Visualiza y comprende las Estadísticas de firewall

Estadísticas de firewall te ayuda a comprender los patrones de uso de tu reglas de firewall. Puedes usar estas estadísticas para respaldar las decisiones sobre quitar o modificar las reglas de firewall para simplificar y proteger la configuración del firewall.

Puedes ver las siguientes estadísticas en la consola de Google Cloud Estadísticas de firewall y en muchos otros lugares de la consola de Google Cloud:

  • Reglas de firewall bloqueadas: Te ayudan a identificar las reglas de firewall que se superponen con las reglas existentes.
  • Reglas demasiado permisivas: Te ayudan a identificar reglas allow sin hits. atributos sin usar, direcciones IP o rangos de puertos demasiado permisivos.
  • Reglas de rechazo: Brinda detalles sobre las reglas de deny que recibieron hits durante la el período de observación configurado.

Las estadísticas de las reglas demasiado permisivas y de denegación se generan en función de los datos recolectar durante el tiempo en que El registro de reglas de firewall está habilitado.

En la página Estadísticas de firewall de la consola de Google Cloud, cada tarjeta que muestra las estadísticas incluye una lista de todas las reglas de tu proyecto que cumplen con los criterios de estadísticas.

Si quieres limitar los resultados a una red de VPC, usa el barra de filtros en la parte superior de la página para seleccionar una red.

Para obtener más información, consulta Dónde puedes ver métricas y estadísticas.

En las siguientes secciones, se describe cómo ver cada estadística.

Roles y permisos requeridos

Sigue estos pasos para obtener el permiso necesario para ver las estadísticas: solicita a tu administrador que te otorgue el los siguientes roles de IAM en tu proyecto:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene las recommender.computeFirewallInsights.list permiso, que se requiere para y ver las estadísticas.

También puedes obtener este permiso con roles personalizados o con otros roles predefinidos.

Ve reglas de firewall bloqueadas

Para obtener más información sobre esta estadística, consulta Shadowed reglas.

Console

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. En la tarjeta denominada Reglas bloqueadas, haz clic en Ver lista completa. El La consola de Google Cloud muestra las reglas bloqueadas en la que se enumeran todas las redes de VPC.

    Para cada red de VPC en tu proyecto, puedes ver la estadísticas para las políticas de firewall jerárquicas, las reglas de firewall de red de firewall y las reglas de firewall de VPC, junto con el prioridad de la regla. La columna Estadística de cada proporciona un resumen de por qué la regla se identificó como regla bloqueada.

  3. Opcional: usa filtros para reducir la mostrará la lista según el nombre de la regla, la prioridad y el nombre de la política.

  4. Para ver más detalles sobre la regla bloqueada y las reglas que la sustituyen, haz clic en la estadística.

gcloud y API

Firewall Insights usa comandos de Recommender. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud.

Ve reglas allow sin hits

Para obtener más información, consulta Reglas de permiso sin hits.

Console

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. En la tarjeta llamada Permitir reglas sin hit, haz clic en Ver lista completa. La consola de Google Cloud muestra el mensaje Permitir reglas con sin hits. En esta página, se enumeran todas las redes de VPC que tenían reglas sin hits durante el período de observación.

    En la columna estadísticas para cada regla, se muestra si la regla de firewall no tuvo hits durante el período de observación. El La columna Predicción de hits futuros muestra una predicción del uso futuro basada en en reglas de firewall en la misma organización.

  3. Opcional: Usa filtros para limitar los resultados en la lista según las reglas la prioridad y el nombre de la política.

  4. Para cualquier regla de la lista, realiza las siguientes acciones según corresponda:

    • Para ver la página Detalles de la regla de firewall de la regla, haz clic en nombre de la regla.
    • Para ver el registro de la regla, haz clic en Ver registro de auditoría.
    • Para ver los detalles de la predicción, haz clic en el vínculo de la columna Estadísticas. Se muestra el panel Detalles de estadísticas. El panel describe los atributos principales de la regla. También se describen otras reglas en el proyecto que tienen atributos similares.

gcloud y API

Firewall Insights usa comandos de Recommender. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud.

