Usa estadísticas de firewall

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

En esta página, se describe cómo usar Estadísticas de firewall, lo que proporciona acceso a estadísticas, recomendaciones y métricas sobre las reglas de firewall. Puedes ver esta información en la página Estadísticas de firewall en la consola de Google Cloud y en otros lugares de la consola de Google Cloud. También puedes obtener datos mediante la API de Recommender o Google Cloud CLI.

Para obtener una descripción general de las estadísticas disponibles, consulta la descripción general de las Estadísticas de firewall.

Para obtener una lista de métricas de uso de firewall, consulta Métricas de estadísticas de firewall.

Antes de comenzar

Antes de poder usar las Estadísticas de firewall, debes seleccionar un proyecto y, luego, completar las tareas de configuración necesarias. Los requisitos previos para algunas funciones son distintos a los de otras Para obtener más información, consulta la siguiente tabla:

Tarea Todas las métricas Estadísticas de reglas bloqueadas Estadísticas de reglas demasiado permisivas Reglas de rechazo con hits
Habilitar la API de Estadísticas de firewall
Habilitar el registro de las reglas de firewall
Habilitar la API del Recomendador.
Habilitar este tipo de estadística
Configurar un período de observación

En las siguientes secciones, se describe cada una de estas tareas.

Selecciona un proyecto

Antes de completar los requisitos previos o realizar otras acciones con Estadísticas de firewall, te recomendamos que crees o selecciones un proyecto de Google Cloud. Para ello, sigue estos pasos:

  1. En Google Cloud Console, ve a la página Selector de proyectos.

    Ir al Selector de proyectos

  2. Selecciona o crea un proyecto de Google Cloud.

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Cloud.

Habilita la API de Firewall Insights

Antes de poder realizar cualquier tarea con las Estadísticas de firewall, debes habilitar la API de Estadísticas de firewall. Para ello, sigue estos pasos: Como alternativa, puedes usar la biblioteca de API de la consola de Google Cloud, como se describe en Habilita API.

Console

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. En API de Estadísticas de firewall, haz clic en Habilitar.

gcloud

Ejecute el siguiente comando:

gcloud services enable firewallinsights.googleapis.com

Habilita el registro de las reglas de firewall

Si deseas ver cualquiera de las siguientes opciones, debes habilitar el registro de reglas de firewall:

  • Métricas sobre las reglas de firewall
  • Estadísticas sobre reglas demasiado permisivas o reglas deny Estas estadísticas se conocen en conjunto como estadísticas basadas en registros.

Estadísticas de firewall produce métricas y estadísticas basadas en registros solo para las reglas que tienen habilitado el registro. Para obtener más información, consulta Descripción general del registro de las reglas de firewall.

Habilita la API de recomendador

Debes habilitar la API de recomendador si deseas realizar una de las siguientes acciones:

  • Usa las estadísticas de reglas bloqueadas
  • Usa estadísticas de reglas demasiado permisivas
  • Recupera cualquier dato mediante llamadas a la API o mediante Google Cloud CLI

Console

  1. En la consola de Google Cloud, ve a la página Habilitar el acceso a la API.

    Habilita el acceso a la API

  2. Asegúrate de que el proyecto correcto esté seleccionado y, luego, haz clic en Siguiente.

  3. Haz clic en Habilitar.

gcloud

Ejecute el siguiente comando:

gcloud services enable recommender.googleapis.com

Habilita las reglas de bloqueo o las estadísticas de reglas demasiado permisivas

Estadísticas de firewall no genera reglas bloqueadas ni estadísticas de reglas demasiado permisivas, a menos que habilites de forma activa estas funciones en la página Estadísticas de firewall.

Después de habilitar cualquiera de las funciones, es posible que debas esperar hasta 48 horas para ver estadísticas generadas.

Cuando creas o actualizas una regla de firewall, es posible que debas esperar hasta diez días para ver las predicciones del aprendizaje automático a fin de obtener estadísticas de reglas demasiado permisivas. Mientras tanto, puedes ver las estadísticas basadas en los datos recopilados del registro de reglas de firewall.

