Usa estadísticas de firewall

Esta página describe cómo ver estadísticas o métricas de uso de estadísticas de Firewall, que admite el acceso a esta información desde las siguientes consolas, páginas o herramientas:

  • La consola del Network Intelligence Center
  • Centro de recomendaciones
  • La página de detalles de las reglas de firewall para la nube privada virtual (VPC)
  • La página de detalles de la interfaz de red para una instancia de máquina virtual (VM) de Compute Engine
  • Los comandos gcloud del recomendador o la API

Para obtener una descripción general de Firewall Insights y sus estados, consulta la Descripción general de Firewall Insights.

Para obtener una lista de las métricas de uso del firewall, consulta Visualiza métricas.

Antes de comenzar

Configure los siguientes elementos en Google Cloud antes de usar estadísticas de Firewall:

  1. En Google Cloud Console, ve a la página Selector de proyectos.

    Ir a la página Selector de proyectos

  2. Selecciona o crea un proyecto de Google Cloud.

  3. Asegúrate de que la facturación esté habilitada para tu proyecto de Cloud.

  4. Habilite la API de estadísticas de Firewall como se describe en la siguiente sección.

Habilita la API de Firewall Insights

Para usar estadísticas de firewall, debes habilitar la API de Firewall Insights.

Cuando usas Firewall Insights en Cloud Console, Cloud Console te recuerda que habilitas la API si no detecta estadísticas. Como alternativa, puedes habilitar la API desde la biblioteca de API mediante los siguientes pasos.

Console

  1. En Google Cloud Console, ve a la Biblioteca de API.

    Ir a la biblioteca de la API

  2. En la barra Buscar, ingresa Firewall Insights y, luego, haz clic en el nombre de la API.

  3. En la página de la API de Firewall Insights, haz clic en Habilitar.

Para obtener más información sobre la API, consulta Estadísticas en la documentación del Recomendador.

Habilita el registro de reglas de firewall

Para ver las estadísticas y las métricas de uso de las reglas de firewall, debes habilitar el registro de las reglas de firewall en una o más reglas de firewall. Para obtener más información, consulta la Descripción general del registro de las reglas de firewall.

Administra permisos

Para obtener una lista de las funciones y los permisos necesarios para ver y administrar las estadísticas y los datos de uso, consulta Control de acceso.

Usa Network Intelligence Center

La página de inicio de Network Intelligence Center en Cloud Console para estadísticas de Firewall muestra tres tipos de tarjetas de estadísticas:

  • Reglas de firewall bloqueadas
  • Reglas de firewall de Allow sin hits en las últimas seis semanas
  • Deny reglas de firewall con recuentos de hits en las últimas 24 horas

Cada tarjeta incluye un ejemplo de instantánea de resumen. Una barra de búsqueda de filtro sobre las tarjetas te permite filtrar las estadísticas de una red de VPC específica.

Las siguientes secciones describen cómo ver estas estadísticas.

Visualiza reglas de firewall bloqueadas

Para obtener más información sobre las reglas de firewall dadas, consulta la descripción general de Firewall Insights.

Console

  1. En Cloud Console, ve a la página Firewall Insights.

    Ir a la página de estadísticas de firewall

  2. En la tarjeta denominada Reglas bloqueadas, haz clic en Ver lista completa.

  3. Se abre la página Detalles que incluye todas las reglas bloqueadas.

  4. En la columna estadísticas para cada regla, haga clic en cada regla bloqueada para ver los detalles de la estadística. Este detalle muestra la regla bloqueada y una o más reglas de bloqueo, para que pueda entender por qué la regla bloqueada es redundante. Para obtener más información, consulte el ejemplo de la regla bloqueada en la descripción general de estadísticas de Firewall. Para calificar estadísticas, consulte las siguientes secciones.

Califica una estadística como DISMISSED

Console

  1. En Cloud Console, ve a la página Firewall Insights.

    Ir a la página de estadísticas de firewall

  2. En la tarjeta denominada Reglas bloqueadas, haz clic en Ver lista completa.

  3. Se abre la página Detalles que incluye todas las reglas bloqueadas.

  4. Si una regla bloqueada no es significativa, puedes descartarla haciendo clic en Descartar en la parte superior de la página.

