Visualiza y comprende las estadísticas de firewall

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Estadísticas de firewall te ayuda a comprender los patrones de uso de tus reglas de firewall. Puedes usar estas estadísticas para tomar decisiones sobre cómo quitar o modificar las reglas de firewall a fin de simplificar y proteger la configuración del firewall.

Puedes ver las siguientes estadísticas en la página Estadísticas de firewall de Google Cloud Console y en varios otros lugares de la consola de Google Cloud:

  • Las reglas de firewall bloqueadas te ayudan a identificar las reglas de firewall que se superponen con las reglas existentes.
  • Las reglas demasiado permisivas te ayudan a identificar reglas allow sin hits, atributos sin usar, direcciones IP o rangos de puertos demasiado permisivos.
  • Las reglas de denegación te proporcionan detalles sobre las reglas de deny que tuvieron hits durante el período de observación configurado.

Las reglas demasiado permisivas y las estadísticas de reglas de denegación se generan en función de los datos recopilados durante el tiempo que se habilita el registro de reglas de firewall.

En la página Firewall Insights de Google Cloud Console, cada tarjeta que muestra las estadísticas incluye una lista de todas las reglas de tu proyecto que cumplen con los criterios de las estadísticas. Si deseas limitar los resultados a una red de VPC, usa la barra de filtros en la parte superior de la página para seleccionar una red.

Para obtener más información, consulta Dónde puedes ver las métricas y estadísticas.

En las siguientes secciones, se describe cómo ver cada estadística.

Funciones y permisos requeridos

Si deseas obtener el permiso que necesitas para ver las estadísticas, solicita a tu administrador que te otorgue las siguientes funciones de IAM en tu proyecto:

  • Administrador del recomendador de firewall (roles/recommender.firewallAdmin)
  • Visualizador del recomendador de firewall (roles/recommender.firewallViewer)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

Esta función predefinida contiene el permiso recommender.computeFirewallInsights.list, que se requiere para ver las estadísticas. También puedes obtener este permiso con roles personalizados o con otros roles predefinidos.

Ve reglas de firewall bloqueadas

Para obtener más información sobre esta estadística, consulta Reglas bloqueadas.

Consola

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. En la tarjeta denominada Reglas bloqueadas, haz clic en Ver lista completa. En respuesta, la consola de Google Cloud muestra la página Reglas bloqueadas, que enumera todas las reglas que se identificaron como bloqueadas. La columna Estadísticas de cada regla proporciona un resumen del motivo por el que se la identificó como una regla bloqueada.

  3. Para ver más detalles sobre la regla bloqueada y las reglas que la sustituyen, haz clic en la estadística.

gcloud y API

Firewall Insights usa comandos de recomendador. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud.

Ve reglas allow sin hits

Para obtener más información sobre esta estadística, consulta Reglas de permiso sin hits.

Consola

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. En la tarjeta llamada Permitir reglas sin hit, haz clic en Ver lista completa. Como respuesta, la consola de Google Cloud muestra la página Permitir reglas sin hits, que enumera todas las reglas que no tuvieron hits durante el período de observación. La columna Insight para cada regla muestra si la regla de firewall no tuvo hits durante el período de observación. En la columna Predicción de hits futuros, se muestra una predicción del uso futuro según las reglas de firewall de la misma organización.

  3. Para cualquier regla de la lista, realiza las siguientes acciones según corresponda:

    • Para ver la página Detalles de las reglas de firewall, haz clic en el nombre de la regla.
    • Para ver el registro de la regla, haz clic en el vínculo Ver registros de auditoría
    • Para ver los detalles, haz clic en el vínculo correspondiente. En la respuesta, se muestra el panel Detalles de la estadística. En este panel, se describen los atributos principales de la regla. También se describen los atributos de otras reglas similares en el proyecto, junto con sus recuentos de hits.

gcloud y API

Firewall Insights usa comandos de recomendador. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud.

Ve reglas allow con atributos sin usar

Para obtener más información sobre esta estadística, consulta Permitir reglas con atributos sin usar.

Consola

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. En la tarjeta Permitir reglas con atributos sin usar, haz clic en Ver lista completa. En respuesta, la consola de Google Cloud muestra la página Permitir reglas con atributos sin usar. En esta página, se enumeran todas las reglas identificadas que tenían atributos sin usar durante el período de observación. La columna Estadística para cada regla muestra la cantidad de atributos sin utilizar durante el período de observación.

  3. Para cualquier regla de la lista, realiza las siguientes acciones según corresponda:

    • Para ver la página Detalles de las reglas de firewall, haz clic en el nombre de la regla.
    • Para ver el registro de la regla, haz clic en el vínculo Ver registros de auditoría
    • Para ver los detalles, haz clic en el vínculo correspondiente. En la respuesta, se muestra el panel Detalles de la estadística. En este panel, se describen los atributos principales de la regla. También se describen otras reglas en el proyecto que tienen atributos similares.

gcloud y API

Firewall Insights usa comandos de recomendador. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud.