Console

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. Haz clic en Configuración.

  3. Haz clic en Habilitación.

  4. Según corresponda, mueve el control deslizante a Habilitado o Deshabilitado de una de las siguientes opciones o ambas:

    • Estadísticas de reglas bloqueadas

    • Estadísticas de reglas demasiado permisivas

API

Puedes usar la API de recomendador para habilitar o inhabilitar las estadísticas de reglas bloqueadas o las estadísticas de reglas demasiado permisivas. También puedes usar la API para establecer el período de observación de las estadísticas de reglas demasiado permisivas y recuperar los detalles de la configuración.

Habilita las estadísticas y establece el período de observación

Puedes habilitar las estadísticas de reglas bloqueadas o las estadísticas de reglas demasiado permisivas con el método updateConfig.

Para usar el método updateConfig, debes establecer valores para todos sus parámetros. Esto significa que, al mismo tiempo que habilitas o inhabilitas las estadísticas, también debes configurar el período de observación para las estadísticas demasiado permisivas.

Para realizar este tipo de actualización, usa la siguiente solicitud.

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
          "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
          "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
         }
       },
    "etag": "\"ETAG\"",
  }

Reemplaza los siguientes valores:

  • PROJECT_ID: Es el ID de tu proyecto.
  • OBSERVATION_PERIOD_OVERLY_PERMISSIVE: es el tiempo, en segundos, del período de observación de las estadísticas de reglas demasiado permisivas.
  • ENABLEMENT_SHADOWED: un valor booleano que representa si las estadísticas de reglas bloqueadas están habilitadas
  • ENABLEMENT_OVERLY_PERMISSIVE: un valor booleano que representa si las estadísticas de reglas demasiado permisivas están habilitadas.
  • ETAG: El valor de Etag de la política de IAM; Para recuperar el valor de Etag, usa el método getConfig, como se describe en la siguiente sección.

Ejemplo

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "604800s",
          "enable_shadowed_rule_insights": true,
          "enable_overly_permissive_rule_insights": true
         }
       },
    "etag": "\"ETAG\"",
  }

Recupera detalles de configuración

Para recuperar detalles sobre cómo se configuran las Estadísticas de firewall, usa el método getConfig, como se muestra en el siguiente ejemplo.

  GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config

Configura períodos de observación

Para algunas estadísticas, puedes configurar un período de observación, es decir, el período que cubre la estadística. Puedes hacerlo para las reglas demasiado permisivas y las estadísticas de reglas deny.

Por ejemplo, supongamos que estableces el período de observación de las estadísticas de reglas deny en dos meses. En este caso, cuando revises la lista de reglas deny con hits, Estadísticas de firewall te muestra solo las reglas que tuvieron hits en algún momento durante los últimos dos meses. Supongamos que luego cambias el período de observación a un mes. En este caso, se podría identificar una cantidad diferente de reglas, ya que Estadísticas de firewall analizaría un período más corto.

Cuando revises las estadísticas y configures los períodos de observación, ten en cuenta lo siguiente:

  • Cuando configuras el período de observación de las reglas deny con hits, Estadísticas de firewall actualizan los resultados de las estadísticas de inmediato.

  • Cuando actualizas el período de observación para estadísticas de reglas demasiado permisivas, las Estadísticas de firewall pueden tardar hasta 48 horas en actualizar los resultados existentes. Mientras tanto, el período de observación de los resultados existentes coincide con el período de observación configurado antes.

  • Para las estadísticas demasiado permisivas, si las estadísticas no identificaron reglas de firewall, Estadísticas de firewall no muestra el período de observación que se usó.

  • Las estadísticas de reglas bloqueadas no tienen un período de observación porque no evalúan los datos históricos. El análisis de reglas bloqueadas evalúa tu configuración de regla de firewall existente cada 24 horas.

  • Es posible que no se incluyan datos de registro de tráfico de las últimas 24 horas cuando se generan estadísticas.

Console

Para configurar un período de observación, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. Haz clic en Configuración.

