Estadísticas de firewall te ayuda a comprender los patrones de uso de tu reglas de firewall. Puedes usar estas estadísticas para tomar decisiones sobre cómo quitar o modificar las reglas de firewall para simplificar y proteger su configuración de firewall.
Puedes ver las siguientes estadísticas en la consola de Google Cloud Estadísticas de firewall y en muchos otros lugares de la consola de Google Cloud:
- Reglas de firewall bloqueadas: Te ayudan a identificar las reglas de firewall que se superponen con las reglas existentes.
- Reglas demasiado permisivas: Te ayudan a identificar reglas
allowsin hits. atributos sin usar, direcciones IP o rangos de puertos demasiado permisivos. - Reglas de rechazo: Brinda detalles sobre las reglas de
denyque recibieron hits durante la el período de observación configurado.
Las estadísticas de las reglas demasiado permisivas y de denegación se generan en función de los datos recolectar durante el tiempo en que El registro de reglas de firewall está habilitado.
En Estadísticas de firewall en la consola de Google Cloud, cada tarjeta que muestra las estadísticas incluye una lista de todas las reglas de tu proyecto que cumplen con los criterios de observación.
Si quieres limitar los resultados a una red de VPC, usa el barra de filtros en la parte superior de la página para seleccionar una red.
Para obtener más información, consulta Dónde puedes ver las métricas y las estadísticas.
En las siguientes secciones, se describe cómo ver cada estadística.
Funciones y permisos requeridos
Sigue estos pasos para obtener el permiso necesario para ver las estadísticas: solicita a tu administrador que te otorgue el los siguientes roles de IAM en tu proyecto:
-
Administrador del recomendador de firewall (
roles/recommender.firewallAdmin) -
Visualizador del recomendador de firewall (
roles/recommender.firewallViewer)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene las
recommender.computeFirewallInsights.list, que es
necesarias para ver las estadísticas.
También puedes obtener este permiso con roles personalizados o con otros roles predefinidos.
Ve reglas de firewall bloqueadas
Para obtener más información sobre esta estadística, consulta Shadowed reglas.
Console
En la consola de Google Cloud, ve a la página Estadísticas de firewall.
En la tarjeta denominada Reglas bloqueadas, haz clic en Ver lista completa. El La consola de Google Cloud muestra las reglas bloqueadas en la que se enumeran todas las redes de VPC.
Para cada red de VPC en tu proyecto, puedes ver la estadísticas para las políticas de firewall jerárquicas, las reglas de firewall de red de firewall y las reglas de firewall de VPC, junto con el prioridad de la regla. La columna Estadística de cada proporciona un resumen de por qué la regla se identificó como regla bloqueada.
Opcional: usa filtros para reducir la mostrará la lista según el nombre de la regla, la prioridad y el nombre de la política.
Para ver más detalles sobre la regla bloqueada y las reglas haz clic en la estadística.
gcloud y API
Estadísticas de firewall usa Recommender. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud.
Ve reglas allow sin hits
Para obtener más información, consulta Reglas de permiso sin hits.
Console
En la consola de Google Cloud, ve a la página Estadísticas de firewall.
En la tarjeta llamada Permitir reglas sin hit, haz clic en Ver lista completa. La consola de Google Cloud muestra el mensaje Permitir reglas con Sin hits. En esta página, se enumeran todas las redes de VPC que tenían reglas sin hits durante el período de observación.
La columna Estadística de cada regla muestra si la regla de firewall no tuvo hits durante el período de observación. El La columna Predicción de hits futuros muestra una predicción del uso futuro basada en en reglas de firewall en la misma organización.
Opcional: Usa filtros para limitar los resultados en la lista según las reglas la prioridad y el nombre de la política.
Para cualquier regla de la lista, realiza las siguientes acciones según corresponda:
- Para ver la página Detalles de la regla de firewall de la regla, haz clic en nombre de la regla.
- Para ver el registro de la regla, haz clic en Ver registro de auditoría.