Ve reglas allow con rangos de puertos o direcciones IP demasiado permisivos

Para obtener más información sobre esta estadística, consulta Reglas de permiso con direcciones IP o rangos de puertos demasiado permisivos.

Ten en cuenta que tu proyecto puede tener reglas de firewall que permiten el acceso desde ciertos bloques de direcciones IP para las verificaciones de estado del balanceador de cargas o para otras funciones de Google Cloud. Es posible que estas direcciones IP no tengan hits, pero no se deben quitar de tus reglas de firewall. Para obtener más información sobre estos rangos, consulta la documentación de Compute Engine.

Consola

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. En la tarjeta llamada Permitir reglas con rangos de puertos o direcciones IP demasiado permisivos, haz clic en Ver lista completa. En respuesta, la consola de Google Cloud muestra una lista de todas las reglas que tenían rangos demasiado permisivos durante el período de observación.

  3. Para cualquier regla de la lista, realiza las siguientes acciones según corresponda:

    • Para ver la página Detalles de las reglas de firewall de cualquier regla, haz clic en el nombre de la regla.
    • Para ver el registro de la regla, haz clic en el vínculo Ver registros de auditoría
    • Para ver sugerencias sobre cómo limitar el rango, haz clic en el vínculo en la columna estadísticas. En la respuesta, se mostrará el panel Detalles de las estadísticas. Este panel describe los atributos principales de la regla. Sugiere direcciones IP o rangos de puertos más específicos que puedes usar.

gcloud y API

Firewall Insights usa comandos de recomendador. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud.

Ve reglas deny con hits

Para obtener más información sobre esta estadística, consulta Reglas de denegación con hits.

Consola

  1. En la consola de Google Cloud, ve a la página Estadísticas de firewall.

    Ir a Estadísticas de firewall

  2. En la tarjeta llamada Denegar reglas con hits, haz clic en Ver lista completa. Como respuesta, la consola de Google Cloud muestra la página Reglas de denegación con hits, que enumera todas las reglas deny que tuvieron hits durante el período de observación.

  3. Para revisar los paquetes que descartó un firewall, haz clic en Recuento de hits.

gcloud y API

Firewall Insights usa comandos de recomendador. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud.

Consulta las estadísticas en la página de detalles de la interfaz de red de la VM

Consulta el uso del firewall en la página Detalles de la interfaz de red de una VM.

Para obtener más información sobre esta página, consulta Enumera las reglas de firewall para una interfaz de red de una instancia de VM.

Ve reglas con hits en los últimos 24 meses

Consola

  1. En la consola de Google Cloud, ve a la página Instancias de VM de Compute Engine.

    Ir a Instancias de VM de Compute Engine

  2. Elige una VM y, en el extremo derecho de la página, haz clic en el menú de más acciones .

  3. En el menú, selecciona Ver detalles de red.

  4. En la sección Detalles de firewall y rutas, haz clic en la pestaña Reglas de firewall.

  5. En la columna Recuento de aciertos, observa los recuentos de aciertos del tráfico de allow y deny de los últimos 24 meses para todas las reglas de firewall asociadas con una interfaz de red específica.

gcloud y API

Firewall Insights usa comandos de recomendador. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud.

Ver estadísticas en la página Firewall

Para obtener más información sobre la página Firewall, consulta Enumera las reglas de firewall de una red de VPC.

Enumera las estadísticas de un proyecto

Consola

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a Firewall

  2. Para cada regla de firewall, visualiza el nombre de las estadísticas disponibles en la columna Estadísticas.

  3. Puedes hacer clic en el nombre de una estadística para ver los detalles. Las siguientes secciones describen cómo ver e interpretar los detalles para cada tipo de estadística.

Ver allow reglas sin hits en los últimos 24 meses

Consola

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a Firewall

  2. En la columna Último hit, revise la última vez que se usó una regla de firewall determinada en los últimos 24 meses.

gcloud y API

Firewall Insights usa comandos de recomendador. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud.

Ve el gráfico del historial de uso de una regla

Consola

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a Firewall

  2. Haz clic en el nombre de una regla de firewall.

  3. En la sección Supervisión de aciertos de la página, consulta el gráfico resultante que muestra el recuento de aciertos de firewall para un período determinado. Puedes seleccionar un intervalo para el gráfico de supervisión del recuento de aciertos.

gcloud y API

Firewall Insights usa comandos de recomendador. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud.

Ve reglas deny con hits para un período de observación

Consola

  1. En la consola de Google Cloud, ve a la página Firewall.

    Ir a Firewall

  2. En la columna Recuento de aciertos, ve la cantidad de conexiones únicas usadas para una regla de firewall en los últimos 24 meses (predeterminado).

gcloud y API

Firewall Insights usa comandos de recomendador. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud.

¿Qué sigue?