Usa estadísticas de firewall

Esta página describe cómo ver estadísticas o métricas de uso de estadísticas de Firewall, que admite el acceso a esta información desde las siguientes consolas, páginas o herramientas:

  • La consola del Network Intelligence Center
  • El centro de recomendaciones
  • La página de detalles de las reglas de firewall para la nube privada virtual (VPC)
  • La página de detalles de la interfaz de red para una instancia de máquina virtual (VM) de Compute Engine
  • Los comandos del recomendador gcloud o la API

Para obtener una descripción general de Firewall Insights y sus estados, consulta la Descripción general de Firewall Insights.

Para obtener una lista de métricas de uso de firewall, consulta Visualiza métricas.

Antes de comenzar

Configure los siguientes elementos en Google Cloud antes de usar estadísticas de Firewall:

  1. En Google Cloud Console, ve a la página Selector de proyectos.

    Ir a la página Selector de proyectos

  2. Selecciona o crea un proyecto de Google Cloud.

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Cloud.

  4. Habilite la API de estadísticas de Firewall como se describe en la siguiente sección.

Habilita la detección de reglas bloqueadas

Para usar la detección de reglas bloqueadas, debes habilitar la API de Firewall Insights.

Cuando usas las estadísticas de firewall en Cloud Console, esta te recuerda habilitar la API si no detecta estadísticas.

El análisis de reglas bloqueadas ocurre una vez al día, por lo que es posible que debas esperar hasta 24 horas para ver los resultados.

Console

  1. En Google Cloud Console, ve a Firewall Insights.

    Ir a Firewall Insights

  2. Haz clic en Configuración.

  3. Haz clic en Habilitación.

  4. Haz clic en el selector para que diga Habilitado.

  5. Haga clic en Listo.

Habilita el registro de reglas de firewall

Si deseas ver estadísticas y métricas de uso de reglas de firewall, debes habilitar el registro de reglas de firewall para una o más reglas de firewall. Para obtener más información, consulta Descripción general del registro de las reglas de firewall.

Administra permisos

Si deseas obtener una lista de las funciones y los permisos necesarios para ver y administrar las estadísticas y los datos de uso, consulta Control de acceso.

Usa Network Intelligence Center

La página de inicio de Network Intelligence Center en Cloud Console para estadísticas de Firewall muestra tres tipos de tarjetas de estadísticas:

  • Reglas de firewall bloqueadas
  • Allow reglas de firewall sin hits en el período de observación especificado, que son las últimas seis semanas de forma predeterminada
  • Deny reglas de firewall con recuentos de hits en el período de observación especificado, que es la configuración predeterminada de las últimas 24 horas

Cada tarjeta incluye un ejemplo de instantánea de resumen. La barra de búsqueda de filtro sobre las tarjetas te permite filtrar las estadísticas de una red de VPC específica.

Las siguientes secciones describen cómo ver estas estadísticas.

Visualiza reglas de firewall bloqueadas

Para obtener más información sobre las reglas de firewall bloqueadas, consulta la Descripción general de las estadísticas de firewall.

Console

  1. En Cloud Console, ve a la página Firewall Insights:

    Ir a la página de estadísticas de firewall

  2. En la tarjeta denominada Reglas bloqueadas, haz clic en Ver lista completa.

  3. Se abre la página Detalles que incluye todas las reglas bloqueadas.

  4. En la columna estadísticas para cada regla, haga clic en cada regla bloqueada para ver los detalles de la estadística. Este detalle muestra la regla bloqueada y una o más reglas de bloqueo, para que pueda entender por qué la regla bloqueada es redundante. Para obtener más información, consulte el ejemplo de la regla bloqueada en la descripción general de estadísticas de Firewall. Para calificar estadísticas, consulte las siguientes secciones.

