防火墙数据分析概览

防火墙数据分析使您能够更好地了解并安全地优化防火墙配置。防火墙数据分析提供的报告包含有关防火墙使用情况以及各种防火墙规则对 Virtual Private Cloud (VPC) 网络的影响的信息。

如需详细了解数据分析概念,请参阅 Recommender 文档中的数据分析

优势

借助防火墙数据分析指标报告和数据分析报告,您可以通过以下方式管理防火墙配置。

通过指标报告,您可以执行以下任务:

  • 验证防火墙规则是否正按预期方式使用。
  • 在指定的时间段内,验证防火墙规则是否允许或禁止其预期连接。
  • 对由于防火墙规则而无意中舍弃的连接执行实时调试
  • 使用 Cloud Monitoring 发现恶意访问您的网络,包括在防火墙规则的命中数发生重大变化时获得提醒。

借助数据分析报告,您可以查看智能分析的结果,该分析可以产生一项或多项“数据分析”。借助这些数据分析,您可以执行以下任务:

  • 确定防火墙配置错误
  • 识别安全攻击。
  • 通过检测和移除观察期内未命中的 allow 规则,优化防火墙规则并收紧安全边界(观察期是指数据分析之前的时间段,试用版为六周)。

指标报告

跟踪防火墙利用率的指标可帮助您分析 VPC 网络中的防火墙规则的使用情况。指标通过 Cloud Monitoring API 提供。

如需了解详情,请参阅查看防火墙数据分析指标

防火墙命中数指标

防火墙数据分析会跟踪防火墙规则日志记录所记录的所有流量的防火墙命中数。对于每个启用了日志记录的防火墙规则,您可以查看防火墙规则阻止或允许连接的次数。您还可以查看特定虚拟机 (VM) 实例的接口的这些指标。

命中数的数据可能会比实际事件延迟几分钟。防火墙数据分析仅会为符合防火墙规则日志记录规范的流量生成防火墙命中数指标。例如,只能记录 TCP 和 UDP 流量。

防火墙上次使用的指标

您可以通过查看 Firewall last used 指标来查看上次应用特定防火墙规则以允许或拒绝流量的时间。查看这些指标使您可以找出最近未使用过的防火墙规则。

此指标涵盖最近 42 天的历史记录。此时间段由 Cloud Logging 的保留期限决定。如果上次命中发生在最近 42 天之前,则last hit time 将显示为 N/A (not applicable)

防火墙规则用量指标仅在启用了防火墙规则日志记录的时间段内是准确的。

数据分析报告

数据分析报告可为您提供防火墙配置的智能分析。一份报告包含一个或多个数据分析。

数据分析类型和状态

防火墙数据分析的数据分析类型称为 google.compute.firewall.Insight

每个数据分析可以具有以下状态之一,您可以按照下表中的说明进行更改。

说明
ACTIVE 数据分析很活跃。Google 会根据最新信息不断更新 ACTIVE 数据分析的内容。
DISMISSED

数据分析被忽略,不再显示在任何活跃的数据分析列表上。您可以在已忽略的历史记录页面上将 DISMISSED 状态恢复为 ACTIVE

在测试版期间,您只能使用 Cloud Console 忽略和恢复数据分析。如需了解详情,请参阅将数据分析标记为 DISMISSED

被覆盖的防火墙规则

防火墙数据分析用来分析防火墙规则,以检测被其他规则覆盖的防火墙规则。

“被覆盖的规则”是具有所有相关属性(例如 IP 地址范围和端口)的防火墙规则,这些属性被具有较高或相等优先级的一个或多个其他防火墙规则(称为“覆盖规则”)的属性所重叠。由于此重叠以及被覆盖的规则的优先级低于其覆盖规则,防火墙不会评估被覆盖的规则。

被覆盖的规则的示例

在此示例中,一些被覆盖的规则和覆盖规则具有重叠的来源 IP 范围过滤条件,而其他规则的规则优先级则不同。

下表展示了防火墙规则 AE。如需了解被覆盖的规则的不同场景,请参阅该表后面的部分。

类型 目标 过滤 协议或端口 操作 优先级
防火墙规则 A 入站 应用到全部 10.10.0.0/16 tcp:80 允许 1000
防火墙规则 B 入站 应用到全部 10.10.0.0/24 tcp:80 允许 1000
防火墙规则 C 入站 Web 10.10.2.0/24 tcp:80
tcp:443
允许 1000
防火墙规则 D 入站 Web 10.10.2.0/24 tcp:80 拒绝 900
防火墙规则 E 入站 Web 10.10.2.0/24 tcp:443 拒绝 900

示例 1:防火墙规则 A 覆盖了防火墙规则 B

在此示例中,有两个防火墙规则:A 和 B。除了它们的来源 IP 范围过滤条件外,这些规则几乎相同。防火墙规则 A 的 IP 范围为 10.10.0.0/16,而防火墙规则 B 的地址范围为 10.10.0.0/24。因此,防火墙规则 B 被防火墙规则 A 覆盖。

shadowed firewall rules 数据分析通常表示防火墙配置错误。例如,防火墙规则 A 的 IP 过滤条件设置不必要地太宽泛了,或者防火墙规则 B 的过滤条件设置过于严格且不需要。

示例 2:防火墙规则 D 和 E 覆盖了防火墙规则 C

在此示例中,有三个防火墙规则:C、D 和 E。防火墙规则 C 允许 HTTP 端口 80 和 HTTPS 端口 443 网络流量入站,并且优先级为 1000(默认优先级)。防火墙规则 D 和 E 分别拒绝 HTTP 和 HTTPS 网络流量入站,它们的优先级均为 900(高优先级)。因此,防火墙 C 被防火墙规则 D 和 E 一起覆盖。

在最近六周内没有命中的允许规则

Cloud Console 针对此指标提供的数据基于防火墙规则日志记录。只有在最近六周内为防火墙规则启用了防火墙规则日志记录的情况下,数据才是正确的。否则,实际命中数可能会更高。

在最近 24 小时内有命中的拒绝规则

启用防火墙规则日志记录时,防火墙数据分析会分析日志以了解最近 24 小时内使用的任何 deny 规则。

这些数据分析为您提供了防火墙数据包丢失信号,您可以检查这些信号以验证丢失的数据包是由于安全保护而预期丢失的,还是由于网络配置错误而意外丢失的。

您可以查看指标和数据分析的地方

您可以在以下 Cloud Console 位置查看防火墙数据分析指标和数据分析:

后续步骤