Firewall Insights te ayuda a comprender los patrones de uso de tus reglas de cortafuegos. Puedes usar estos datos valiosos para tomar decisiones sobre cómo eliminar o modificar reglas de cortafuegos con el fin de simplificar y proteger la configuración del cortafuegos.
Puedes ver las siguientes estadísticas en la página Estadísticas de firewall de la Google Cloud consola Google Cloud y en otros lugares de la consola:
- Reglas de cortafuegos sustituidas: te ayudan a identificar las reglas de cortafuegos que se solapan con reglas ya existentes.
- Reglas demasiado permisivas: te ayudan a identificar reglas de
allowsin coincidencias, atributos sin usar o intervalos de direcciones IP o puertos demasiado permisivos. - Reglas de denegación: proporcionan detalles sobre las
denyreglas que han tenido coincidencias durante el periodo de observación configurado.
Los datos valiosos sobre reglas demasiado permisivas y reglas de denegación se generan a partir de los datos recogidos durante el periodo en el que está habilitada la función Almacenamiento de registros de reglas de cortafuegos.
En la página Estadísticas de firewall de la consola de Google Cloud , cada tarjeta que muestra estadísticas incluye una lista de todas las reglas de su proyecto que cumplen los criterios de las estadísticas.
Si quieres limitar los resultados a una red de VPC, usa la barra de filtros de la parte superior de la página para seleccionar una red.
Para obtener más información, consulta Dónde puedes ver métricas y estadísticas.
En las siguientes secciones se describe cómo ver cada estadística.
Roles y permisos necesarios
Para obtener el permiso que necesitas para ver las estadísticas, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu proyecto:
-
Administrador del recomendador de cortafuegos (
roles/recommender.firewallAdmin) -
Lector del recomendador de cortafuegos (
roles/recommender.firewallViewer)
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene el permiso recommender.computeFirewallInsights.list
, que es necesario para ver las estadísticas.
También puedes obtener este permiso con roles personalizados u otros roles predefinidos.
Ver reglas de cortafuegos sustituidas
Para obtener información sobre esta estadística, consulta Reglas con sombra.
Consola
En la Google Cloud consola, ve a la página Estadísticas de cortafuegos.
En la tarjeta Reglas ocultas, haz clic en Ver lista completa. La consola muestra la página Reglas ocultas, que contiene una lista de todas las redes de VPC.Google Cloud
En cada red de VPC de tu proyecto, puedes ver las estadísticas de las políticas de cortafuegos de jerarquía, las políticas de cortafuegos de red globales y las reglas de cortafuegos de VPC, así como la prioridad de la regla. La columna Insight de cada regla proporciona un resumen de por qué se ha identificado como una regla sustituida.
Opcional: Usa los filtros para acotar los resultados de la lista en función del nombre de la regla, la prioridad y el nombre de la política.
Para ver más detalles sobre la regla sombreada y las reglas que la sombrean, haz clic en la estadística.
gcloud y API
Firewall Insights usa comandos de Recommender. Recommender es un Google Cloud servicio que proporciona recomendaciones de uso para Google Cloud productos y servicios.
Ver allow reglas sin coincidencias
Para obtener información sobre esta estadística, consulta Reglas de autorización sin ninguna coincidencia.
Consola
En la Google Cloud consola, ve a la página Estadísticas de cortafuegos.
En la tarjeta Reglas de permiso que no han tenido coincidencias, haz clic en Ver lista completa. La consola muestra la página Google Cloud Reglas de permisión sin coincidencias. En esta página se muestran todas las redes de VPC que tenían reglas sin hits durante el periodo de observación.
La columna Insight de cada regla muestra si la regla de cortafuegos no ha tenido coincidencias durante el periodo de observación. La columna Predicción de coincidencias futuras muestra una predicción del uso futuro basada en las reglas de cortafuegos de la misma organización.
Opcional: Usa los filtros para acotar los resultados de la lista en función del nombre, la prioridad y el nombre de la política.
En cualquier regla de la lista, haga lo siguiente según corresponda:
- Para ver la página Detalles de la regla de cortafuegos, haz clic en el nombre de la regla.
- Para ver los registros de la regla, haz clic en Ver registro de auditoría.
- Para ver los detalles de la predicción, haga clic en el enlace de la columna Insight. Se mostrará el panel Detalles de la estadística. En el panel se describen los atributos principales de la regla. También se describen otras reglas del proyecto que tienen atributos similares.
gcloud y API
Firewall Insights usa comandos de Recommender. Recommender es un Google Cloud servicio que ofrece recomendaciones de uso para Google Cloud productos y servicios.
