本页面介绍了如何启用 防火墙数据分析。
在使用防火墙数据分析之前,请选择一个项目,确保您拥有所需的角色和权限,然后完成所需的设置任务。有关前两个步骤的详情,请参阅 角色和权限。
具体设置任务因您要使用的指标和数据分析而异。有关详情,请参阅下表。
| 任务 | 所有指标 | 被覆盖的规则数据分析 | 过于宽松的规则数据分析 | 有命中的拒绝规则 |
|---|---|---|---|---|
| 启用 Firewall Insights API | ✔ | ✔ | ✔ | ✔ |
| 启用防火墙规则日志记录 | ✔ | ✔ | ✔ | |
| 启用 Recommender API | ✔ | ✔ | ||
| 启用此类数据分析 | ✔ | ✔ | ||
| 配置观察期 | ✔ | ✔ | ||
| 安排自定义刷新周期 | ✔ |
以下部分介绍了如何启用这些 API 和功能。
启用 Firewall Insights API
在使用防火墙数据分析执行任何任务之前,您必须先启用 Firewall Insights API。
如需启用 API,您可以执行以下步骤,或者使用 Cloud API 文档的启用 API 中所述的 Google Cloud 控制台 API 库。
控制台
在 Google Cloud 控制台中,进入防火墙数据分析页面。
在 Firewall Insights API 页面上,点击启用。
gcloud
使用以下命令:
gcloud services enable firewallinsights.googleapis.com
启用防火墙规则日志记录
如果您要查看以下任何一项,则必须启用防火墙规则日志记录:
- 防火墙规则的相关指标
- 有关过于宽松的规则或
deny规则的数据分析;这些数据分析统称为基于日志的数据分析
防火墙数据分析仅针对启用了日志记录的规则生成指标和基于日志的数据分析。如需了解详情,请参阅防火墙规则日志记录概览。
启用 Recommender API
启用 Recommender API 以执行以下操作:
- 使用被覆盖的规则数据分析
- 使用过于宽松的规则数据分析
通过进行 API 调用或使用 Google Cloud CLI 检索任何数据
控制台
在 Google Cloud 控制台中,前往启用对 API 的访问权限页面。
确保选择了正确的项目,然后点击下一步。
点击启用。
gcloud
使用以下命令:
gcloud services enable recommender.googleapis.com
启用被覆盖的规则和/或过于宽松的规则数据分析
除非您在“防火墙数据分析”页面上主动启用这些功能,否则防火墙数据分析不会生成被覆盖或过于宽松的规则数据分析。
启用任一功能后,您可能最多需要等待 48 小时才能看到生成的数据分析。
创建或更新防火墙规则时,您最多可能需要等待 10 天 查看 机器学习预测 了解过于宽松的规则的数据分析在此期间,您可以查看基于从防火墙规则日志记录收集的数据的数据分析。
控制台
在 Google Cloud 控制台中,进入防火墙数据分析页面。
点击配置。
点击启用。
根据需要,针对以下任一或全部将滑块移至已启用或已停用:
被覆盖的规则数据分析
过于宽松的规则数据分析
API
您可以使用 Recommender API 启用或停用被覆盖的规则数据分析和过于宽松的规则数据分析。您还可以使用 API 为过于宽松的规则数据分析设置观察期,并检索配置详细信息。
如需启用被覆盖的规则数据分析和过于宽松的规则数据分析,请使用 updateConfig 方法。
如需使用 updateConfig 方法,您必须为其所有参数设置值。在启用或停用数据分析时,您还必须为过于宽松的数据分析配置观察期。
如需进行此类更新,请使用以下请求。
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
"enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
"enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
}
},
"etag": "\"ETAG\"",
}
替换以下值:
- PROJECT_ID:您的项目的 ID
- OBSERVATION_PERIOD_OVERLY_PERMISSIVE:过于宽松的规则数据分析的观察期的时间(以秒为单位)
- ENABLEMENT_SHADOWED:一个布尔值,表示是否启用了被覆盖的规则数据分析
- ENABLEMENT_OVERLY_PERMISSIVE:一个布尔值,表示是否启用了过于宽松的规则数据分析
- ETAG:IAM 政策 etag 值;如需检索 etag 值,请使用
getConfig方法,如以下部分所述
示例
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "604800s",
"enable_shadowed_rule_insights": true,
"enable_overly_permissive_rule_insights": true
}
},
"etag": "\"ETAG\"",
}
检索配置详情
如需检索有关如何配置防火墙数据分析的详细信息,请使用 getConfig 方法,如以下示例所示。
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
配置观察期
对于某些数据分析,您可以配置观察期,即数据分析涵盖的时间间隔。如需了解详情,请参阅“设置观察期和刷新周期”中的配置观察期。
安排自定义刷新周期
您可以设置刷新周期以为您的项目生成被覆盖的规则数据分析。如需了解详情,请参阅“设置观察期和刷新周期”中的安排自定义刷新周期。