Marca una idea como descartada

Console

  1. En Cloud Console, ve a la página Firewall Insights:

    Ir a la página de estadísticas de firewall

  2. En la tarjeta denominada Reglas bloqueadas, haz clic en Ver lista completa.

  3. Se abre la página Detalles que incluye todas las reglas bloqueadas.

  4. Si una regla bloqueada no es significativa, puedes descartarla haciendo clic en Descartar en la parte superior de la página.

  5. Después de descartar una estadística, Cloud Console ya no te muestra la estadística a ti ni a ningún usuario, a menos que la restablezcas. Para restaurar una estadística, consulte la siguiente sección.

Restablece una estadística descartada

Si descartaste una estadística que consideras que es relevante, tú o un usuario pueden restablecerla y mostrarla en Cloud Console mediante estos pasos.

Console

  1. En Cloud Console, ve a la página Firewall Insights:

    Ir a la página de estadísticas de firewall

  2. En la tarjeta denominada Reglas bloqueadas, haz clic en Ver lista completa.

  3. Se abre la página Detalles que incluye todas las reglas bloqueadas.

  4. Para restablecer las estadísticas descartadas, haz clic en Descartar historial en la parte superior de la página. Esta acción te lleva a la página Estadísticas descartadas.

  5. En la página Estadísticas descartadas, para restablecer una estadística, selecciona la casilla de verificación de una o más estadísticas y, luego, haz clic en Restaurar en la parte superior de la página.

Visualización de reglas allow sin hits en el período de observación

Si deseas obtener información para recopilar datos con precisión para todo el período de observación, consulta la descripción general de Firewall Insights.

Console

  1. En Cloud Console, ve a la página Firewall Insights:

    Ir a la página de estadísticas de firewall

  2. En la tarjeta llamada Permitir reglas sin hit, haga clic en Ver lista completa.

  3. Se abre una página de detalles que incluye todas las reglas allow que no se usaron en las últimas seis semanas.

  4. Para cada regla de firewall, a la derecha de la columna Registros, haga clic en Ver registros de auditoría para ver cuándo se habilitó o deshabilitó el registro del firewall para cada regla de firewall.

  5. Para ver los detalles de configuración y uso, haz clic en el nombre de una regla de firewall.

Visualiza deny reglas con hits en el período de observación

Si deseas obtener información para recopilar datos con precisión para todo el período de observación, consulta la descripción general de Firewall Insights.

Console

  1. En Cloud Console, ve a la página Firewall Insights:

    Ir a la página de estadísticas de firewall

  2. En la tarjeta llamada Denegar reglas con hits, haz clic en Ver lista completa.

  3. Se abrirá una página de detalles que incluye todas las reglas deny de firewall con hits en el período de observación especificado, que son las últimas 24 horas de forma predeterminada.

  4. Para revisar los paquetes descartados por un firewall, haga clic en Recuento de hit para ir a la página de Cloud Logging para obtener detalles.

Cómo usar el Centro de recomendaciones

El centro de recomendaciones es una característica del producto del recomendador que proporciona recomendaciones de uso para los productos y servicios de Google Cloud. Para obtener más información, consulta la documentación del centro de recomendaciones.

Cloud Console para el centro de recomendaciones muestra las siguientes estadísticas sobre las reglas de firewall:

  • Reglas de firewall bloqueadas

El centro de recomendaciones muestra estas recomendaciones junto con las recomendaciones para otros productos, como administración de identidades y accesos (IAM) y redimensionamiento de VM.

Visualiza reglas de firewall bloqueadas

Para obtener más información sobre las reglas de firewall bloqueadas, consulta la Descripción general de las estadísticas de firewall.

Console

  1. En Cloud Console, ve al Centro de recomendaciones.

    Ir al Centro de recomendaciones.

  2. En la tarjeta llamada Simplifica la configuración del firewall, haz clic en Ver todo.

  3. Aparecerá una página con una lista de todas las reglas bloqueadas.

  4. Puede hacer clic en la estadística para ver por qué se generó. El detalle de estadísticas muestra el firewall bloqueado y una o más reglas de firewall bloqueadas para que pueda comprender por qué la regla bloqueada es redundante. Para obtener más información, consulte el ejemplo de la regla bloqueada en la descripción general de estadísticas de Firewall.