  3. Haz clic en Período de observación.

  4. Según corresponda, configura la lista desplegable Período de observación en el momento adecuado para cada uno de los siguientes elementos:

    • Estadísticas de reglas demasiado permisivas

    • Estadísticas de reglas de denegación

API

Si deseas configurar el período de observación de las reglas deny con hits, debes usar la consola de Google Cloud. Sin embargo, puedes usar la API de recomendador a fin de configurar el período de observación para estadísticas de reglas demasiado permisivas. También puedes usar la API para habilitar las estadísticas y recuperar los detalles de la configuración.

Configura el período de observación y habilita las estadísticas

Puedes configurar el período de observación de las estadísticas de reglas demasiado permisivas con el método updateConfig.

Para usar el método updateConfig, debes establecer valores para todos sus parámetros. Esto significa que también debes especificar si las estadísticas de reglas bloqueadas y las estadísticas de reglas demasiado permisivas están habilitadas o inhabilitadas.

Para realizar este tipo de actualización, usa la siguiente solicitud.

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
          "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
          "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
         }
       },
    "etag": "\"ETAG\"",
  }

Reemplaza los siguientes valores:

  • PROJECT_ID: Es el ID de tu proyecto.
  • OBSERVATION_PERIOD_OVERLY_PERMISSIVE: es el tiempo, en segundos, del período de observación de las estadísticas de reglas demasiado permisivas.
  • ENABLEMENT_SHADOWED: un valor booleano que representa si las estadísticas de reglas bloqueadas están habilitadas
  • ENABLEMENT_OVERLY_PERMISSIVE: un valor booleano que representa si las estadísticas de reglas demasiado permisivas están habilitadas.
  • ETAG: El valor de Etag de la política de IAM; Para recuperar el valor de Etag, usa el método getConfig, como se describe en la siguiente sección.

Ejemplo

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "604800s",
          "enable_shadowed_rule_insights": true,
          "enable_overly_permissive_rule_insights": true
         }
       },
    "etag": "\"ETAG\"",
  }

Recupera detalles de configuración

Para recuperar detalles sobre cómo se configuran las Estadísticas de firewall, usa el método getConfig, como se muestra en el siguiente ejemplo.

  GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config

Programa un ciclo de actualización personalizado

Configure un ciclo de actualización a fin de generar estadísticas de reglas bloqueadas para su proyecto.

Puedes programar el ciclo de actualización para que comience en una fecha específica y personalizar la frecuencia del ciclo. La frecuencia de ciclo predeterminada es de un día (24 horas).

Console

Configure un ciclo de actualización personalizado para las estadísticas:

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. Haz clic en Configuración.

  3. Haz clic en Habilitación.

  4. Para habilitar las estadísticas de reglas bloqueadas, haga clic en el botón de activación.

  5. En el campo Comenzar en, ingresa una fecha a partir de la cual comienza el ciclo de actualización personalizado.

  6. En el campo Repetir cada, selecciona la frecuencia del ciclo de actualización a partir de la fecha de inicio del ciclo:

    • day: cada 24 horas
    • week: todas las semanas los días que seleccionas
    • month: todos los meses
    • quarter: cada trimestre

    El nuevo programa de generación de estadísticas se aplica 24 horas después de guardar los cambios en el programa.

Usa la página de destino de Estadísticas de firewall

La página de destino de Estadísticas de firewall en la consola de Google Cloud proporciona tarjetas para todas las estadísticas, incluidas las siguientes:

  • Reglas de firewall bloqueadas
  • Reglas demasiado permisivas, incluidas las siguientes:
    • Reglas Allow sin hits
    • Reglas de Allow con atributos sin usar
    • Reglas de Allow con rangos de puertos o direcciones IP demasiado permisivos
  • Reglas de Deny sin hits

Cada tarjeta incluye una lista de todas las reglas en tu proyecto que cumplen con los criterios de estadísticas. Si deseas limitar los resultados solo a una red de VPC, usa la barra de filtros en la parte superior de la página para seleccionar una red.

En las siguientes secciones, se describe cómo ver cada estadística.

