本页面介绍了防火墙数据分析的类别和状态。数据分析使用 google.compute.firewall.Insight
数据分析类型分析防火墙规则配置和使用情况。
数据分析类别
在防火墙数据分析中,数据分析分为下表中所述的两大类。
类别 | 说明 | 数据分析 |
---|---|---|
基于配置 | 数据分析是基于有关防火墙规则配置方式的数据生成的。 | 被覆盖的规则 |
基于日志 | 数据分析是基于有关防火墙规则使用情况的日志记录以及防火墙规则配置方式信息生成的。 |
过于宽松的规则
有命中的 |
每个数据分析子类型都有一个严重级别。例如,对于被覆盖的规则的数据分析,严重级别为 medium
。如需了解详情,请参阅 Recommender 文档中的严重级别。
数据分析状态
每个数据分析可以具有以下状态之一,您可以按照下表中的说明进行更改。
状态 | 说明 |
---|---|
ACTIVE |
数据分析很活跃。Google 会根据最新信息不断更新 ACTIVE 数据分析的内容。 |
DISMISSED |
数据分析被忽略,不再显示在任何活跃的数据分析列表上。您可以在已忽略的历史记录页面上将 如需了解详情,请参阅将数据分析标记为“已忽略”。 |
被覆盖的规则
被覆盖的规则会与优先级较高或相等的其他规则(称为优先规则)共享属性(例如 IP 地址)。防火墙数据分析用来分析 VPC 防火墙规则和防火墙政策,以检测被覆盖的规则。
- 对于分配给 VPC 网络的防火墙政策,您可以查看属于同一政策或任何其他政策的 VPC 规则覆盖的政策规则的数据分析。
- 分层防火墙政策、全球网络防火墙政策和 VPC 防火墙规则依据政策和规则评估顺序进行评估。例如,对于全局网络防火墙政策,您可能会根据规则评估顺序深入了解哪个全局网络防火墙政策规则被 VPC 防火墙规则覆盖。
- 如果您在全局网络防火墙政策中具有带安全标记的防火墙规则,则可以查看在同一全局防火墙政策中相互影响的那些规则的数据分析。如需了解详情,请参阅防火墙的标记。
防火墙数据分析不会识别所有可能的覆盖规则。具体而言,它无法确定其他防火墙规则中的多个标记是否已覆盖某个防火墙规则的标记。
被覆盖的规则的示例
在此示例中,一些被覆盖的规则和优先规则具有重叠的来源 IP 地址范围过滤条件,而其他规则的规则优先级则不同。
下表展示了防火墙规则 A
至 E
。对于不同的被覆盖的规则场景,请参阅表后面的部分。
防火墙 政策 |
类型 | 目标 | 过滤器 | 协议 或端口 |
操作 | 优先级 | |
---|---|---|---|---|---|---|---|
防火墙规则 A | X | Ingress | 应用到全部 | 10.10.0.0/16 | tcp:80 | 允许 | 1000 |
防火墙规则 B | 是 | Ingress | 应用到全部 | 10.10.0.0/24 | tcp:80 | 允许 | 1000 |
防火墙规则 C | - | Ingress | Web | 10.10.2.0/24 | tcp:80 tcp:443 | 允许 | 1000 |
防火墙规则 D | - | Ingress | Web | 10.10.2.0/24 | tcp:80 | 拒绝 | 900 |
防火墙规则 E | - | Ingress | Web | 10.10.2.0/24 | tcp:443 | 拒绝 | 900 |
示例 1:防火墙规则 A 覆盖了防火墙规则 B
在此示例中,有两条防火墙规则:A 和 B。这些规则几乎相同,只是它们的来源 IP 地址范围过滤条件不同。例如,A 的 IP 地址范围为 10.10.0.0/16
,而 B 的 IP 地址范围为 10.10.0.0/24
。因此,防火墙规则 B 被防火墙规则 A 覆盖。
shadowed firewall rules
数据分析通常表示防火墙配置错误,例如 A 的 IP 地址过滤条件设置较宽泛,或者 B 的过滤条件设置过于严格且不必要。
示例 2:防火墙规则 D 和 E 覆盖了防火墙规则 C
