防火牆深入分析能讓您瞭解並最佳化防火牆規則。這項功能會提供防火牆規則使用情形的深入分析、建議和指標。防火牆深入分析也會使用機器學習技術,預測未來的防火牆規則用量。
防火牆深入分析可協助您在最佳化防火牆規則時做出更明智的決策。舉例來說,防火牆洞察會找出並分類為過於寬鬆的規則。您可以利用這些資訊,進一步嚴格控管防火牆設定。
如果是防火牆政策,您可以深入瞭解與防火牆政策相關聯的防火牆規則。
深入分析
您可以運用深入分析資訊,分析防火牆規則設定,進而簡化防火牆規則。透過洞察功能,您可以找出與現有規則重疊的防火牆規則、沒有任何命中次數的規則,以及未使用的防火牆規則屬性,例如 IP 位址和通訊埠範圍。您可以取得下列洞察:
- 遭覆蓋的防火牆規則深入分析,這類資訊是根據您設定防火牆規則的方式而得。遭覆蓋的規則會與其他優先順序較高或相同的規則共用屬性,例如 IP 位址範圍。
- 過於寬鬆的規則深入分析,包括下列各項:
- 未命中的
Allow規則 - 根據適應性分析結果,有
Allow項規則已過時 - 有未發揮作用之屬性的
Allow規則 - 有過於寬鬆 IP 位址或通訊埠範圍的
Allow規則
- 未命中的
- 在觀察期間內未發揮作用的
Deny規則深入分析。
您可以根據這些深入分析資料執行下列工作:
- 找出含有 IPv4 或 IPv6 位址範圍的防火牆規則,並找出防火牆設定錯誤。
- 找出過於寬鬆的
allow規則,並查看未來使用情形的預測結果,藉此最佳化防火牆規則及加強安全性界限。
防火牆深入分析會使用 Recommender。詳情請參閱「洞察」一文。
指標
您可以透過防火牆深入分析,瞭解防火牆規則的使用情形。您可以使用 Cloud Monitoring 和 Google Cloud 控制台查看這些指標。
指標是從防火牆規則記錄檔衍生而來。只有啟用防火牆規則記錄功能的防火牆規則,才能使用這項功能。此外,只有符合防火牆規則記錄規格的流量,才會產生防火牆指標。舉例來說,系統只會記錄 TCP 和 UDP 流量的資料,並產生相關指標。如需完整條件清單,請參閱「防火牆規則記錄總覽」中的「規格」。
您可以透過防火牆深入分析指標執行下列工作:
- 確認防火牆規則的使用方式是否符合預期。
- 在指定期間內,確認防火牆規則允許或封鎖預期連線。
- 對因防火牆規則而意外捨棄的連線執行即時偵錯。
- 偵測惡意存取網路的嘗試,方法包括接收防火牆規則命中次數的重大變化快訊。
指標是由 Cloud Monitoring 產生。詳情請參閱「指標、時間序列和資源」。
查看指標和洞察資料的位置
您可以在下列 Google Cloud 控制台位置查看防火牆洞察指標和洞察資料:
Google Cloud 控制台中的 Firewall Insights 登陸頁面會提供所有洞察資訊的資訊卡。您也可以使用 Recommender API 或 Google Cloud CLI 查看深入分析結果。您可以使用 Cloud Monitoring 和Google Cloud 控制台,查看防火牆洞察指標。
後續步驟
- 如要開始使用防火牆深入分析,請參閱「角色和權限」。