  5. Después de descartar una estadística, Cloud Console ya no la muestra a ti ni a ningún usuario, a menos que la restablezcas. Para restaurar una estadística, consulte la siguiente sección.

Restablece una estadística descartada

Si descartaste una estadística que luego consideras relevante, tú o un usuario pueden restablecerla y hacerla visible en Cloud Console.

Console

  1. En Cloud Console, ve a la página Firewall Insights.

    Ir a la página de estadísticas de firewall

  2. En la tarjeta denominada Reglas bloqueadas, haz clic en Ver lista completa.

  3. Se abre la página Detalles que incluye todas las reglas bloqueadas.

  4. Para restablecer las estadísticas descartadas, haz clic en Descartar historial en la parte superior de la página. Esta acción te lleva a la página Estadísticas descartadas.

  5. En la página Estadísticas descartadas, para restablecer una estadística, selecciona la casilla de verificación de una o más estadísticas y, luego, haz clic en Restaurar en la parte superior de la página.

Visualiza las reglas allow sin éxito en las últimas seis semanas

Para obtener información sobre cómo recopilar datos de forma precisa durante las últimas seis semanas, consulta la descripción general de Firewall Insights.

Console

  1. En Cloud Console, ve a la página Firewall Insights.

    Ir a la página de estadísticas de firewall

  2. En la tarjeta llamada Permitir reglas sin hit, haga clic en Ver lista completa.

  3. Se abre una página de detalles que incluye todas las reglas allow que no se usaron en las últimas seis semanas.

  4. Para cada regla de firewall, a la derecha de la columna Registros, haga clic en Ver registros de auditoría para ver cuándo se habilitó o deshabilitó el registro del firewall para cada regla de firewall.

  5. Para ver los detalles de configuración y uso, haz clic en el nombre de una regla de firewall.

Visualiza reglas deny con hits en las últimas 24 horas

Para obtener información sobre cómo recopilar datos de forma precisa en las últimas 24 horas, consulta la descripción general de Firewall Insights.

Console

  1. En Cloud Console, ve a la página Firewall Insights.

    Ir a la página de estadísticas de firewall

  2. En la tarjeta llamada Denegar reglas con hits, haz clic en Ver lista completa.

  3. Se abrirá una página de detalles que incluye todas las reglas deny de firewall con hits en las últimas 24 horas.

  4. Para revisar los paquetes descartados por un firewall, haga clic en Recuento de hit para ir a la página de Cloud Logging para obtener detalles.

Usa el centro de recomendaciones

El Centro de recomendaciones es una característica del producto de recomendador que proporciona recomendaciones de uso para los productos y servicios de Google Cloud. Para obtener más información, consulta la documentación del Centro de recomendaciones.

Cloud Console para el Centro de recomendaciones muestra las siguientes estadísticas sobre las reglas de firewall:

  • Reglas de firewall bloqueadas
  • Reglas de firewall no utilizadas en las últimas seis semanas

El Centro de recomendaciones muestra estas recomendaciones junto con recomendaciones para otros productos, como Cloud Identity and Access Management (Cloud IAM) y el redimensionamiento de VM.

Visualiza reglas de firewall bloqueadas

Para obtener información sobre las reglas de firewall duplicadas, consulta la descripción general de Firewall Insights.

Console

  1. En Cloud Console, ve al Centro de recomendaciones.

    Ve al Centro de recomendaciones.

  2. En la tarjeta denominada Problemas de configuración de las reglas de firewall, haz clic en Ver todos.

  3. Aparecerá una página con una lista de todas las reglas bloqueadas.

  4. Puede hacer clic en la estadística para ver por qué se generó. El detalle de estadísticas muestra el firewall bloqueado y una o más reglas de firewall bloqueadas para que pueda comprender por qué la regla bloqueada es redundante. Para obtener más información, consulte el ejemplo de la regla bloqueada en la descripción general de estadísticas de Firewall.

Visualiza las reglas allow sin éxito en las últimas seis semanas

Console

  1. En Cloud Console, ve al Centro de recomendaciones.

    Ir al Centro de recomendaciones

  2. En la tarjeta denominada Reglas de firewall demasiado permisivas, haz clic en Ver todas.

  3. Se abre una página de detalles que incluye todas las reglas allow que no se usaron en las últimas seis semanas.

  4. Para cada regla de firewall, a la derecha de la columna Registros, puedes hacer clic en Ver registros de auditoría. Esto te permite ver cuándo se habilitó o inhabilitó el registro de firewall para cada regla de firewall.