Ve reglas de firewall bloqueadas

Para obtener información sobre estas estadísticas, consulta Reglas bloqueadas en la descripción general de Estadísticas de firewall.

Console

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. En la tarjeta denominada Reglas bloqueadas, haz clic en Ver lista completa. En respuesta, la consola de Google Cloud muestra la página Reglas bloqueadas, que enumera todas las reglas que se identificaron como bloqueadas. La columna Estadísticas de cada regla proporciona un resumen del motivo por el que se la identificó como una regla bloqueada.

  3. Para ver más detalles sobre la regla bloqueada y las reglas que la sustituyen, haz clic en la estadística.

Ve reglas allow sin hits

Para obtener información sobre esta estadística, consulta Permite reglas sin hits en la descripción general de Estadísticas de firewall.

Console

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. En la tarjeta llamada Permitir reglas sin hit, haz clic en Ver lista completa. Como respuesta, la consola de Google Cloud muestra la página Permitir reglas sin hits, que enumera todas las reglas que no tuvieron hits durante el período de observación. En la columna estadísticas para cada regla, se muestra si la regla de firewall no tuvo hits durante el período de observación. En la columna Predicción de hits futuros, se muestra una predicción del uso futuro según las reglas de firewall de la misma organización.

  3. Para cualquier regla de la lista, realiza las siguientes acciones según corresponda:

    • Para ver la página Detalles de las reglas de firewall, haz clic en el nombre de la regla.
    • Para ver el registro de la regla, haz clic en el vínculo Ver registros de auditoría
    • Para ver los detalles, haz clic en el vínculo correspondiente. En la respuesta, se muestra el panel Detalles de la estadística. En este panel, se describen los atributos principales de la regla. También se describen los atributos de otras reglas similares del proyecto, junto con sus recuentos de hits.

Ve reglas allow con atributos sin usar

Para obtener información sobre estas estadísticas, consulta Permite las reglas con atributos sin usar en la descripción general de Estadísticas de firewall.

Console

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. En la tarjeta Permitir reglas con atributos sin usar, haz clic en Ver lista completa. En respuesta, la consola de Google Cloud muestra la página Permitir reglas con atributos sin usar. En esta página, se enumeran todas las reglas identificadas que tenían atributos sin usar durante el período de observación. La columna estadísticas para cada regla muestra la cantidad de atributos que no se usaron durante el período de observación.

  3. Para cualquier regla de la lista, realiza las siguientes acciones según corresponda:

    • Para ver la página Detalles de las reglas de firewall, haz clic en el nombre de la regla.
    • Para ver el registro de la regla, haz clic en el vínculo Ver registros de auditoría
    • Para ver los detalles, haz clic en el vínculo correspondiente. En la respuesta, se muestra el panel Detalles de la estadística. En este panel, se describen los atributos principales de la regla. También se describen otras reglas en el proyecto que tienen atributos similares.

Ve reglas allow con rangos de puertos o direcciones IP demasiado permisivos

Para obtener información sobre esta estadística, consulta Reglas de permiso con direcciones IP o rangos de puertos demasiado permisivos en la descripción general de las Estadísticas de firewall.

Ten en cuenta que tu proyecto puede tener reglas de firewall que permiten el acceso desde ciertos bloques de direcciones IP para las verificaciones de estado del balanceador de cargas o para otras funciones de Google Cloud. Es posible que estas direcciones IP no tengan hits, pero no se deben quitar de tus reglas de firewall. Para obtener más información sobre estos rangos, consulta la documentación de Compute Engine.

Console

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. En la tarjeta llamada Permitir reglas con rangos de puertos o direcciones IP demasiado permisivos, haz clic en Ver lista completa. En respuesta, la consola de Google Cloud muestra una lista de todas las reglas que tenían rangos demasiado permisivos durante el período de observación.