在此示例中,有三个防火墙规则:C、D 和 E。防火墙规则 C 允许 HTTP 端口 80
和 HTTPS 端口 443
网络流量入站,并且优先级为 1000
(默认优先级)。相比之下,防火墙规则 D 和 E 分别拒绝 HTTP 和 HTTPS 网络流量入站,它们的优先级均为 900
(高优先级)。因此,防火墙规则 C 被防火墙规则 D 和 E 一起覆盖。
示例 3:防火墙政策 Y 中的防火墙规则 B 被政策 X 中的防火墙规则 A 覆盖
在此示例中,有两条防火墙规则:A 和 B。防火墙规则 A 位于与 Folder1 关联的政策 X 中,而防火墙规则 B 位于与 Folder2 关联的政策 Y 中。Folder1 和 Folder2 位于同一组织节点下,并且 Folder2 是 Folder1 的子级。这两个规则几乎完全相同,只是其来源 IP 地址范围不同。此数据分析表明,政策 Y 中的防火墙规则 B 是不必要的,因为它已包含在政策 X 的防火墙规则 A 中。因此,政策 Y 中的防火墙规则 B 被政策 X 中的防火墙规则 A 覆盖。
示例 4:全局网络防火墙政策 Y 中的防火墙规则 B 被防火墙规则 A 覆盖
在此示例中,有两条防火墙规则:A 和 B。防火墙规则 A 和 B 都在 Network1 中,但防火墙规则 B 位于全局网络防火墙政策 Y 中。政策 Y 的防火墙政策强制执行顺序为 AFTER_CLASSIC_FIREWALLS
。这两个规则几乎完全相同,只是来源 IP 地址范围不同。此数据分析表明政策 Y 中的规则 B 是不必要的,因为它已经被规则 A 涵盖。因此,政策 Y 中的防火墙规则 B 被防火墙规则 A 覆盖。
有命中的拒绝规则
此数据分析详细介绍了在观察期内命中的 deny
规则。
这些数据分析可为您提供防火墙数据包丢弃信号。然后,您可以检查丢弃的数据包是由于安全保护而预期丢失的,还是由于网络配置错误而造成的。
过于宽松的规则
防火墙数据分析可全面分析防火墙规则是否过于宽松。此分析包括以下数据分析:
这些数据分析提供的数据来自防火墙规则日志记录。因此,只有在整个观察期间启用了防火墙规则日志记录时,此数据才是准确的。否则,每个数据分析类别中的规则数量可能高于指示的数量。
过于宽松的规则数据分析可以评估 TCP 和 UDP 流量。不会分析其他类型的流量。如需了解详情,请参阅每项数据分析的说明。
每个数据分析子类型都有一个严重级别。例如,对于过于宽松的规则数据分析,严重级别为 high
。如需了解详情,请参阅 Recommender 文档中的严重级别。
未命中的允许规则
此数据分析确定了观察期内没有命中的 allow
规则。
对于每条规则,您都可以查看机器学习预测,了解规则或属性未来是否可能会命中。此预测由机器学习分析生成,该分析会考虑此规则的历史流量模式和同一组织中类似规则。
为了帮助您理解预测结果,此数据分析会识别与数据分析所识别的规则位于同一项目中的类似规则。这些数据分析列出了这些规则的命中数并汇总了其配置详细信息。这些详细信息包括每条规则的优先级和属性,例如其 IP 地址和端口范围。
Allow rules with no hits
评估针对 TCP 和 UDP 流量强制执行的防火墙规则。如果防火墙规则允许任何其他类型的流量,则不包括在此分析中。
根据自适应分析判断为过时的允许规则
此数据分析根据使用模式和自适应分析确定很可能已失效的 allow
规则。此数据分析由机器学习分析基于过去六周的平均命中数和最近的命中数自适应分析生成。但是,如果自命中计数跟踪开始,规则一直处于无效状态,则它也可能会包含在数据分析中,直到规则再次生效。
例如,假设防火墙规则在观察期间的最后几周内频繁命中,然后在数天内停止命中。在这种情况下,您可能会看到该规则的数据分析,表明使用模式的变化。但是,系统会对防火墙规则进行分析,以找出不经常命中但有效的规则;这些有效规则不会显示在此数据分析中。
对于每条规则,如果机器学习分析将规则识别为无效规则,您可以在观察期结束之前,更快地查看基于自适应分析的数据分析。例如,即使您的观察期间为 12 个月,也可能会在观察期的第一周之后开始获得基于自适应分析的数据分析。
