查看并了解防火墙数据分析

防火墙数据分析可帮助您了解防火墙规则的使用模式。您可以使用这些数据分析来支持有关移除或修改防火墙规则的决策,以简化和保护您的防火墙配置。

您可以在 Google Cloud 控制台的防火墙数据分析页面和 Google Cloud 控制台中其他几个位置查看以下数据分析:

  • 被覆盖的防火墙规则:可帮助您识别与现有规则重叠的防火墙规则。
  • 过于宽松的规则:可帮助您识别没有命中、具有未使用的属性或过于宽松的 IP 地址或端口范围的 allow 规则。
  • 拒绝规则:提供有关已配置的观察期内具有命中的 deny 规则的详细信息。

根据启用防火墙规则日志记录期间收集的数据,生成过于宽松的规则和拒绝规则的数据分析。

在 Google Cloud 控制台中的“防火墙数据分析”页面上,显示数据分析的每张卡片都列出了项目中满足数据分析条件的所有规则。

如果您想将结果限制为一个 VPC 网络,请使用页面顶部的过滤栏选择网络。

如需了解详情,请参阅您可以查看指标和数据分析的位置

以下部分介绍了如何查看每项数据分析。

所需的角色和权限

如需获得查看数据分析所需的权限,请让您的管理员向您授予项目的以下 IAM 角色:

如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限

此预定义角色包含查看数据分析所需的 recommender.computeFirewallInsights.list 权限。

您也可以使用自定义角色或其他预定义角色来获取此权限。

查看被覆盖的防火墙规则

如需了解此数据分析,请参阅被覆盖的规则

控制台

  1. 在 Google Cloud 控制台中,进入防火墙数据分析页面。

    转到“防火墙数据分析”

  2. 在名为被覆盖的规则的卡片上,点击查看完整列表。Google Cloud 控制台会显示被覆盖的规则页面,其中列出了所有 VPC 网络。

    对于项目中的每个 VPC 网络,您可以查看分层防火墙政策、全局网络防火墙政策和 VPC 防火墙规则的数据分析,以及规则的优先级。每条规则的数据分析列都说明了该规则被识别为被覆盖的规则的原因。

  3. 可选:使用过滤功能,根据规则名称、优先级和政策名称缩小列表中的结果范围。

  4. 如需详细了解被覆盖的规则和覆盖该规则的规则,请点击数据分析。

gcloud 和 API

防火墙数据分析使用 Recommender 命令。Recommender 是一项 Google Cloud 服务,可提供有关 Google Cloud 产品和服务的使用建议。

查看没有命中的 allow 规则

如需了解此数据分析,请参阅没有命中的允许规则

控制台

  1. 在 Google Cloud 控制台中,进入防火墙数据分析页面。

    转到“防火墙数据分析”

  2. 在名为无命中的允许规则的卡片上,点击查看完整列表。 Google Cloud 控制台会显示无命中的允许规则页面。本页面列出了在观察期间具有未命中规则的所有 VPC 网络。

    每条规则的数据分析列都会显示防火墙规则在观察期间是否没有命中。未来命中预测列根据同一组织中的防火墙规则显示未来用量的预测。

  3. 可选:使用过滤功能,根据规则名称、优先级和政策名称缩小列表中的结果范围。

  4. 对于列表中的任意规则,请根据需要执行以下任一操作:

    • 如需查看该规则的防火墙规则详情页面,请点击规则的名称。
    • 如需查看规则的日志记录,请点击查看审核日志
    • 如需查看有关预测的详细信息,请点击数据分析列中的链接。系统随即会显示数据分析详情窗格。 此窗格介绍了规则的主要属性。它还介绍了项目中具有类似属性的其他规则。

gcloud 和 API

防火墙数据分析使用 Recommender 命令。Recommender 是一项 Google Cloud 服务,可提供有关 Google Cloud 产品和服务的使用建议。