Ver allow reglas que están obsoletas según el análisis adaptable

Puedes ver las reglas allow que tienen menos probabilidades de estar activas según los patrones de uso y el análisis adaptable.

Para obtener información sobre esta estadística, consulta Permite reglas obsoletas en función del análisis adaptable.

Console

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. En la tarjeta denominada Reglas de permiso sin hits (análisis adaptable), haz lo siguiente: Haz clic en Ver la lista completa. Se abrirá la página Reglas de permiso sin hits (análisis adaptable). En la página, se enumeran todas las redes de VPC que tenían reglas que es probable que ya no se usen.

    La columna Estadística de cada regla muestra si la regla de firewall está ya no está activo según el análisis adaptable del historial de recuento de hits de la regla.

  3. Opcional: Usa el filtrado para limitar los resultados en la lista según el nombre de la regla, la prioridad y el nombre de la política.

  4. Para cualquier regla de la lista, realiza las siguientes acciones según corresponda:

    • Para ver la página Detalles de la regla de firewall de la regla, haz clic en nombre de la regla.
    • Para ver el registro de la regla, haz clic en Ver registro de auditoría.
    • Para ver los detalles de la predicción, haz clic en el vínculo de la columna Estadísticas.

    En la página Detalles de la estadística, se describen los atributos principales de la regla. En la sección Análisis adaptativo, puedes ver la fecha del último hit de la regla y el recuento promedio de hits diarios antes de que la regla dejara de estar activa.

  5. Para cerrar la página Detalles de la estadística, haz clic en Cancelar.

gcloud y API

Estadísticas de firewall usa Recommender. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud.

Ve reglas allow con atributos sin usar

Para obtener más información, consulta Permitir reglas con atributos sin usar.

Console

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. En la tarjeta Permitir reglas con atributos sin usar, haz clic en Ver lista completa. En respuesta, la consola de Google Cloud muestra la página Permitir reglas con atributos sin usar. En esta página, se enumeran todas redes de VPC con reglas que no se usaron atributos durante el período de observación.

    La columna estadísticas para cada regla muestra la cantidad de atributos sin usar durante el período de observación.

  3. Opcional: Usa el filtrado para limitar los resultados en la lista según el nombre de la regla, la prioridad y el nombre de la política.

  4. Para cualquier red de VPC de la lista, realiza una de las siguientes acciones según corresponda:

    • Para ver la página Detalles de la regla de firewall, haz clic en el nombre de la regla.
    • Para ver el registro de la regla, haz clic en Ver registro de auditoría.
    • Para ver los detalles, haz clic en el vínculo correspondiente. Se mostrará el panel Detalles de la estadística. El panel describe los atributos principales de la regla. También se describen otras reglas en el proyecto que tienen atributos similares.

gcloud y API

Estadísticas de firewall usa Recommender. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para productos y servicios de Google Cloud.

Ve reglas allow con rangos de puertos o direcciones IP demasiado permisivos

Para obtener información sobre esta estadística, consulta Reglas de permiso con rangos de puertos o direcciones IP demasiado permisivos.

Ten en cuenta que tu proyecto puede tener reglas de firewall que permiten el acceso desde ciertos bloques de direcciones IP para las verificaciones de estado del balanceador de cargas o para otras funciones de Google Cloud. Es posible que estas direcciones IP no tengan hits, pero no se deben quitar de tus reglas de firewall. Para obtener más información sobre estos rangos, consulta la documentación de Compute Engine.

Console

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. En la tarjeta llamada Permitir reglas con rangos de puertos o direcciones IP demasiado permisivos, haz clic en Ver lista completa. La consola de Google Cloud muestra una lista de todas las reglas que tenían rangos demasiado permisivos durante el período de observación.