- Para ver los detalles de la predicción, haz clic en la columna Estadística. Se muestra el panel Detalles de estadística. El panel describe los atributos principales de la regla. También describe otras reglas del proyecto que tienen atributos similares.
gcloud y API
Estadísticas de firewall usa Recommender. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para productos y servicios de Google Cloud.
Ver allow reglas que están obsoletas según el análisis adaptable
Puedes ver las reglas de allow que tienen menos probabilidades de estar activas en función del uso
de patrones y análisis adaptable.
Para obtener más información, consulta Reglas de permiso que están obsoletas en función del análisis adaptable.
Console
En la consola de Google Cloud, ve a la página Estadísticas de firewall.
En la tarjeta denominada Reglas de permiso sin hits (análisis adaptable), haz lo siguiente: Haz clic en Ver la lista completa. Se abrirá la página Reglas de permiso sin hits (análisis adaptable). La página enumera todas las redes de VPC que tenían reglas que probablemente ya no se usa.
La columna Estadística de cada regla muestra si la regla de firewall está ya no está activa según el análisis adaptable del historial de recuento de hits de la regla.
Opcional: Usa filtros para limitar los resultados en la lista según las reglas la prioridad y el nombre de la política.
Para cualquier regla de la lista, realiza las siguientes acciones según corresponda:
- Para ver la página Detalles de la regla de firewall de la regla, haz clic en nombre de la regla.
- Para ver el registro de la regla, haz clic en Ver registro de auditoría.
- Para ver los detalles de la predicción, haz clic en la columna Estadística.
La página Detalles de las estadísticas describe los atributos principales de la regla. En la sección Análisis adaptable, puede ver la fecha de último hit y el recuento de hits diarios promedio antes de que la regla dejara de ser activo.
Para cerrar la página Detalles de estadísticas, haz clic en Cancelar.
gcloud y API
Estadísticas de firewall usa Recommender. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para productos y servicios de Google Cloud.
Ve reglas allow con atributos sin usar
Para obtener más información, consulta Permitir reglas con atributos sin usar.
Console
En la consola de Google Cloud, ve a la página Estadísticas de firewall.
En la tarjeta Permitir reglas con atributos sin usar, haz clic en Ver lista completa. En respuesta, la consola de Google Cloud muestra la página Permitir reglas con atributos sin usar. En esta página, se enumeran todas redes de VPC con reglas que no se usaron atributos durante el período de observación.
La columna Estadística de cada regla muestra la cantidad de atributos sin usar durante el período de observación.
Opcional: Usa filtros para limitar los resultados en la lista según las reglas la prioridad y el nombre de la política.
Para cualquier red de VPC de la lista, realiza una de las siguientes acciones según corresponda:
- Para ver la página Detalles de la regla de firewall de la regla, haz clic en nombre de la regla.
- Para ver el registro de la regla, haz clic en Ver registro de auditoría.
- Para ver los detalles, haz clic en el vínculo correspondiente. Se muestra el panel Detalles de estadística. El panel describe los atributos principales de la regla. También se describen otras reglas en el proyecto que tienen atributos similares.
gcloud y API
Estadísticas de firewall usa Recommender. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para productos y servicios de Google Cloud.
Ve reglas allow con rangos de puertos o direcciones IP demasiado permisivos
Para obtener más información sobre esta estadística, consulta Reglas de permiso con direcciones IP demasiado permisivas. o rangos de puertos.
Ten en cuenta que tu proyecto puede tener reglas de firewall que permiten el acceso desde ciertos bloques de direcciones IP para las verificaciones de estado del balanceador de cargas o para otras funciones de Google Cloud. Es posible que estas direcciones IP no tengan hits, pero no se deben quitar de tus reglas de firewall. Para obtener más información sobre estos rangos, consulta la documentación de Compute Engine.
Console
En la consola de Google Cloud, ve a la página Estadísticas de firewall.
En la tarjeta llamada Permitir reglas con rangos de puertos o direcciones IP demasiado permisivos, haz clic en Ver lista completa. El La consola de Google Cloud muestra una lista de todas las reglas que rangos permisivos durante el período de observación.
Para cualquier regla de la lista, realiza las siguientes acciones según corresponda:
- Para ver la página Detalles de la regla de firewall de cualquier regla, haz clic en nombre de la regla.