Marca una idea como descartada

Console

  1. En Cloud Console, ve al Centro de recomendaciones.

    Ir al Centro de recomendaciones.

    1. En la tarjeta llamada Simplifica la configuración del firewall, haz clic en Ver todo.
    2. Se abre la página Detalles que incluye todas las reglas bloqueadas.
    3. Si una estadística de reglas bloqueadas no es significativa, puedes descartarla: haz clic en la estadística y, luego, en Descartar estadística en el panel.
    4. Después de descartar las estadísticas, Cloud Console ya no las muestra ni a ti ni a ningún usuario, a menos que las restablezcas. Para restaurar una estadística, consulte la siguiente sección.

Restablece una estadística descartada

Si descartaste una estadística que luego consideras relevante, tú o un usuario pueden restablecerla y hacerla visible en Cloud Console mediante estos pasos:

Console

  1. En Cloud Console, ve al Centro de recomendaciones.

    Ir al Centro de recomendaciones.

  2. En la parte superior de la página, haz clic en Historial.

  3. Haz clic en la pestaña Descartar, que muestra las recomendaciones descartadas y las estadísticas del proyecto.

  4. Selecciona la opción junto a las estadísticas que deseas restablecer.

  5. Haz clic en Restore.

Usa de la página de detalles de las reglas de firewall

Si deseas obtener más información sobre esta página, consulta Enumera las reglas de firewall para una red de VPC.

Enumera estadísticas para un proyecto

Console

  1. En Cloud Console, ve a la página Reglas de firewall.

    Ir a la página Reglas de firewall

  2. Para cada regla de firewall, visualiza el nombre de las estadísticas disponibles en la columna Estadísticas.

  3. Puedes hacer clic en el nombre de una estadística para ver los detalles. Las siguientes secciones describen cómo ver e interpretar los detalles para cada tipo de estadística.

Visualiza allow reglas sin hits en los últimos 24 meses

Console

  1. En Cloud Console, ve a la página Reglas de firewall.

    Ir a la página Reglas de firewall

  2. En la columna Último hit, revise la última vez que se usó una regla de firewall determinada en los últimos 24 meses.

Visualiza el gráfico del historial de uso de una regla

Console

  1. En Cloud Console, ve a la página Reglas de firewall.

    Ir a la página Reglas de firewall

  2. Haz clic en el nombre de una regla de firewall.

  3. En la sección Supervisión de aciertos de la página, consulta el gráfico resultante que muestra el recuento de aciertos de firewall para un período determinado. Puedes seleccionar pestañas para diferentes períodos de tiempo sobre el gráfico.

Visualiza deny reglas con hits para un período de observación

Console

  1. En Cloud Console, ve a la página Reglas de firewall.

    Ir a la página Reglas de firewall

  2. En la columna Recuento de aciertos, ve la cantidad de conexiones únicas usadas para una regla de firewall en los últimos 24 meses (predeterminado).

Usa la página de detalles de la interfaz de red de VM

Consulta el uso del firewall en la página Detalles de la interfaz de red de una VM.

A fin de obtener más información sobre esta página, consulta Enumera las reglas de firewall para una interfaz de red de una instancia de VM.

Visualiza reglas con hits en los últimos 24 meses

Console

  1. En Cloud Console, ve a la página Instancias de VM de Compute Engine

    Ve a la página de instancias de VM de Compute Engine.

  2. Elige una VM y, en el extremo derecho de la página, haz clic en el menú de más acciones .

  3. En el menú, selecciona Ver detalles de red.

  4. En la sección Detalles de firewall y rutas, haz clic en la pestaña Reglas de firewall.

  5. En la columna Recuento de aciertos, observa los recuentos de aciertos del tráfico de allow y deny de los últimos 24 meses para todas las reglas de firewall asociadas con una interfaz de red específica.