  5. Haz clic en el Nombre de una regla de firewall.

  6. Se abrirá una página de detalles para la regla de firewall en la que puedes inspeccionar la configuración del firewall y los detalles de uso. Para calificar estadísticas, consulte las siguientes secciones.

Califica una estadística como DISMISSED

Console

  1. En Cloud Console, ve al Centro de recomendaciones.

    Ir al Centro de recomendaciones

  2. En la tarjeta denominada Reglas bloqueadas, haz clic en Ver lista completa.

  3. Se abre la página Detalles que incluye todas las reglas bloqueadas.

  4. Si una o más reglas no son significativas, puedes descartarlas seleccionando la casilla de verificación a la izquierda de una regla. Cuando haya seleccionado todas las normas que desea descartar, haga clic en Descartar en el centro de la página.

  5. Después de descartar las estadísticas, Cloud Console ya no las muestra ni a ti ni a ningún usuario, a menos que las restablezcas. Para restaurar una estadística, consulte la siguiente sección.

Restablece una estadística descartada

Si descartaste una estadística que luego consideras relevante, tú o un usuario pueden restablecerla y hacerla visible en Cloud Console mediante estos pasos:

Console

  1. En Cloud Console, ve al Centro de recomendaciones.

    Ir al Centro de recomendaciones

  2. En la tarjeta denominada Reglas bloqueadas, haz clic en Ver lista completa.

  3. Se abre la página Detalles que incluye todas las reglas bloqueadas.

  4. Para restablecer las estadísticas descartadas, haz clic en historial en la parte superior de la página. Esta acción te lleva a la página Estadísticas descartadas.

  5. En la página Estadísticas descartadas, para restablecer una estadística, selecciona la casilla de verificación de una o más estadísticas y, luego, haz clic en Restaurar en la parte superior de la página.

Usa la página de detalles de reglas de firewall

Para obtener más información sobre esta página, consulta Enumera las reglas de firewall para una red de VPC.

Enumera estadísticas para un proyecto

Console

  1. En Cloud Console, ve a la página Reglas de firewall.

    Ir a la página Reglas de firewall

  2. Para cada regla de firewall, consulta el nombre de las estadísticas disponibles en la columna Estadísticas.

  3. Puedes hacer clic en el nombre de una estadística para ver sus detalles. Las siguientes secciones describen cómo ver e interpretar los detalles para cada tipo de estadística.

Visualiza las reglas allow sin éxito en las últimas seis semanas

Console

  1. En Cloud Console, ve a la página Reglas de firewall.

    Ir a la página Reglas de firewall

  2. En la columna Último hit, revise la última vez que se usó una regla de firewall determinada en las últimas seis semanas.

Visualiza el gráfico del historial de uso de una regla

Console

  1. En Cloud Console, ve a la página Reglas de firewall.

    Ir a la página Reglas de firewall

  2. Selecciona la casilla de verificación del nombre de un firewall.

  3. Ver el gráfico resultante que muestra el recuento de hit de firewall para un período de tiempo determinado. Puedes seleccionar pestañas para diferentes períodos sobre el gráfico.

Visualiza reglas deny con hits en las últimas 24 horas

Console

  1. En Cloud Console, ve a la página Reglas de firewall.

    Ir a la página Reglas de firewall

  2. En la columna Recuento de hits, observa la cantidad de conexiones únicas usadas en una regla de firewall determinada en las últimas 24 horas (predeterminado).

Usa la página de detalles de la interfaz de red de VM

Consulta el uso del firewall en la página Detalles de la interfaz de red de una VM.

Si deseas obtener más información sobre esta página, consulta Enumera las reglas de firewall para una interfaz de red de una instancia de VM.

Visualiza reglas con hits en las últimas 24 horas

Console

  1. En Cloud Console, ve a la página Instancias de VM de Compute Engine

    Ve a la página de instancias de VM de Compute Engine.

  2. Elige una VM y, en el extremo derecho de la página, haz clic en el menú más acciones .

  3. En el menú, selecciona Ver detalles de red.

  4. En la página Detalles de la interfaz de red, observa los recuentos de hit del tráfico de allow y deny en las últimas 24 horas para todas las reglas de firewall asociadas con una interfaz de red específica.

