Firewall Insights hilft Ihnen, die Nutzungsmuster Ihrer Firewallregeln. Diese Informationen können Ihnen bei der Entscheidung helfen, oder die Firewall-Regeln zu ändern, um Ihre Firewall-Konfiguration zu vereinfachen und zu schützen.
In der Google Cloud Console können Sie die folgenden Statistiken aufrufen: Firewall Insights und an verschiedenen anderen Stellen in der Google Cloud Console:
- Verdeckte Firewallregeln: Mit dieser Funktion können Sie Firewallregeln identifizieren, die sich mit vorhandenen Regeln überschneiden.
- Zu moderate Regeln: Sie können
allow
-Regeln ohne Treffer, nicht verwendete Attribute oder zu moderate IP-Adress- oder Portbereiche ermitteln. - Ablehnungsregeln: enthalten Details zu
deny
-Regeln, die während des folgenden Zeitraums Treffer erzielt haben: den konfigurierten Beobachtungszeitraum.
Statistiken für zu moderate Regeln und Ablehnungsregeln werden auf der Grundlage von Daten generiert für den Zeitraum erfasst, Logging von Firewallregeln ist aktiviert.
Auf der Seite „Firewall Insights“ in der Google Cloud Console enthält jede Karte mit den Statistiken eine Liste aller Regeln in Ihrem Projekt, die die Kriterien der Statistik erfüllen.
Wenn Sie die Ergebnisse auf ein VPC-Netzwerk beschränken möchten, wählen Sie über die Filterleiste oben auf der Seite ein Netzwerk aus.
Weitere Informationen finden Sie unter Hier können Sie Messwerte und Statistiken aufrufen.
In den folgenden Abschnitten wird beschrieben, wie Sie die einzelnen Informationen aufrufen.
Erforderliche Rollen und Berechtigungen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aufrufen von Statistiken benötigen:
-
Firewall Recommender Admin (
roles/recommender.firewallAdmin
) -
Firewall Recommender-Betrachter (
roles/recommender.firewallViewer
)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierte Rolle enthält die
recommender.computeFirewallInsights.list
Berechtigung,
was erforderlich ist, um
Statistiken ansehen.
Sie können diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Verdeckte Firewallregeln ansehen
Weitere Informationen zu dieser Statistik finden Sie unter Verdeckte Regeln.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte Verdeckte Regeln auf Vollständige Liste anzeigen. Die In der Google Cloud Console werden die verdeckten Regeln angezeigt. auf der alle VPC-Netzwerke aufgeführt sind.
Für jedes VPC-Netzwerk in Ihrem Projekt sehen Sie die Statistiken für hierarchische Firewallrichtlinien, globale Netzwerk-Firewallrichtlinien und VPC-Firewallregeln sowie die Priorität der Regel. In der Spalte Statistik Regel enthält eine Zusammenfassung dazu, warum die Regel als verdeckte Regel identifiziert wurde.
Optional: Grenzen Sie die Ergebnisse mithilfe von Filtern ein. wird basierend auf dem Regelnamen, der Priorität und dem Richtliniennamen in der Liste angezeigt.
Klicken Sie auf die Statistik, um weitere Details zu der verdeckten Regel und den Regeln, die sie verdecken, aufzurufen.
gcloud und API
Firewall Insights verwendet Recommender-Befehle Recommender ist ein Google Cloud-Dienst mit Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste.
allow
-Regeln ohne Treffer ansehen
Weitere Informationen zu dieser Statistik finden Sie unter Zulassungsregeln ohne Treffer.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte Regeln ohne Treffer zulassen auf Vollständige Liste ansehen. In der Google Cloud Console wird die Seite Zulassungsregeln ohne Treffer angezeigt. Auf dieser Seite sind alle VPC-Netzwerke aufgeführt, hatten Regeln ohne Treffer während des Beobachtungszeitraums.
In der Spalte Statistik für jede Regel wird angezeigt, ob die Firewallregel während des Beobachtungszeitraums keine Treffer hatte. In der Spalte Future-Treffervorhersage wird eine Vorhersage der zukünftigen Nutzung basierend auf Firewallregeln in derselben Organisation angezeigt.
Optional: Verwenden Sie Filter, um die Ergebnisse in der Liste basierend auf der Regel einzugrenzen. Name, Priorität und Richtlinienname.
Führen Sie für jede Regel in der Liste eine der folgenden Schritte aus:
- Klicken Sie auf den Namen der Regel, um die Seite Details zu Firewallregeln für die Regel aufzurufen.
- Klicken Sie auf Audit-Log ansehen, um das Logging für die Regel aufzurufen.
