Descripción general de Firewall Insights

Firewall Insights te permite comprender mejor y optimizar tus configuraciones de firewall. Proporciona informes que contienen información sobre el uso del firewall y el impacto de varias reglas de firewall en su red de nube privada virtual (VPC).

Para obtener más información sobre los conceptos de Estadísticas, consulta Estadísticas en la documentación del Recomendaciones.

Ventajas

Los informes de métricas y estadísticas de firewall te permiten administrar tus configuraciones de firewall de las siguientes maneras.

Con los informes de métricas, puedes realizar las siguientes tareas:

  • Verifica que las reglas de firewall se usen de la manera esperada.
  • Durante períodos de tiempo específicos, verifica que las reglas de firewall permitan o bloqueen sus conexiones previstas.
  • Realiza depuraciones en vivo de conexiones que se caen de forma involuntaria debido a reglas de firewall.
  • Usa Cloud Monitoring para descubrir intentos maliciosos de acceso a tu red, como obtener alertas cuando haya cambios significativos en los conteos de reglas de firewall.

Con los informes de estadísticas, puede revisar los resultados de un análisis inteligente que genere una o más estadísticas. Estas estadísticas te permiten realizar las siguientes tareas:

Informe de métricas

Las métricas que hacen un seguimiento del uso del firewall te ayudan a analizar el uso de las reglas de firewall en tu red de VPC. Las métricas están disponibles a través de la API para Cloud Monitoring.

Para obtener más información, consulta Cómo ver las métricas de Firewall Insights.

Métricas de recuento de hit de firewall

Firewall Insights realiza un seguimiento del recuento de aciertos de firewall para todo el tráfico registrado por las reglas de registro de Firewall. Para cada regla de firewall con registro habilitado, puedes ver cuántas veces la regla de firewall bloqueó o permitió conexiones. También puedes ver estas métricas para la interfaz de instancias de máquinas virtuales (VM) específicas.

Los datos de un recuento de hits pueden retrasarse varios minutos respecto del evento real. Firewall Insights solo genera métricas de recuento de hit de firewall para el tráfico que se ajusta a las especificaciones del registro de reglas de firewall. Por ejemplo, solo se puede registrar el tráfico de TCP y UDP.

Métricas más recientes del firewall

Puedes ver la última vez que se aplicó una regla de firewall específica para permitir o denegar el tráfico si ves las métricas de Firewall last used. Ver estas métricas te permite averiguar qué reglas de firewall no se usaron recientemente.

Esta métrica captura el historial de los últimos 42 días. Este período de tiempo está determinado por el período de retención de Cloud Logging. Si el último hit se produjo antes de los últimos 42 días, last hit time se muestra como N/A (not applicable).

Las métricas de uso de las reglas de firewall son precisas solo para el período durante el que se habilita el registro de reglas de firewall.

Informes de estadísticas

Los informes de estadísticas te brindan un análisis inteligente de la configuración de tus firewalls. Un informe contiene una o más estadísticas.

Tipos y estados de estadísticas

El tipo de estadística de Firewall Insights se llama google.compute.firewall.Insight.

Cada estadística puede tener uno de los siguientes estados, que puedes cambiar como se describe en la tabla siguiente.

.
State Descripción
ACTIVE La estadística está activa. Google continúa actualizando el contenido de estadísticas ACTIVE según la información más reciente.
DISMISSED

La estadística se descarta y ya no se muestra en ninguna lista de estadísticas activas a ningún usuario. Puedes restablecer el estado DISMISSED a ACTIVE en la página Historial descartado.

Durante el período Beta, solo puedes descartar y restablecer estadísticas con Cloud Console. Para obtener más información, consulta Cómo marcar una estadística como DISMISSED.

Reglas de firewall bloqueadas

Firewall Insights analiza tus reglas de firewall para detectar reglas de firewall que están bloqueadas por otras reglas.

Una Regla bloqueada es una regla de firewall que tiene todos sus atributos relevantes, como el rango de direcciones IP y los puertos, superpuestos por atributos de una o más reglas de firewall con mayor o igual prioridad. reglas de bloqueo . Un firewall no evalúa una regla bloqueada debido a la superposición y porque la regla bloqueada tiene una prioridad inferior a la de sus reglas de bloqueo.

Ejemplos de reglas bloqueadas

En este ejemplo, algunas reglas bloqueadas y reglas de bloqueo tienen filtros de rango de IP de origen superpuestos, y otros tienen prioridades de reglas diferentes.

En la siguiente tabla, se muestran las reglas de firewall A a E. Consulta las secciones que siguen a la tabla para ver las diferentes situaciones de reglas bloqueadas.

Tipo Targets Filtros Protocolos o puertos Acción Priority
Regla de firewall A Entrada Aplicar a todo 10.10.0.0/16 tcp:80 Allow 1000
Regla de firewall B Entrada Aplicar a todo 10.10.0.0/24 tcp:80 Allow 1000
Regla de firewall C Entrada web 10.10.2.0/24 tcp:80
tcp:443
Allow 1000
Regla de firewall D Entrada web 10.10.2.0/24 tcp:80 Denegar 900
Regla de firewall E Entrada web 10.10.2.0/24 tcp:443 Denegar 900

Ejemplo 1: La regla de firewall B está bloqueada por la regla de firewall A

En este ejemplo, hay dos reglas de firewall, A y B. Estas reglas son casi las mismas, excepto por sus filtros de rango de IP de origen. El rango de IP de la regla de firewall A es 10.10.0.0/16, mientras que el rango de direcciones de la regla de firewall B es 10.10.0.0/24. Por lo tanto, la regla de firewall B está bloqueada por la regla de firewall A.

La estadística shadowed firewall rules generalmente indica una configuración incorrecta del firewall. Por ejemplo, la configuración de los filtros de IP de la regla de firewall A es innecesariamente demasiado amplia, o la configuración de los filtros de la regla de firewall B es demasiado restrictiva y no es necesaria.

Ejemplo 2: La regla de firewall C está bloqueada por las reglas de firewall D y E

En este ejemplo, hay tres reglas de firewall: C, D y E. La regla de firewall C permite la entrada del tráfico web del puerto HTTP 80 y del puerto HTTPS 443, y tiene una prioridad de 1000 (prioridad predeterminada). Las reglas de firewall D y E deniegan la entrada del tráfico web HTTP y HTTPS, respectivamente, y ambas tienen una prioridad de 900 (prioridad alta). Por lo tanto, el firewall C está bloqueado por las reglas de firewall D y E combinadas.

Reglas de permiso sin hits en las últimas seis semanas

Los datos que proporciona Cloud Console para esta métrica se basan en el registro de las reglas de firewall. Los datos son precisos solo si el registro de las reglas de firewall se habilitó de forma continua para la regla de firewall durante las últimas seis semanas. De lo contrario, el número real de recuetno de hits podría ser mayor.

Rechazar reglas con hits en las últimas 24 horas

Cuando habilitas el registro de reglas de firewall, Firewall Insights analiza los registros para mostrar estadísticas de cualquier regla deny utilizada en las últimas 24 horas.

Estas estadísticas te proporcionan señales de descarte de paquetes de firewall, que puedes verificar para comprobar que los paquetes descartados sean esperados debido a protecciones de seguridad o que sean inesperados debido a configuraciones incorrectas de red.

Dónde puedes ver las métricas y las estadísticas

Puedes ver las métricas y estadísticas de Firewall Insights en las siguientes ubicaciones de Cloud Console:

Qué sigue