1000 (prioridad predeterminada). Las reglas de firewall D y E rechazan el ingreso del tráfico web HTTP y HTTPS, respectivamente, y ambas tienen una prioridad de 900 (prioridad alta). Por lo tanto, el firewall C está bloqueado por las reglas de firewall D y E combinadas.

Reglas de permiso sin aciertos en el período de observación

Los datos que proporciona Cloud Console para esta métrica se basan en los registros de reglas de firewall. Los datos son solo precisos si el registro de las reglas de firewall se habilitó de forma continua para la regla de firewall durante el período correspondiente. De lo contrario, el recuento real podría ser mayor que lo indicado. El período predeterminado es de 6 semanas.

Reglas de rechazo con aciertos en el período de observación

Cuando habilitas el registro de las reglas de firewall, las Estadísticas de firewall analizan los registros para obtener estadísticas de cualquier regla deny que se use en el período de observación especificado, que es la configuración predeterminada durante las últimas 24 horas.

Estas estadísticas te proporcionan señales de descarte de paquetes de firewall, que puedes verificar para comprobar que los paquetes descartados sean esperados debido a protecciones de seguridad o que sean inesperados debido a configuraciones incorrectas de red.

Dónde puedes visualizar métricas y estadísticas

Puedes ver las métricas y las estadísticas de las Estadísticas de firewall en las siguientes ubicaciones de Cloud Console:

¿Qué sigue?