- Wenn Sie Details zur Vervollständigung sehen möchten, klicken Sie auf den Link in in der Spalte Statistik. Der Bereich Statistikdetails wird angezeigt. Im Bereich werden die Hauptmerkmale der Regel beschrieben. Außerdem beschreibt andere Regeln im Projekt, die ähnliche Attribute haben.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst, Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste
allow
Regeln aufrufen, die aufgrund der adaptiven Analyse veraltet sind
Sie können allow
Regeln ansehen, die aufgrund der Nutzung weniger aktiv sind
und adaptive Analysen.
Weitere Informationen zu dieser Statistik finden Sie unter Zulassungsregeln, die aufgrund einer adaptiven Analyse veraltet sind.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte Zulassungsregeln ohne Treffer (adaptive Analyse) auf Vollständige Liste ansehen. Die Seite Zulassungsregeln ohne Treffer (adaptive Analyse) wird geöffnet. Die Seite werden alle VPC-Netzwerke mit Regeln aufgeführt, nicht mehr verwendet werden.
In der Spalte Statistik für jede Regel wird basierend auf einer adaptiven Analyse der bisherigen Trefferanzahl der Regel angezeigt, ob die Firewallregel nicht mehr aktiv ist.
Optional: Verwenden Sie Filter, um die Ergebnisse in der Liste basierend auf der Regel einzugrenzen. Name, Priorität und Richtlinienname.
Führen Sie für jede Regel in der Liste eine der folgenden Schritte aus:
- Klicken Sie auf den Namen der Regel, um die Seite Details zu Firewallregeln für die Regel aufzurufen.
- Klicken Sie auf Audit-Log ansehen, um das Logging für die Regel aufzurufen.
- Wenn Sie Details zur Vervollständigung sehen möchten, klicken Sie auf den Link in in der Spalte Statistik.
Auf der Seite Statistikdetails werden die Hauptattribute der Regel beschrieben. Im Bereich Adaptive Analyse sehen Sie das Datum des letzten Treffers der Regel und die durchschnittliche tägliche Trefferanzahl, bevor die Regel inaktiv wurde.
Wenn Sie die Seite Statistikdetails schließen möchten, klicken Sie auf Abbrechen.
gcloud und API
Firewall Insights verwendet Recommender-Befehle Recommender ist ein Google Cloud-Dienst mit Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste.
allow
-Regeln mit nicht verwendeten Attributen aufrufen
Weitere Informationen zu diesem Insight finden Sie unter Zulassungsregeln mit nicht verwendeten Attributen:
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte Zulassungsregeln mit nicht verwendeten Attributen auf Vollständige Liste ansehen. Als Antwort wird in der Google Cloud Console die Seite Zulassungsregeln mit nicht verwendeten Attributen angezeigt. Auf dieser Seite werden alle VPC-Netzwerke mit Regeln aufgelistet, deren Attribute während des Beobachtungszeitraums nicht verwendet wurden.
Die Spalte Statistik für jede Regel zeigt die Anzahl der Attribute, die während des Beobachtungszeitraums nicht verwendet wurden.
Optional: Sie können die Ergebnisse in der Liste anhand des Regelnamens, der Priorität und des Richtliniennamens eingrenzen.
Führen Sie für jedes VPC-Netzwerk in der Liste eine der folgenden Aktionen aus:
- Klicken Sie auf den Namen der Regel, um die Seite Details zu Firewallregeln für die Regel aufzurufen.
- Klicken Sie auf Audit-Log ansehen, um das Logging für die Regel aufzurufen.
- Klicken Sie auf den Link für die Vorhersage, um Details zur Vorhersage aufzurufen. Der Bereich Statistikdetails wird angezeigt. Das Fenster beschreibt die Hauptattribute der Regel. Außerdem werden andere Regeln im Projekt mit ähnlichen Attributen beschrieben.
gcloud und API
Firewall Insights verwendet Recommender-Befehle Recommender ist ein Google Cloud-Dienst, Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste
allow
-Regeln mit zu moderaten IP-Adress- oder Portbereichen aufrufen
Weitere Informationen zu dieser Statistik finden Sie unter Zulassungsregeln mit zu moderaten IP-Adressen oder Portbereichen.
Beachten Sie, dass Ihr Projekt Firewallregeln enthalten kann, die den Zugriff von bestimmten IP-Adressblöcken für Load-Balancer-Systemdiagnosen oder für andere Google Cloud-Funktionen zulassen. Diese IP-Adressen sind zwar nicht betroffen, sollten aber nicht aus Ihren Firewall-Regeln entfernt werden. Weitere Informationen zu diesen Bereichen finden Sie in der Compute Engine-Dokumentation.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte mit dem Namen Zulassungsregeln mit zu moderaten IP-Adressen oder Portbereichen auf Vollständige Liste anzeigen. In der Google Cloud Console wird eine Liste aller Regeln angezeigt, die während des Beobachtungszeitraums zu moderate Bereiche hatten.