Ver las allow reglas obsoletas según el análisis adaptativo
Puedes ver las allow reglas que tienen menos probabilidades de estar activas en función de los patrones de uso y del análisis adaptativo.
Para obtener información sobre esta estadística, consulta Permitir reglas obsoletas basadas en análisis adaptativos.
Consola
En la Google Cloud consola, ve a la página Estadísticas de cortafuegos.
En la tarjeta Permitir reglas sin resultados (análisis adaptativo), haga clic en Ver lista completa. Se abrirá la página Reglas de autorización sin ninguna coincidencia (análisis adaptativo). En la página se muestran todas las redes de VPC que tenían reglas que probablemente ya no se usen.
La columna Insight de cada regla muestra si la regla de cortafuegos ya no está activa en función del análisis adaptativo del historial de recuento de aciertos de la regla.
Opcional: Usa los filtros para acotar los resultados de la lista en función del nombre, la prioridad y el nombre de la política.
En cualquier regla de la lista, haga lo siguiente según corresponda:
- Para ver la página Detalles de la regla de cortafuegos, haz clic en el nombre de la regla.
- Para ver los registros de la regla, haz clic en Ver registro de auditoría.
- Para ver los detalles de la predicción, haga clic en el enlace de la columna Insight.
En la página Detalles de la estadística se describen los atributos principales de la regla. En la sección Análisis adaptativo, puede ver la fecha del último acierto de la regla y el número medio de aciertos diarios antes de que la regla dejara de estar activa.
Para cerrar la página Detalles de la estadística, haz clic en Cancelar.
gcloud y API
Firewall Insights usa comandos de Recommender. Recommender es un Google Cloud servicio que ofrece recomendaciones de uso para Google Cloud productos y servicios.
Ver allow reglas con atributos que no se usan
Para obtener información sobre esta estadística, consulte Reglas de autorización con atributos no utilizados.
Consola
En la Google Cloud consola, ve a la página Estadísticas de cortafuegos.
En la tarjeta Reglas de autorización con atributos no utilizados, haga clic en Ver lista completa. En respuesta, la consola muestra la página Reglas de autorización con atributos no utilizados. Google Cloud En esta página se muestran todas las redes VPC que tienen reglas con atributos sin usar durante el periodo de observación.
En la columna Insight de cada regla se muestra el número de atributos sin usar durante el periodo de observación.
Opcional: Usa los filtros para acotar los resultados de la lista en función del nombre, la prioridad y el nombre de la política.
En cualquier red de VPC de la lista, haz lo siguiente según corresponda:
- Para ver la página Detalles de la regla de cortafuegos, haz clic en el nombre de la regla.
- Para ver los registros de la regla, haz clic en Ver registro de auditoría.
- Para ver los detalles de la predicción, haz clic en el enlace correspondiente. Se mostrará el panel Detalles de la estadística. En el panel se describen los atributos principales de la regla. También describe otras reglas del proyecto que tienen atributos similares.
gcloud y API
Firewall Insights usa comandos de Recommender. Recommender es un Google Cloud servicio que ofrece recomendaciones de uso para Google Cloud productos y servicios.
Ver las reglas de allow con direcciones IP o intervalos de puertos demasiado permisivos
Para obtener más información sobre esta estadística, consulta Reglas de autorización con dirección IP o intervalos de puerto demasiado permisivos.
Ten en cuenta que tu proyecto puede tener reglas de cortafuegos que permitan el acceso desde determinados bloques de direcciones IP para las comprobaciones de estado del balanceador de carga u otrasGoogle Cloud funciones. Es posible que no se acceda a estas direcciones IP, pero no se deben eliminar de las reglas de cortafuegos. Para obtener más información sobre estos intervalos, consulta la documentación de Compute Engine.
Consola
En la Google Cloud consola, ve a la página Estadísticas de cortafuegos.
En la tarjeta Reglas de autorización con dirección IP o intervalos de puerto demasiado permisivos, haz clic en Ver lista completa. La consolaGoogle Cloud muestra una lista de todas las reglas que tenían intervalos demasiado permisivos durante el periodo de observación.
En cualquier regla de la lista, haga lo siguiente según corresponda:
- Para ver la página Detalles de la regla de cortafuegos de cualquier regla, haz clic en el nombre de la regla.
- Para ver los registros de la regla, haz clic en Ver registro de auditoría.
