防火墙数据分析概览

防火墙数据分析使您能够更好地了解并安全地优化防火墙配置。防火墙数据分析提供的报告包含有关防火墙使用情况以及各种防火墙规则对 Virtual Private Cloud (VPC) 网络的影响的信息。

如需详细了解数据分析概念,请参阅 Recommender 文档中的数据分析

优势

借助防火墙数据分析指标报告和数据分析报告,您可以通过以下方式管理防火墙配置。

借助指标报告,您可以执行以下任务:

  • 验证防火墙规则是否按预期方式使用。
  • 在指定的时间段内,验证防火墙规则是否允许或禁止其预期连接。
  • 对由于防火墙规则而无意中舍弃的连接执行实时调试
  • 使用 Cloud Monitoring 发现恶意访问您的网络,包括在防火墙规则的命中数发生重大变化时获得提醒。

借助数据分析报告,您可以查看智能分析的结果,该分析可以产生一项或多项“数据分析”。这些数据分析使您可以执行以下任务:

  • 确定防火墙配置错误
  • 识别安全攻击。
  • 通过检测和移除观察期内尚未使用的 allow 规则,优化防火墙规则并收紧安全边界(观察期是指数据分析之前的时间段,默认值为六周,但可以自定义为 1 天到 24 个月)。

指标报告

跟踪防火墙利用率的指标可帮您分析 VPC 网络中防火墙规则的使用情况。您可以通过适用于 Cloud Monitoring 的 API 获得指标。

如需了解详情,请参阅查看防火墙数据分析指标

防火墙命中数指标

防火墙数据分析会跟踪防火墙规则日志记录所记录的所有流量的防火墙命中数。对于已经启用了日志记录功能的防火墙规则,您可以查看防火墙规则已经阻止或允许了多少次连接。您还可以查看特定虚拟机 (VM) 实例的接口的这些指标。

命中计数数据可能会滞后于实际事件几分钟。 防火墙数据分析仅针对符合防火墙规则日志记录规范的流量生成防火墙命中计数指标。例如,只能记录 TCP 和 UDP 流量。

防火墙上次使用时间指标

您可以通过查看 Firewall last used 指标来查看上次应用特定防火墙规则以允许或拒绝流量的时间。查看这些指标使您可以找出最近未使用过的防火墙规则。

该指标可以捕获过去 24 个月的总命中计数,或者启用日志以来的总命中计数(两个时间段中以较短者为准)。此时间段取决于 Cloud Logging 的保留期限。如果最后一次命中发生在过去 24 个月之前,则 last hit time 会显示为 N/A (not applicable)

防火墙规则用量指标仅在启用了防火墙规则日志记录的时间段内是准确的。

数据分析报告

数据分析报告可为您提供防火墙配置的智能分析。报告包含一项或多项数据分析。

数据分析类型和状态

防火墙数据分析的类型称为 google.compute.firewall.Insight

每个数据分析可以具有以下状态之一,您可以按照下表中的说明进行更改。

说明
ACTIVE 数据分析很活跃。Google 会根据最新信息不断更新 ACTIVE 数据分析的内容。
DISMISSED

数据分析被忽略,不再显示在任何活跃的数据分析列表上。您可以在已忽略的历史记录页面上将 DISMISSED 状态恢复为 ACTIVE

如需了解详情,请参阅将数据分析标记为 DISMISSED

被覆盖的防火墙规则

防火墙数据分析用来分析防火墙规则,以检测被其他规则覆盖的防火墙规则。 “被覆盖的规则”是具有所有相关属性(例如 IP 地址范围和端口)的防火墙规则,这些属性被具有较高或相等优先级的一个或多个其他防火墙规则(称为“覆盖规则”)的属性所重叠。

需要启用 Firewall Insights API 才能生成 shadowed-firewall-rule 数据分析。启用防火墙规则日志记录后,系统会在 24 小时内计算出被覆盖的规则,并且每天都会刷新被覆盖的规则信息。

被覆盖的规则的示例

在此示例中,一些被覆盖的规则和覆盖规则具有重叠的来源 IP 范围过滤条件,而其他规则的规则优先级则不同。

下表展示了防火墙规则 AE。如需了解被覆盖的规则的不同场景,请参阅该表后面的部分。

类型 目标 过滤 协议或端口 操作 优先级
防火墙规则 A 入站流量 应用到全部 10.10.0.0/16 tcp:80 允许 1000
防火墙规则 B 入站流量 应用到全部 10.10.0.0/24 tcp:80 允许 1000
防火墙规则 C 入站流量 Web 10.10.2.0/24 tcp:80
tcp:443
允许 1000
防火墙规则 D 入站流量 Web 10.10.2.0/24 tcp:80 拒绝 900
防火墙规则 E 入站流量 Web 10.10.2.0/24 tcp:443 拒绝 900

示例 1:防火墙规则 A 覆盖了防火墙规则 B

在此示例中,有两个防火墙规则:A 和 B。除了它们的来源 IP 范围过滤条件外,这些规则几乎相同。防火墙规则 A 的 IP 范围为 10.10.0.0/16,而防火墙规则 B 的地址范围为 10.10.0.0/24。因此,防火墙规则 B 被防火墙规则 A 覆盖。

shadowed firewall rules 数据分析通常表示防火墙配置错误。例如,防火墙规则 A 的 IP 过滤条件设置不必要地宽泛了,或者防火墙规则 B 的过滤条件设置过于严格且不需要。

示例 2:防火墙规则 D 和 E 覆盖了防火墙规则 C

在此示例中,有三个防火墙规则:C、D 和 E。防火墙规则 C 允许 HTTP 端口 80 和 HTTPS 端口 443 网络流量入站,并且优先级为 1000(默认优先级)。防火墙规则 D 和 E 分别拒绝 HTTP 和 HTTPS 网络流量入站,它们的优先级均为 900(高优先级)。因此,防火墙 C 被防火墙规则 D 和 E 一起覆盖。

在观察期内没有任何命中的允许规则

Cloud Console 为此指标提供的数据基于防火墙规则日志记录。只有在相关时间段内为防火墙规则持续启用了防火墙规则日志记录时,此数据才是准确的。否则,实际计数可能会高于所示值。默认观察期为 6 周。

观察期内有命中的拒绝规则

启用防火墙规则日志记录后,防火墙数据分析会分析日志,以显示指定观察期间(默认值为过去 24 小时)内使用的任何 deny 规则的数据分析。

这些数据分析为您提供了防火墙数据包丢失信号,您可以检查这些信号以验证丢失的数据包是由于安全保护而预期丢失的,还是由于网络配置错误而意外丢失的。

您可以查看指标和数据分析的地方

您可以在以下 Cloud Console 位置查看防火墙数据分析的指标和数据分析:

后续步骤