Firewall Insights hilft Ihnen, die Nutzungsmuster Ihrer Firewallregeln nachzuvollziehen. Anhand dieser Informationen können Sie entscheiden, wie Sie Firewallregeln entfernen oder ändern, um Ihre Firewallkonfiguration zu vereinfachen und zu sichern.
Sie können sich die folgenden Statistiken in der Google Cloud Console auf der Seite Firewall Insights und an verschiedenen anderen Stellen in der Google Cloud Console ansehen:
- Verdeckte Firewallregeln:helfen Ihnen beim Identifizieren von Firewallregeln, die sich mit vorhandenen Regeln überschneiden.
- Zu moderate Regeln:Sie können
allow-Regeln ohne Treffer, nicht verwendete Attribute oder zu moderate IP-Adress- oder Portbereiche leichter identifizieren. - Ablehnungsregeln:Geben Details zu
deny-Regeln an, die während des konfigurierten Beobachtungszeitraums Treffer hatten.
Statistiken zu zu moderaten Regeln und Ablehnungsregeln werden anhand der Daten generiert, die für den Zeitraum erfasst wurden, in dem das Logging von Firewallregeln aktiviert ist.
Auf der Seite „Firewall Insights“ in der Google Cloud Console enthält jede Karte, auf der die Statistiken angezeigt werden, eine Liste aller Regeln in Ihrem Projekt, die die Statistikkriterien erfüllen.
Wenn Sie die Ergebnisse auf ein VPC-Netzwerk beschränken möchten, verwenden Sie die Filterleiste oben auf der Seite, um ein Netzwerk auszuwählen.
Weitere Informationen finden Sie unter Wo Sie Messwerte und Statistiken aufrufen können.
In den folgenden Abschnitten wird beschrieben, wie Sie die einzelnen Informationen aufrufen.
Erforderliche Rollen und Berechtigungen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zu gewähren, damit Sie die Berechtigung erhalten, die Sie zum Aufrufen von Statistiken benötigen:
-
Firewall Recommender Admin (
roles/recommender.firewallAdmin) -
Firewall Recommender-Betrachter (
roles/recommender.firewallViewer)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.
Diese vordefinierte Rolle enthält die Berechtigung recommender.computeFirewallInsights.list, die zum Ansehen von Statistiken erforderlich ist.
Möglicherweise können Sie diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Verdeckte Firewallregeln ansehen
Weitere Informationen zu dieser Statistik finden Sie unter Verdeckte Regeln.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte Verdeckte Regeln auf Vollständige Liste anzeigen. In der Google Cloud Console wird die Seite Verdeckte Regeln angezeigt, auf der alle VPC-Netzwerke aufgelistet sind.
Für jedes VPC-Netzwerk in Ihrem Projekt können Sie die Statistiken zu hierarchischen Firewallrichtlinien, globalen Netzwerk-Firewallrichtlinien und VPC-Firewallregeln sowie die Priorität der Regel sehen. Die Spalte Statistik für jede Regel enthält eine Zusammenfassung darüber, warum die Regel als verdeckte Regel identifiziert wurde.
Optional: Verwenden Sie Filter, um die Ergebnisse in der Liste nach Regelname, Priorität und Richtlinienname einzugrenzen.
Klicken Sie auf die Statistik, um weitere Details zur verdeckten Regel und den Regeln, die sie verdeckt, aufzurufen.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst mit Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste.
allow-Regeln ohne Treffer ansehen
Weitere Informationen zu dieser Statistik finden Sie unter Zulassungsregeln ohne Treffer.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte Regeln ohne Treffer zulassen auf Vollständige Liste ansehen. In der Google Cloud Console wird die Seite Zulassungsregeln ohne Treffer angezeigt. Auf dieser Seite werden alle VPC-Netzwerke aufgeführt, die im Beobachtungszeitraum Regeln ohne Treffer hatten.
Die Spalte Statistik für jede Regel gibt an, ob die Firewallregel im Beobachtungszeitraum keine Treffer hatte. In der Spalte Vorhersage von zukünftigen Treffern wird eine Vorhersage der zukünftigen Nutzung basierend auf Firewallregeln in derselben Organisation angezeigt.
Optional: Verwenden Sie Filter, um die Ergebnisse in der Liste nach Regelname, Priorität und Richtlinienname einzugrenzen.
Führen Sie für jede Regel in der Liste eine der folgenden Schritte aus:
- Klicken Sie auf den Namen der Regel, um die Seite Details zur Firewallregel für die Regel aufzurufen.