- Para ver sugerencias sobre cómo acotar el intervalo, haz clic en el enlace de la columna Insight. Se muestra el panel Detalles de la estadística. En el panel se describen los atributos principales de la regla. Te sugiere intervalos de direcciones IP o puertos más definidos que puedes usar.
gcloud y API
Firewall Insights usa comandos de Recommender. Recommender es un Google Cloud servicio que ofrece recomendaciones de uso para Google Cloud productos y servicios.
Ver reglas deny con coincidencias
Para obtener información sobre esta estadística, consulta Reglas de denegación con coincidencias.
Consola
En la Google Cloud consola, ve a la página Estadísticas de cortafuegos.
En la tarjeta Reglas de denegación con coincidencias, haga clic en Ver lista completa. En respuesta, la consola muestra la página Denegar reglas con coincidencias. Google Cloud En esta página se muestran todas las redes de VPC que tienen
denyreglas que han recibido hits durante el periodo de observación.Para revisar los paquetes descartados por un cortafuegos, haz clic en Número de aciertos.
gcloud y API
Firewall Insights usa comandos de Recommender. Recommender es un Google Cloud servicio que ofrece recomendaciones de uso para Google Cloud productos y servicios.
Ver estadísticas en la página de detalles de la interfaz de red de la VM
Consulta el uso del cortafuegos en la página Detalles de la interfaz de red de una VM.
Para obtener más información, consulta el artículo sobre cómo listar reglas de cortafuegos de una interfaz de red de una instancia de VM.
Ver reglas con coincidencias en los últimos 24 meses
Consola
En la Google Cloud consola, ve a la página Instancias de VM de Compute Engine.
En los resultados de búsqueda de una interfaz de VM, selecciona una VM y haz clic en el menú más acciones.
En el menú, selecciona Ver detalles de la red.
En la página Detalles de cortafuegos y rutas, haga clic en la pestaña Reglas de cortafuegos.
En la columna Número de coincidencias, consulte el número de coincidencias de tráfico
allowydenyde los últimos 24 meses de todas las reglas de cortafuegos asociadas a una interfaz de red específica.
gcloud y API
Firewall Insights usa comandos de Recommender. Recommender es un Google Cloud servicio que ofrece recomendaciones de uso para Google Cloud productos y servicios.
Ver estadísticas en la página Cortafuegos
Para obtener más información sobre la página Cortafuegos, consulta el artículo Listar reglas de cortafuegos de VPC de una red de VPC.
Mostrar estadísticas de un proyecto
Consola
En la Google Cloud consola, ve a la página Políticas de cortafuegos.
En la columna Estadísticas, se muestra el nombre de las estadísticas disponibles para cada regla de cortafuegos.
Puede hacer clic en el nombre de una estadística para ver sus detalles.
En las siguientes secciones se describe cómo ver e interpretar los detalles de cada tipo de estadística.
Ver las allow reglas que no han tenido coincidencias en los últimos 24 meses
Consola
En la Google Cloud consola, ve a la página Políticas de cortafuegos.
En la columna Última coincidencia, consulta la última vez que se usó una regla de cortafuegos en los últimos 24 meses.
gcloud y API
Firewall Insights usa comandos de Recommender. Recommender es un Google Cloud servicio que ofrece recomendaciones de uso para Google Cloud productos y servicios.
Ver el gráfico del historial de uso de una regla
Consola
En la Google Cloud consola, ve a la página Políticas de cortafuegos.
Haz clic en el nombre de una regla de cortafuegos.
En la sección Monitorización del número de hits de la página, consulta el gráfico resultante que muestra el número de hits del cortafuegos durante un periodo determinado. Puedes seleccionar un intervalo de tiempo para el gráfico de monitorización del recuento de visitas.
gcloud y API
Firewall Insights usa comandos de Recommender. Recommender es un Google Cloud servicio que ofrece recomendaciones de uso para Google Cloud productos y servicios.
Ver las reglas deny con coincidencias de un periodo de observación
Consola
En la Google Cloud consola, ve a la página Políticas de cortafuegos.
En la columna Recuento de coincidencias, consulta el número de conexiones únicas que se han usado en una regla de cortafuegos concreta durante los últimos 24 meses (valor predeterminado).
gcloud y API
Firewall Insights usa comandos de Recommender. Recommender es un Google Cloud servicio que ofrece recomendaciones de uso para Google Cloud productos y servicios.
Siguientes pasos
- Gestionar y exportar estadísticas
- Revisar y optimizar las reglas de cortafuegos
- Ver estadísticas en el panel de control del centro de recomendaciones