Führen Sie für jede Regel in der Liste eine der folgenden Schritte aus:
- Um die Seite Details zur Firewallregel für eine Regel aufzurufen, klicken Sie auf das Name der Regel.
- Klicken Sie auf Audit-Log ansehen, um das Logging für die Regel aufzurufen.
- Vorschläge zum Eingrenzen des Bereichs erhalten Sie, wenn Sie auf den Link im in der Spalte Statistik. Der Bereich Statistikdetails wird angezeigt. Im Bereich werden die Hauptmerkmale der Regel beschrieben. Es werden enger definierte IP-Adressen oder Portbereiche vorgeschlagen, die Sie verwenden können.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst mit Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste.
deny
-Regeln mit Treffern aufrufen
Weitere Informationen zu dieser Statistik finden Sie unter Deny-Regeln mit Treffern.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte mit dem Namen Deny-Regeln mit Treffern auf Vollständige Liste ansehen. Als Antwort wird in der Google Cloud Console die Seite Deny-Regeln mit Treffern angezeigt. Auf dieser Seite werden alle VPC-Netzwerke mit
deny
aufgelistet Regeln mit Treffern im Beobachtungszeitraum.Um die von einer Firewall verworfenen Pakete zu prüfen, klicken Sie auf Trefferanzahl.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst mit Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste.
Statistiken auf der Detailseite der VM-Netzwerkschnittstelle ansehen
Rufen Sie auf der Seite Details zur Netzwerkschnittstelle die Firewallnutzung für eine VM auf.
Weitere Informationen finden Sie unter Firewallregeln für eine Netzwerkschnittstelle einer VM-Instanz auflisten
Regeln mit Treffern in den letzten 24 Stunden ansehen
Console
Öffnen Sie in der Google Cloud Console die Seite Compute Engine-VM-Instanzen:
Wählen Sie in den Suchergebnissen für eine VM-Schnittstelle eine VM aus und klicken Sie auf
weitere Aktionen.Wählen Sie im Menü Netzwerkdetails anzeigen aus.
Klicken Sie auf der Seite Details zu Firewall und Routen auf Firewallregeln.
In der Spalte Trefferzahl wird die Trefferzahl für
allow
- unddeny
-Traffic in den letzten 24 Monaten für alle Firewallregeln angezeigt, die einer bestimmten Netzwerkschnittstelle zugeordnet sind.
gcloud und API
Firewall Insights verwendet Recommender-Befehle Recommender ist ein Google Cloud-Dienst, Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste
Informationen auf der Seite „Firewall“ aufrufen
Weitere Informationen zur Seite Firewall finden Sie unter Listen Sie die VPC-Firewallregeln für ein VPC-Netzwerk auf.
Informationen zu einem Projekt auflisten
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Sehen Sie sich für jede Firewallregel den Namen der verfügbaren Statistiken in der Spalte Statistiken an.
Sie können auf den Namen einer Statistik klicken, um die zugehörigen Details aufzurufen.
In den folgenden Abschnitten wird beschrieben, wie Sie die Details für jede Art von Statistik aufrufen und deuten.
allow
-Regeln ohne Treffer in den letzten 24 Monaten ansehen
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Sehen Sie in der Spalte Letzter Treffer nach, wann eine bestimmte Firewallregel in den letzten 24 Monaten das letzte Mal verwendet wurde.
gcloud und API
Firewall Insights verwendet Recommender-Befehle Recommender ist ein Google Cloud-Dienst mit Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste.
Diagramm zum Nutzungsverlauf einer Regel aufrufen
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Klicken Sie auf den Namen einer Firewallregel.
Rufen Sie im Abschnitt Trefferzahl-Überwachung der Seite das resultierende Diagramm mit der Anzahl der Firewall-Treffer für einen bestimmten Zeitraum auf. Sie können Wählen Sie ein Zeitintervall für das Monitoring-Diagramm der Trefferanzahl aus.
gcloud und API
Firewall Insights verwendet Recommender-Befehle Recommender ist ein Google Cloud-Dienst, Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste
deny
-Regeln mit Treffern für einen Beobachtungszeitraum aufrufen
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
In der Spalte Trefferanzahl sehen Sie die Anzahl der einzelnen verwendeten Verbindungen. für eine bestimmte Firewallregel in den letzten 24 Monaten (Standardeinstellung).
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst mit Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste.
Nächste Schritte
- Statistiken verwalten und exportieren
- Firewallregeln prüfen und optimieren
- Statistiken im Dashboard des Empfehlungs-Hubs aufrufen