- Klicken Sie auf Audit-Log ansehen, um das Logging für die Regel aufzurufen.
- Klicken Sie auf den Link in der Spalte Statistik, um Details zur Vorhersage aufzurufen. Der Bereich Statistikdetails wird angezeigt. Im Bereich werden die Hauptattribute der Regel beschrieben. Außerdem werden andere Regeln im Projekt beschrieben, die ähnliche Attribute haben.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst, der Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste bietet.
allow Regeln ansehen, die aufgrund der adaptiven Analyse veraltet sind
Sie können allow-Regeln aufrufen, die basierend auf Nutzungsmustern und adaptiver Analyse mit geringerer Wahrscheinlichkeit aktiv sind.
Weitere Informationen zu dieser Statistik finden Sie unter Auf der Grundlage adaptiver Analysen veraltete Regeln zulassen.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte Regeln ohne Treffer zulassen (adaptive Analyse) auf Vollständige Liste ansehen. Die Seite Regeln ohne Treffer zulassen (adaptive Analyse) wird geöffnet. Auf dieser Seite werden alle VPC-Netzwerke aufgelistet, in denen Regeln festgelegt wurden, die wahrscheinlich nicht mehr verwendet werden.
In der Spalte Informationen für jede Regel wird auf Grundlage der adaptiven Analyse des Verlaufs der Regeltreffer angezeigt, ob die Firewallregel nicht mehr aktiv ist.
Optional: Verwenden Sie Filter, um die Ergebnisse in der Liste nach Regelname, Priorität und Richtlinienname einzugrenzen.
Führen Sie für jede Regel in der Liste eine der folgenden Schritte aus:
- Klicken Sie auf den Namen der Regel, um die Seite Details zur Firewallregel für die Regel aufzurufen.
- Klicken Sie auf Audit-Log ansehen, um das Logging für die Regel aufzurufen.
- Klicken Sie auf den Link in der Spalte Statistik, um Details zur Vorhersage aufzurufen.
Auf der Seite Statistikdetails werden die Hauptattribute der Regel beschrieben. Im Abschnitt Adaptive Analyse sehen Sie das Datum des letzten Treffers und die durchschnittliche tägliche Trefferanzahl, bevor die Regel nicht mehr aktiv wurde.
Klicken Sie auf Abbrechen, um die Seite Statistikdetails zu schließen.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst, der Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste bietet.
allow-Regeln mit nicht verwendeten Attributen aufrufen
Weitere Informationen zu dieser Statistik finden Sie unter Regeln mit nicht verwendeten Attributen zulassen.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte Zulassungsregeln mit nicht verwendeten Attributen auf Vollständige Liste ansehen. Als Antwort wird in der Google Cloud Console die Seite Zulassungsregeln mit nicht verwendeten Attributen angezeigt. Auf dieser Seite werden alle VPC-Netzwerke aufgelistet, deren Regeln im Beobachtungszeitraum nicht verwendete Attribute hatten.
Die Spalte Statistik für jede Regel enthält die Anzahl der nicht verwendeten Attribute im Beobachtungszeitraum.
Optional: Verwenden Sie Filter, um die Ergebnisse in der Liste nach Regelname, Priorität und Richtlinienname einzugrenzen.
Führen Sie für jedes VPC-Netzwerk in der Liste einen der folgenden Schritte aus:
- Klicken Sie auf den Namen der Regel, um die Seite Details zur Firewallregel für die Regel aufzurufen.
- Klicken Sie auf Audit-Log ansehen, um das Logging für die Regel aufzurufen.
- Klicken Sie auf den Link für die Vorhersage, um Details zur Vorhersage aufzurufen. Der Bereich Statistikdetails wird angezeigt. Im Bereich werden die Hauptattribute der Regel beschrieben. Außerdem werden andere Regeln im Projekt mit ähnlichen Attributen beschrieben.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst, der Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste bietet.
allow-Regeln mit zu moderaten IP-Adress- oder Portbereichen aufrufen
Weitere Informationen zu dieser Statistik finden Sie unter Regeln mit zu moderaten IP-Adress- oder Portbereichen zulassen.
Beachten Sie, dass Ihr Projekt Firewallregeln enthalten kann, die den Zugriff von bestimmten IP-Adressblöcken für Load-Balancer-Systemdiagnosen oder für andere Google Cloud-Funktionen zulassen. Diese IP-Adressen sind zwar nicht betroffen, sollten aber nicht aus Ihren Firewall-Regeln entfernt werden. Weitere Informationen zu diesen Bereichen finden Sie in der Compute Engine-Dokumentation.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte mit dem Namen Zulassungsregeln mit zu moderaten IP-Adressen oder Portbereichen auf Vollständige Liste anzeigen. In der Google Cloud Console wird eine Liste aller Regeln angezeigt, die während des Beobachtungszeitraums zu moderate Bereiche hatten.