查看根据自适应分析判断为过时的 allow 规则

您可以查看根据使用模式和自适应分析判断为很可能已失效的 allow 规则。

如需了解此数据分析,请参阅根据自适应分析判断为过时的允许规则

控制台

  1. 在 Google Cloud 控制台中,进入防火墙数据分析页面。

    转到“防火墙数据分析”

  2. 在名为 Allow rules with no hits (adaptive analysis)(无命中的允许规则[自适应分析])的卡片上,点击查看完整列表。这会打开 Allow rules with no hits (adaptive analysis)(无命中的允许规则[自适应分析])页面。该页面列出了具有可能不再使用的规则的所有 VPC 网络。

    每条规则的数据分析列根据防火墙规则命中数量历史记录的自适应分析,显示防火墙规则是否不再有效。

  3. 可选:使用过滤功能,根据规则名称、优先级和政策名称缩小列表中的结果范围。

  4. 对于列表中的任意规则,请根据需要执行以下任一操作:

    • 如需查看该规则的防火墙规则详情页面,请点击规则的名称。
    • 如需查看规则的日志记录,请点击查看审核日志
    • 如需查看有关预测的详细信息,请点击数据分析列中的链接。

    数据分析详情页面介绍了规则的主要属性。在自适应分析部分中,您可以查看规则的上次命中日期,以及该规则失效之前的平均每日命中数。

  5. 如需关闭数据分析详情页面,请点击取消

gcloud 和 API

防火墙数据分析使用 Recommender 命令。Recommender 是一项 Google Cloud 服务,可提供有关 Google Cloud 产品和服务的使用建议。

查看具有未使用属性的 allow 规则

如需了解此数据分析,请参阅具有未使用特性的允许规则

控制台

  1. 在 Google Cloud 控制台中,进入防火墙数据分析页面。

    转到“防火墙数据分析”

  2. 在名为具有未使用属性的允许规则 (Allow rules with unused attributes) 的卡片上,点击查看完整列表。在响应中,Google Cloud 控制台会显示具有未使用属性的允许规则页面。本页面列出了在观察期间具有未使用属性的规则的所有 VPC 网络。

    每条规则的数据分析列显示了观察期间未使用的属性数量。

  3. 可选:使用过滤功能,根据规则名称、优先级和政策名称缩小列表中的结果范围。

  4. 对于列表中的任何 VPC 网络,请根据需要执行以下任一操作:

    • 如需查看该规则的防火墙规则详情页面,请点击规则的名称。
    • 如需查看规则的日志记录,请点击查看审核日志
    • 如需查看有关预测的详细信息,请点击预测链接。系统随即会显示数据分析详情窗格。此窗格介绍了规则的主要属性。它还介绍了项目中具有类似属性的其他规则。

gcloud 和 API

防火墙数据分析使用 Recommender 命令。Recommender 是一项 Google Cloud 服务,可提供有关 Google Cloud 产品和服务的使用建议。

查看具有过于宽松的 IP 地址或端口范围的 allow 规则

如需了解此数据分析,请参阅具有过于宽松的 IP 地址或端口范围的允许规则

请注意,您的项目可能具有防火墙规则,允许从某些 IP 地址块进行访问以进行负载均衡器健康检查或其他Google Cloud 功能。这些 IP 地址可能不会被命中,但不应从防火墙规则中移除。如需详细了解这些范围,请参阅 Compute Engine 文档

控制台

  1. 在 Google Cloud 控制台中,进入防火墙数据分析页面。

    转到“防火墙数据分析”

  2. 在名为具有过于宽松的 IP 地址或端口范围的允许规则的卡片上,点击查看完整列表。Google Cloud 控制台会显示观察期内具有过于宽松范围的所有规则的列表。

  3. 对于列表中的任意规则,请根据需要执行以下任一操作:

    • 如需查看任意规则的防火墙规则详情页面,请点击该规则的名称。
    • 如需查看规则的日志记录,请点击查看审核日志
    • 如要查看有关如何缩小范围的建议,请点击数据分析列中的链接。系统随即会显示数据分析详情窗格。此窗格介绍了规则的主要属性。它向您推荐您可以使用的更精确的 IP 地址或端口范围。

gcloud 和 API

防火墙数据分析使用 Recommender 命令。Recommender 是一项 Google Cloud 服务,可提供有关 Google Cloud 产品和服务的使用建议。

查看具有命中的 deny 规则

如需了解此数据分析,请参阅具有命中的拒绝规则

控制台

  1. 在 Google Cloud 控制台中,进入防火墙数据分析页面。

    转到“防火墙数据分析”

  2. 在名为有命中的拒绝规则的卡片上,点击查看完整列表。在响应中,Google Cloud 控制台会显示具有命中的拒绝规则页面。本页面列出了在观察期间存在具有命中的 deny 规则的所有 VPC 网络。

  3. 如需查看由防火墙丢弃的数据包,请点击命中数

gcloud 和 API

防火墙数据分析使用 Recommender 命令。Recommender 是一项 Google Cloud 服务,可提供有关 Google Cloud 产品和服务的使用建议。

在“虚拟机网络接口详情”页面上查看数据分析

在虚拟机的网络接口详细信息页上查看防火墙用量。

如需了解详情,请参阅列出虚拟机实例网络接口的防火墙规则

查看在过去 24 个月内有命中的规则

控制台

  1. 在 Google Cloud 控制台中,前往 Compute Engine 虚拟机实例页面。

    转到 Compute Engine 虚拟机实例

  2. 在虚拟机接口的搜索结果中,选择一个虚拟机,然后点击 更多操作菜单。

  3. 在菜单上,选择查看网络详情

  4. 防火墙和路由详情页面上,点击防火墙规则标签页。

  5. 命中数列中,查看过去 24 个月内与特定网络接口关联的所有防火墙规则的 allowdeny 流量的命中数。

gcloud 和 API

防火墙数据分析使用 Recommender 命令。Recommender 是一项 Google Cloud 服务,可提供有关 Google Cloud 产品和服务的使用建议。

在“防火墙”页面上查看数据分析

如需详细了解防火墙页面,请参阅列出 VPC 网络的 VPC 防火墙规则

列出针对一个项目的数据分析

控制台

  1. 在 Google Cloud 控制台中,转到防火墙页面。

    转到“防火墙政策”

  2. 对于每个防火墙规则,在数据分析列中查看可用的数据分析的名称。

  3. 您可以点击数据分析名称以查看其详细信息。

以下各部分介绍了如何查看和解释每种类型的数据分析的细节。

查看过去 24 个月内没有任何命中的 allow 规则

控制台

  1. 在 Google Cloud 控制台中,转到防火墙页面。

    转到“防火墙政策”

  2. 上次命中时间列中,查看过去 24 个月内最后一次使用指定防火墙规则的时间。

gcloud 和 API

防火墙数据分析使用 Recommender 命令。Recommender 是一项 Google Cloud 服务,可提供有关 Google Cloud 产品和服务的使用建议。

查看规则的使用记录图表

控制台

  1. 在 Google Cloud 控制台中,转到防火墙页面。

    转到“防火墙政策”

  2. 点击防火墙规则名称。

  3. 在页面的命中数监控部分中查看生成的图表,其中显示给定时间段内的防火墙命中数。您可以为命中数监控图表选择时间间隔。

gcloud 和 API

防火墙数据分析使用 Recommender 命令。Recommender 是一项 Google Cloud 服务,可提供有关 Google Cloud 产品和服务的使用建议。

查看观察期内有命中的 deny 规则

控制台

  1. 在 Google Cloud 控制台中,转到防火墙页面。

    转到“防火墙政策”

  2. 命中数列中,查看过去 24 个月(默认值)内用于给定防火墙规则的唯一连接数。

gcloud 和 API

防火墙数据分析使用 Recommender 命令。Recommender 是一项 Google Cloud 服务,可提供有关 Google Cloud 产品和服务的使用建议。

后续步骤