  3. Para cualquier regla de la lista, realiza las siguientes acciones según corresponda:

    • Para ver la página Detalles de las reglas de firewall de cualquier regla, haz clic en el nombre de la regla.
    • Para ver el registro de la regla, haz clic en el vínculo Ver registros de auditoría
    • Para ver sugerencias sobre cómo limitar el rango, haz clic en el vínculo en la columna estadísticas. En la respuesta, se mostrará el panel Detalles de las estadísticas. En este panel, se describen los atributos principales de la regla. Sugiere direcciones IP o rangos de puertos más específicos que puedes usar.

Ve reglas deny con hits

Para obtener información sobre estas estadísticas, consulta Reglas de rechazo con hits en la descripción general de las Estadísticas de firewall.

Console

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. En la tarjeta llamada Denegar reglas con hits, haz clic en Ver lista completa. Como respuesta, la consola de Google Cloud muestra la página Reglas de denegación con hits, que enumera todas las reglas deny que tuvieron hits durante el período de observación.

  3. Para revisar los paquetes que descartó un firewall, haz clic en Recuento de hits.

Marca una estadística como descartada

Si alguna estadística no es significativa o si deseas ocultarla por algún otro motivo, puedes descartarla. Después de descartar una estadística, la consola de Google Cloud ya no la mostrará a ti ni a otros usuarios, a menos que la restablezcas.

Console

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. Busque la tarjeta correspondiente y haga clic en Ver lista completa.

  3. Selecciona las reglas que deseas descartar y haz clic en Descartar.

Restablece una estadística descartada

Si descartaste una estadística que luego crees que es relevante, tú o algún otro usuario pueden restablecerla y hacerla visible en la consola de Google Cloud.

Console

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. Haz clic en Descartar historial. En respuesta, la consola de Google Cloud muestra la página Estadísticas descartadas.

  3. Selecciona las estadísticas que deseas restablecer y, luego, haz clic en Restablecer.

Exporta estadísticas

Si es necesario, puedes exportar estadísticas en formato CSV o JSON.

Recomendamos exportar estadísticas por cualquiera de los siguientes motivos:

  • Debes importar los datos a otro sistema.
  • Desea acceder a los datos sin conexión.
  • Tienes la intención de inhabilitar las Estadísticas de firewall, pero deseas conservar el acceso a las estadísticas generadas con anterioridad.

Console

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. Haz clic en Guardar como.

  3. Sigue las indicaciones para elegir un formato de estadísticas y descargarlos.

Cómo usar el Centro de recomendaciones

El centro de recomendaciones es una característica del producto del recomendador que proporciona recomendaciones de uso para los productos y servicios de Google Cloud.

En la consola de Google Cloud para el centro de recomendaciones, se muestran las siguientes Estadísticas de firewall:

  • Reglas de firewall bloqueadas
  • Reglas demasiado permisivas, incluidas las siguientes:
    • Reglas Allow sin hits
    • Reglas de Allow con atributos sin usar
    • Reglas de Allow con rangos de puertos o direcciones IP demasiado permisivos

El centro de recomendaciones muestra estas recomendaciones junto con las recomendaciones para otros productos, como administración de identidades y accesos (IAM) y redimensionamiento de VM.

Para obtener información general sobre el Centro de recomendaciones, consulta Comienza a usar el Centro de recomendaciones.

Ve reglas de firewall bloqueadas

Para obtener información sobre estas estadísticas, consulta Reglas bloqueadas en la descripción general de Estadísticas de firewall.

Console

  1. En la consola de Google Cloud, ve al Centro de recomendaciones.

    Ir al Centro de recomendaciones

  2. En la tarjeta llamada Simplifica la configuración del firewall, haz clic en Ver todo. En el Centro de recomendaciones, se muestra una página que enumera las reglas bloqueadas. La columna Estadísticas de cada regla proporciona un resumen del motivo por el que se la identificó como una regla bloqueada.