Führen Sie für jede Regel in der Liste eine der folgenden Schritte aus:
- Klicken Sie auf den Namen der Regel, um die Seite Details der Firewallregel für eine beliebige Regel aufzurufen.
- Klicken Sie auf Audit-Log ansehen, um das Logging für die Regel aufzurufen.
- Wenn Sie auf den Link in der Spalte Statistik klicken, erhalten Sie Vorschläge zum Eingrenzen des Bereichs. Der Bereich Statistikdetails wird angezeigt. Im Bereich werden die Hauptattribute der Regel beschrieben. Es werden enger definierte IP-Adressen oder Portbereiche vorgeschlagen, die Sie verwenden können.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst, der Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste bietet.
deny-Regeln mit Treffern aufrufen
Weitere Informationen zu dieser Statistik finden Sie unter Deny-Regeln mit Treffern.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte mit dem Namen Deny-Regeln mit Treffern auf Vollständige Liste ansehen. Daraufhin wird in der Google Cloud Console die Seite Deny-Regeln mit Treffern angezeigt. Auf dieser Seite werden alle VPC-Netzwerke mit
deny-Regeln aufgelistet, für die im Beobachtungszeitraum Treffer aufgetreten sind.Um die von einer Firewall verworfenen Pakete zu prüfen, klicken Sie auf Trefferanzahl.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst, der Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste bietet.
Statistiken auf der Detailseite der VM-Netzwerkschnittstelle ansehen
Rufen Sie auf der Seite Details zur Netzwerkschnittstelle die Firewallnutzung für eine VM auf.
Weitere Informationen finden Sie unter Firewallregeln für eine Netzwerkschnittstelle einer VM-Instanz auflisten.
Regeln mit Treffern in den letzten 24 Stunden ansehen
Console
Öffnen Sie in der Google Cloud Console die Seite Compute Engine-VM-Instanzen:
Wählen Sie in den Suchergebnissen für eine VM-Schnittstelle eine VM aus und klicken Sie auf das Menü Weitere Aktionen.
Wählen Sie im Menü Netzwerkdetails anzeigen aus.
Klicken Sie auf der Seite Firewall- und Routendetails auf den Tab Firewallregeln.
In der Spalte Trefferzahl wird die Trefferzahl für
allow- unddeny-Traffic in den letzten 24 Monaten für alle Firewallregeln angezeigt, die einer bestimmten Netzwerkschnittstelle zugeordnet sind.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst, der Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste bietet.
Statistiken auf der Seite „Firewall“ ansehen
Weitere Informationen zur Seite Firewall finden Sie unter VPC-Firewallregeln für ein VPC-Netzwerk auflisten.
Informationen zu einem Projekt auflisten
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Sehen Sie sich für jede Firewallregel den Namen der verfügbaren Statistiken in der Spalte Statistiken an.
Sie können auf den Namen einer Statistik klicken, um die zugehörigen Details aufzurufen.
In den folgenden Abschnitten wird beschrieben, wie Sie die Details für die einzelnen Statistiktypen aufrufen und interpretieren.
allow Regeln ohne Treffer in den letzten 24 Monaten ansehen
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Sehen Sie in der Spalte Letzter Treffer nach, wann eine bestimmte Firewallregel in den letzten 24 Monaten das letzte Mal verwendet wurde.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst, der Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste bietet.
Diagramm zum Nutzungsverlauf einer Regel aufrufen
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Klicken Sie auf den Namen einer Firewallregel.
Sehen Sie sich im Bereich Monitoring der Trefferanzahl das resultierende Diagramm an, in dem die Anzahl der Firewalltreffer für einen bestimmten Zeitraum angezeigt wird. Sie können ein Zeitintervall für das Diagramm zum Monitoring der Trefferanzahl auswählen.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst, der Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste bietet.
deny-Regeln mit Treffern für einen Beobachtungszeitraum aufrufen
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
In der Spalte Trefferanzahl sehen Sie die Anzahl der einzelnen Verbindungen, die in den letzten 24 Monaten für eine bestimmte Firewallregel verwendet wurden (Standardeinstellung).
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst, der Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste bietet.
Nächste Schritte
- Statistiken verwalten und exportieren
- Firewallregeln prüfen und optimieren
- Statistiken im Dashboard des Empfehlungs-Hubs ansehen