Trabajar con estadística mediante los comandos de gcloud o la API

Firewall Insights usa comandos de Recomendador. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud.

Enumera estadísticas

gcloud

  • Para enumerar estadísticas para un proyecto, ingrese el siguiente comando:

    gcloud beta recommender insights list --project=project-id \
    --location=global --insight-type=google.compute.firewall.Insight \
    --filter=expression --limit=limit \
    --page-size=page-size --sort-by=sort-by \
    --format=json
    

    Reemplaza project-id por el ID del proyecto para el que deseas enumerar estadísticas.

    location siempre usa la ubicación llamada global. insight-type siempre usa el tipo de estadística llamado google.compute.firewall.Insight. A menos que formatee la salida en JSON, el resultado del comando será tabular.

    Los siguientes campos son opcionales:

    • expression. Aplica este filtro booleano a cada recurso que quieras enumerar. Si la expresión se evalúa como True, ese elemento aparece en la lista. Para obtener más detalles y ejemplos de expresiones de filtro, ejecuta $ gcloud topic filters o consulta la documentación del tema de gcloud.
    • limit Se usa para especificar la cantidad máxima de recursos que se deben enumerar. La cantidad de recursos predeterminada es ilimitada.
    • page-size. Se usa para especificar el número máximo de recursos que se deben enumerar por página. El servicio determina el tamaño de página predeterminado; de lo contrario, no habrá paginación. La paginación puede aplicarse antes o después de filter y limit.
    • sort-by. Se usa a fin de especificar una lista de nombres de clave de campo separados por comas que se debe ordenar para recurso. El orden predeterminado es ascendente. Para especificar un orden descendente, prefija un campo con ~ (una tilde).

API

Para obtener todas las estadísticas de un proyecto de Google Cloud, realiza una solicitud GET al método projects.locations.insightTypes.insights.

GET https://recommender.googleapis.com/beta/{parent=projects/*/locations/global/insightTypes/*}/insights

En el siguiente ejemplo, se muestra una respuesta de ejemplo para este comando.

insights {
"name": "projects/{project_number}/locations/global/insightTypes/google.compute.firewall.Insight/insights/{insight-id}"
"description": "Firewall projects/{project_id}/global/firewalls/{shadowed_firewall_name} is shadowed by   projects/{project_id}/global/firewalls/{shadowing_firewall_name}."
"content": {
  "shadowingFirewalls": [
    "//compute.googleapis.com/projects/{project_id}/global/firewalls/shadowing_firewall_name1}"
  ]
},
"lastRefreshTime": "2020-04-01T19:16:43Z",
"observationPeriod": "0s",
"stateInfo" {
 "state": "ACTIVE"
}
"category": "SECURITY"
"targetResources":[
 "//compute.googleapis.com/projects/{project_id}/global/firewalls/{shadowed_firewall_name}"
 ],
"insightSubtype": "SHADOWED_RULE"
}

Describa estadísticas

Use este comando para enumerar los detalles de una estadística.

gcloud

gcloud beta recommender insights describe insight-name \
  --project=project-name --location=global \
  --insight-type=google.compute.firewall.Insight

Reemplace lo siguiente por valores de tu red:

  • insight-name: el nombre de la estadística que se quiere describir
  • project-name: el nombre del proyecto para el que deseas enumerar estadísticas

location siempre usa la ubicación llamada global. insight-type siempre usa el tipo de estadística llamado google.compute.firewall.Insight.

API

Para obtener detalles de una estadística, haga una solicitud GET al método projects.locations.insightTypes.insights.

GET
https://recommender.googleapis.com/v1beta1/{name=projects/*/locations/global/insightTypes/*/insights/*}
{
 "name": projects/project-id/locations/location/insightTypes/insight-type-id/insights/insight-id,
{

Reemplace lo siguiente por valores de tu red:

  • project-id: El ID del proyecto.
  • location: Usa siempre la ubicación llamada global.
  • insight-type-id: usar siempre un valor de google.compute.firewall.Insight
  • insight-id: el ID de estadística para la estadística

Qué sigue

  • Para revisar el uso del entorno de ejecución de firewall de VPC, limpiar y optimizar las opciones de configuración de tus reglas de firewall, y ajustar los límites de seguridad, consulta Cómo trabajar con casos prácticos comunes.