  3. Para ver más detalles sobre la regla bloqueada y las reglas que la sustituyen, haz clic en la estadística.

Ve estadísticas de reglas demasiado permisivas

Para obtener información sobre estadísticas de reglas demasiado permisivas, consulta las siguientes secciones en la descripción general de Estadísticas de firewall:

Console

  1. En la consola de Google Cloud, ve al Centro de recomendaciones.

    Ir al Centro de recomendaciones

  2. En la tarjeta denominada Revisa las reglas de firewall demasiado permisivas, haz clic en Ver todas.

  3. Usa las pestañas de la parte superior de la página para alternar entre los tipos de estadísticas.

    Puedes hacer clic en las estadísticas de cualquier regla para comprender por qué se incluyó la regla en ella. Los detalles de la estadística muestran más información sobre el recuento de hits y los atributos de la regla.

Marca una estadística como descartada

Si alguna estadística no es significativa o si deseas ocultarla por algún otro motivo, puedes descartarla. Después de descartar una estadística, la consola de Google Cloud ya no la mostrará a ti ni a otros usuarios, a menos que la restablezcas.

Console

  1. En la consola de Google Cloud, ve al Centro de recomendaciones.

    Ir al Centro de recomendaciones

  2. Busca la tarjeta correspondiente y haz clic en Ver todas.

  3. Si deseas descartar una estadística sobre una regla demasiado permisiva, usa las pestañas de la parte superior de la página para navegar a la categoría de estadística adecuada.

  4. Selecciona las estadísticas que deseas descartar y haz clic en Descartar.

  5. En el diálogo de confirmación, haz clic en Sí, activar.

Restablece una estadística descartada

Si descartaste una estadística que luego consideras relevante, tú o un usuario pueden restablecerla y hacerla visible en la consola de Google Cloud mediante estos pasos:

Console

  1. En la consola de Google Cloud, ve al Centro de recomendaciones.

    Ir al Centro de recomendaciones

  2. Busca la tarjeta correspondiente y haz clic en Ver todas.

  3. Si deseas descartar una estadística sobre una regla demasiado permisiva, usa las pestañas de la parte superior de la página para navegar a la categoría de estadística adecuada.

  4. En la parte superior de la página, haz clic en Historial.

  5. Haz clic en la pestaña Descartar, que muestra las recomendaciones descartadas y las estadísticas del proyecto.

  6. Selecciona las estadísticas que deseas restablecer.

  7. Haz clic en Restore.

  8. En el cuadro de diálogo de confirmación, haz clic en Restablecer.

Usa la página de detalles del firewall

Si deseas obtener más información sobre esta página, consulta Enumera las reglas de firewall para una red de VPC.

Enumera las estadísticas de un proyecto

Console

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a Firewall

  2. Para cada regla de firewall, visualiza el nombre de las estadísticas disponibles en la columna Estadísticas.

  3. Puedes hacer clic en el nombre de una estadística para ver los detalles. Las siguientes secciones describen cómo ver e interpretar los detalles para cada tipo de estadística.

Ve reglas allow sin hits en los últimos 24 meses

Console

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a Firewall

  2. En la columna Último hit, revise la última vez que se usó una regla de firewall determinada en los últimos 24 meses.

Ve el gráfico del historial de uso de una regla

Console

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a Firewall

  2. Haz clic en el nombre de una regla de firewall.

  3. En la sección Supervisión de aciertos de la página, consulta el gráfico resultante que muestra el recuento de aciertos de firewall para un período determinado. Puedes seleccionar pestañas para diferentes períodos de tiempo sobre el gráfico.

Ve reglas deny con hits para un período de observación

Console

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a Firewall

  2. En la columna Recuento de aciertos, ve la cantidad de conexiones únicas usadas para una regla de firewall en los últimos 24 meses (predeterminado).

Usa la página de detalles de la interfaz de red de VM

Consulta el uso del firewall en la página Detalles de la interfaz de red de una VM.

A fin de obtener más información sobre esta página, consulta Enumera las reglas de firewall para una interfaz de red de una instancia de VM.

Ve reglas con hits en los últimos 24 meses

Console

  1. En la consola de Google Cloud, ve a la página Instancias de VM de Compute Engine.

    Ir a Instancias de VM de Compute Engine

  2. Elige una VM y, en el extremo derecho de la página, haz clic en el menú de más acciones .

  3. En el menú, selecciona Ver detalles de red.

  4. En la sección Detalles de firewall y rutas, haz clic en la pestaña Reglas de firewall.

  5. En la columna Recuento de aciertos, observa los recuentos de aciertos del tráfico de allow y deny de los últimos 24 meses para todas las reglas de firewall asociadas con una interfaz de red específica.