- Para ver el registro de la regla, haz clic en Ver registro de auditoría.
- Para ver sugerencias sobre cómo reducir el rango, haz clic en el vínculo en la columna Estadística. El panel Detalles de estadística está que se muestra. El panel describe los atributos principales de la regla. Sugiere direcciones IP o rangos de puertos más específicos que puedes usar.
gcloud y API
Estadísticas de firewall usa Recommender. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para productos y servicios de Google Cloud.
Ve reglas deny con hits
Para obtener más información, consulta Reglas de rechazo con hits:
Console
En la consola de Google Cloud, ve a la página Estadísticas de firewall.
En la tarjeta llamada Denegar reglas con hits, haz clic en Ver lista completa. En respuesta, la consola de Google Cloud muestra el mensaje Reglas de denegación con hits . En esta página, se enumeran todas las redes de VPC que tienen
denyreglas que recibieron hits durante el período de observación.Para revisar los paquetes que descartó un firewall, haz clic en Recuento de hits.
gcloud y API
Estadísticas de firewall usa Recommender. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para productos y servicios de Google Cloud.
Consulta las estadísticas en la página de detalles de la interfaz de red de la VM
Consulta el uso del firewall en la página Detalles de la interfaz de red de una VM.
Para obtener más información, consulta Enumera las reglas de firewall para una interfaz de red de una instancia de VM.
Ve reglas con hits en los últimos 24 meses
Console
En la consola de Google Cloud, ve a la página Instancias de VM de Compute Engine.
En los resultados de la búsqueda de una interfaz de VM, selecciona una VM y haz clic en Menú más acciones.
En el menú, selecciona Ver detalles de red.
En la página Detalles del firewall y las rutas, haz clic en el La pestaña Reglas de firewall
En la columna Recuento de aciertos, observa los recuentos de aciertos del tráfico de
allowydenyde los últimos 24 meses para todas las reglas de firewall asociadas con una interfaz de red específica.
gcloud y API
Estadísticas de firewall usa Recommender. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para productos y servicios de Google Cloud.
Ver estadísticas en la página Firewall
Para obtener más información sobre la página Firewall, consulta Enumera las reglas de firewall de VPC para una red de VPC.
Enumera las estadísticas de un proyecto
Console
En la consola de Google Cloud, ve a la página Políticas de firewall.
Para cada regla de firewall, visualiza el nombre de las estadísticas disponibles en la columna Estadísticas.
Puedes hacer clic en el nombre de una estadística para ver sus detalles.
En las siguientes secciones, se describe cómo ver e interpretar los detalles de cada uno de ellos. tipo de estadística.
Ver allow reglas sin hits en los últimos 24 meses
Console
En la consola de Google Cloud, ve a la página Políticas de firewall.
En la columna Último hit, revise la última vez que se usó una regla de firewall determinada en los últimos 24 meses.
gcloud y API
Estadísticas de firewall usa Recommender. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para productos y servicios de Google Cloud.
Ve el gráfico del historial de uso de una regla
Console
En la consola de Google Cloud, ve a la página Políticas de firewall.
Haz clic en el nombre de una regla de firewall.
En la sección Supervisión de recuento de hits de la página, consulta los resultados gráfico que muestra el recuento de hits de firewall de un período determinado. Puedes selecciona un intervalo de tiempo para el gráfico de supervisión del recuento de hits.
gcloud y API
Estadísticas de firewall usa Recommender. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para productos y servicios de Google Cloud.
Ve reglas deny con hits para un período de observación
Console
En la consola de Google Cloud, ve a la página Políticas de firewall.
En la columna Cantidad de aciertos, consulta la cantidad de conexiones únicas que se usaron. para una regla de firewall determinada en los últimos 24 meses (predeterminado).
gcloud y API
Estadísticas de firewall usa Recommender. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para productos y servicios de Google Cloud.
¿Qué sigue?
- Administra y exporta estadísticas
- Revisa y optimiza las reglas de firewall
- Consulta las estadísticas en el panel del Centro de recomendaciones