Trabajar con estadística mediante los comandos de gcloud o la API

Firewall Insights usa comandos de recomendador. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud.

Enumera estadísticas

gcloud

  • Para enumerar estadísticas para un proyecto, ingrese el siguiente comando:

    gcloud beta recommender insights list --project=PROJECT_ID \
    --location=global --insight-type=google.compute.firewall.Insight \
    --filter=EXPRESSION --limit=LIMIT \
    --page-size=PAGE_SIZE --sort-by=SORT_BY \
    --format=json
    

    Reemplaza PROJECT_ID por el ID del proyecto para el que deseas enumerar estadísticas.

    location siempre usa la ubicación denominada global. insight-type siempre usa el tipo de estadística denominado google.compute.firewall.Insight. A menos que formatees la salida en JSON, el resultado del comando será tabular.

    Los siguientes campos son opcionales:

    • EXPRESSION. Aplica este filtro booleano a cada recurso que quieras enumerar. Si la expresión se evalúa como True, ese elemento aparecerá en la lista. Para obtener más detalles y ejemplos de expresiones de filtros, ejecuta $ gcloud topic filters o consulta la documentación de temas de gcloud.
    • LIMIT. Se usa para especificar la cantidad máxima de recursos que se van a enumerar. La cantidad predeterminada de recursos enumerados es ilimitada.
    • PAGE_SIZE. Se usa para especificar el número máximo de recursos que se deben incluir en la lista por página. El servicio determina el tamaño de página predeterminado; de lo contrario, no habrá paginación. La paginación puede aplicarse antes o después de FILTER y LIMIT.
    • SORT_BY. Se usa a fin de especificar una lista de nombres de claves de campo separados por comas para ordenar según un recurso. El orden predeterminado es ascendente. Para especificar un orden descendente, prefija un campo con ~ (una tilde).

API

Para obtener todas las estadísticas de un proyecto de Google Cloud, realiza una solicitud GET al método projects.locations.insightTypes.insights.

GET https://recommender.googleapis.com/v1/{parent=projects/*/locations/global/insightTypes/*}/insights

En el siguiente ejemplo, se muestra una respuesta de muestra para este comando.

insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by   projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
  "shadowingFirewalls": [
    "//compute.googleapis.com/projects/{project_id}/global/firewalls/shadowing_firewall_name1}"
  ]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
 "state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
 "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
 ],
"insightSubtype": "SHADOWED_RULE"
}

Describa estadísticas

Use este comando para enumerar los detalles de una estadística.

gcloud

gcloud beta recommender insights describe INSIGHT_NAME \
  --project=PROJECT_NAME --location=global \
  --insight-type=google.compute.firewall.Insight

Reemplace lo siguiente por valores de tu red:

  • INSIGHT_NAME: el nombre de la estadística que se quiere describir
  • PROJECT_NAME: es el nombre del proyecto del que deseas generar una lista de estadísticas.

location siempre usa la ubicación denominada global. insight-type siempre usa el tipo de estadística denominado google.compute.firewall.Insight.

API

Para obtener detalles de una estadística, haga una solicitud GET al método projects.locations.insightTypes.insights.

GET
https://recommender.googleapis.com/v1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
 "name": projects/PROJECT_ID/locations/LOCATION/insightTypes/INSIGHT_TYPE_ID/insights/INSIGHT_ID,
{

Reemplace lo siguiente por valores de tu red:

  • PROJECT_ID: El ID del proyecto.
  • LOCATION: usa siempre la ubicación llamada global
  • INSIGHT_TYPE_ID: usa siempre un valor de google.compute.firewall.Insight.
  • INSIGHT_ID: el ID de estadística para la estadística

¿Qué sigue?

  • Para revisar el uso del entorno de ejecución de firewall de VPC, limpiar y optimizar las configuraciones de tus reglas de firewall, y optimizar los límites de seguridad, consulta Trabaja con casos de uso comunes.