  3. Para cualquier regla de la lista, realiza las siguientes acciones según corresponda:

    • Para ver la página Detalles de la regla de firewall de cualquier regla, haz clic en nombre de la regla.
    • Para ver el registro de la regla, haz clic en Ver registro de auditoría.
    • Para ver sugerencias sobre cómo limitar el rango, haz clic en el vínculo en la columna Estadísticas. Se mostrará el panel Detalles de la estadística. El panel describe los atributos principales de la regla. Sugiere direcciones IP o rangos de puertos más específicos que puedes usar.

gcloud y API

Firewall Insights usa comandos de Recommender. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para productos y servicios de Google Cloud.

Ve reglas deny con hits

Para obtener más información, consulta Reglas de rechazo con hits:

Console

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. En la tarjeta llamada Denegar reglas con hits, haz clic en Ver lista completa. En respuesta, la consola de Google Cloud muestra el mensaje Reglas de denegación con hits . En esta página, se enumeran todas las redes de VPC que tienen deny reglas que recibieron hits durante el período de observación.

  3. Para revisar los paquetes que descartó un firewall, haz clic en Recuento de hits.

gcloud y API

Firewall Insights usa comandos de Recommender. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para productos y servicios de Google Cloud.

Consulta las estadísticas en la página de detalles de la interfaz de red de la VM

Consulta el uso del firewall en la página Detalles de la interfaz de red de una VM.

Si deseas obtener más información, consulta Enumera las reglas de firewall para una interfaz de red de una instancia de VM.

Ve reglas con hits en los últimos 24 meses

Console

  1. En la consola de Google Cloud, ve a la página Instancias de VM de Compute Engine.

    Ir a Instancias de VM de Compute Engine

  2. En los resultados de la búsqueda de una interfaz de VM, selecciona una VM y haz clic en Menú más acciones.

  3. En el menú, selecciona Ver detalles de red.

  4. En la página Detalles del firewall y las rutas, haz clic en el La pestaña Reglas de firewall

  5. En la columna Recuento de aciertos, observa los recuentos de aciertos del tráfico de allow y deny de los últimos 24 meses para todas las reglas de firewall asociadas con una interfaz de red específica.

gcloud y API

Firewall Insights usa comandos de Recommender. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud.

Ver estadísticas en la página Firewall

Para obtener más información sobre la página Firewall, consulta Cómo enumerar las reglas de firewall de VPC para una red de VPC.

Enumera las estadísticas de un proyecto

Console

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. Para cada regla de firewall, visualiza el nombre de las estadísticas disponibles en la columna Estadísticas.

  3. Puedes hacer clic en el nombre de una estadística para ver sus detalles.

En las siguientes secciones, se describe cómo ver e interpretar los detalles de cada uno de ellos. tipo de estadística.

Ver allow reglas sin hits en los últimos 24 meses

Console

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En la columna Último hit, revise la última vez que se usó una regla de firewall determinada en los últimos 24 meses.

gcloud y API

Estadísticas de firewall usa Recommender. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para productos y servicios de Google Cloud.

Ve el gráfico del historial de uso de una regla

Console

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. Haz clic en el nombre de una regla de firewall.

  3. En la sección Supervisión de recuentos de hits de la página, consulta los resultados gráfico que muestra el recuento de hits de firewall de un período determinado. Puedes seleccionar un intervalo de tiempo para el gráfico de supervisión del recuento de hits.

gcloud y API

Estadísticas de firewall usa Recommender. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para productos y servicios de Google Cloud.

Ve reglas deny con hits para un período de observación

Console

  1. En la consola de Google Cloud, ve a la página Políticas de firewall.

    Ir a Políticas de firewall

  2. En la columna Cantidad de aciertos, consulta la cantidad de conexiones únicas que se usaron. para una regla de firewall determinada en los últimos 24 meses (configuración predeterminada).

gcloud y API

Firewall Insights usa comandos de Recommender. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud.

¿Qué sigue?