Trabaja con estadísticas mediante los comandos de gcloud o la API

Firewall Insights usa comandos de recomendador. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud.

Crea una lista de estadísticas

gcloud

A fin de enumerar estadísticas para un proyecto, ejecuta el siguiente comando:

gcloud beta recommender insights list \
    --project=PROJECT_ID \
    --location=global \
    --insight-type=google.compute.firewall.Insight \
    --filter=EXPRESSION \
    --limit=LIMIT \
    --page-size=PAGE_SIZE \
    --sort-by=SORT_BY \
    --format=json

Reemplaza PROJECT_ID por el ID del proyecto para el que deseas enumerar estadísticas.

La marca location siempre usa la ubicación llamada global. La marca insight-type siempre usa el tipo de estadística denominado google.compute.firewall.Insight. A menos que formatees la salida en JSON, el resultado del comando será tabular.

Los siguientes campos son opcionales:

  • EXPRESSION: Aplica este filtro booleano a cada recurso que quieras enumerar.

    Si la expresión se evalúa como True, ese elemento aparecerá en la lista. Para obtener más detalles y ejemplos de expresiones de filtro, ejecuta $ gcloud topic filters o consulta la documentación de gcloud topic filters.

  • LIMIT: Es la cantidad máxima de recursos que se van a enumerar, la cantidad predeterminada de recursos enumerados es ilimitada.

  • PAGE_SIZE: Es la cantidad máxima de recursos que se deben incluir en la lista por página.

    El servicio determina el tamaño de página predeterminado; de lo contrario, no habrá paginación. La paginación puede aplicarse antes o después de FILTER y LIMIT.

  • SORT_BY: Es una lista de nombres de clave de campo separados por comas en los que se ordenará un recurso

    El orden predeterminado es ascendente. Para especificar un orden descendente, prefija un campo con ~ (una tilde).

API

Para obtener todas las estadísticas de un proyecto de Google Cloud, realiza una solicitud GET al método projects.locations.insightTypes.insights.

GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights

En el siguiente ejemplo, se muestra una respuesta de muestra para este comando.

insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by   projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
  "shadowingFirewalls": [
    "//compute.googleapis.com/projects/{project_id}/global/firewalls/shadowing_firewall_name1}"
  ]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
 "state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
 "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
 ],
"insightSubtype": "SHADOWED_RULE"
}

Describe las estadísticas

gcloud

Para enumerar los detalles de una estadística sobre una regla de firewall en particular, ejecuta el siguiente comando:

gcloud beta recommender insights describe INSIGHT_ID \
    --project=PROJECT_NAME \
    --location=global \
    --insight-type=google.compute.firewall.Insight

Reemplaza lo siguiente por valores de tu red:

  • INSIGHT_ID: el nombre de la estadística que se quiere describir
  • PROJECT_NAME: el nombre del proyecto del que deseas generar una lista de estadísticas.

La marca location siempre usa la ubicación llamada global. La marca insight-type siempre usa el tipo de estadística denominado google.compute.firewall.Insight.

API

Para obtener detalles de una estadística, haga una solicitud GET al método projects.locations.insightTypes.insights:

GET
https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
 "name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID,
{

Reemplaza lo siguiente por valores de tu red:

  • PROJECT_ID: El ID del proyecto.
  • LOCATION: usa siempre la ubicación llamada global
  • INSIGHT_TYPE_ID: usa siempre un valor de google.compute.firewall.Insight
  • INSIGHT_ID: el ID de estadística para la estadística

¿Qué sigue?

  • Para revisar el uso del entorno de ejecución de firewall de VPC, limpiar y optimizar las configuraciones de tus reglas de firewall, y reforzar los límites de seguridad, consulta Casos de uso comunes.