观察期间结束后,您就可以查看通过防火墙规则日志记录在整个观察期间收集的数据的数据分析。
具有未使用特性的允许规则
此数据分析识别 allow
规则,它们具有观察期内未命中的 IP 地址和端口范围等属性。
对于所识别的每条规则,此数据分析还会报告该规则今后是否可能会命中的概率。此预测基于机器学习预测,考虑了同一组织中此规则和类似规则的历史流量模式。
为了帮助您理解预测结果,数据分析汇总了同一项目中具有类似属性的其他防火墙规则。此摘要包含有关这些规则属性是否命中的数据。
Allow rules with unused attributes
仅评估针对 TCP 和 UDP 流量定义的属性。如果除 TCP 和 UDP 之外,规则还允许其他类型的流量,则该规则可以包含在此分析中。但是,不会分析属于其他类型的流量的属性。
例如,假设规则允许 TCP 和 ICMP 流量。如果允许的 IP 地址范围显示为未使用,则不会被视为未使用,因为您可能会将其用于 ICMP 流量。但是,如果同一规则具有未使用的 TCP 端口范围,则该规则被标记为过于宽松。
具有过于宽松的 IP 地址或端口范围的允许规则
此数据分析可以识别 IP 地址或端口范围过于宽泛的 allow
规则。
创建的防火墙规则通常具有比所需范围更广泛的范围。如果范围过于宽泛,则可能会导致安全风险。
此数据分析可通过分析防火墙规则的 IP 地址和端口范围的实际使用情况缓解此问题。对于范围过宽的规则,它还建议使用 IP 地址和端口范围的替代组合。通过这些信息,您可以移除观察期间基于流量模式不需要的端口范围。
Allow rules with overly permissive IP address or port ranges
仅评估针对 TCP 和 UDP 流量定义的属性。如果除 TCP 和 UDP 之外,规则还允许其他类型的流量,则该规则可以包含在此分析中。但是,不会分析属于其他类型的流量的属性。
例如,假设规则允许 TCP 和 ICMP 流量。如果允许的 IP 地址范围似乎仅被部分使用,数据分析不会将该 IP 地址范围标记为过于宽泛,因为该范围可能也会被用于 ICMP 流量。但是,如果同一规则的 TCP 端口范围仅被部分使用,那么该规则会被标记为过于宽松。
请注意,您的项目可能具有防火墙规则,允许从某些 IP 地址块进行访问以进行负载均衡器健康检查或其他 Google Cloud 功能。这些 IP 地址可能不会被命中,但不应从防火墙规则中移除。如需详细了解这些范围,请参阅 Compute Engine 文档。
机器学习预测
如前面部分所述,allow
规则(没有命中)和 allow
规则(具有未使用的属性),两个数据分析使用机器学习预测。
为了生成预测,防火墙数据分析会使用同一组织中的防火墙规则来训练机器学习模型。这样,防火墙数据分析就会学习常见模式。例如,防火墙数据分析会了解经常命中的属性组合。这些属性可能包括 IP 地址范围、端口范围和 IP 协议。
如果防火墙规则包含表明该规则可能被命中的常见模式,则防火墙数据分析对该规则将来可能被命中的置信度更高。反之亦然。
对于使用预测的每个数据分析,防火墙数据分析都会显示与数据分析所识别的规则类似的规则的详细信息。例如,在数据分析详情面板中,您可以查看与预测主题的规则最相似的三条规则的详细信息。这两条规则的属性之间的重叠越多,就会被视为越相似。
对于没有命中的 allow
规则,请参考以下示例:
假设规则 A 具有以下属性:
Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80
假设规则 B 具有以下属性:
Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80
这两条规则具有相同的目标标记、协议和端口属性。它们仅在来源属性方面有所不同。因此,它们被认为是类似的。
对于包含未使用属性的 allow
规则,会以相同方式确定相似度。对于此数据分析,防火墙数据分析在配置包含相同属性时会将规则视为相似。