本頁面說明 Firewall Insights 的類別和狀態。洞察會使用 google.compute.firewall.Insight 洞察類型,分析防火牆規則的設定和用量。
洞察類別
在防火牆深入分析中,洞察資訊可分為下表所述的兩個一般類別。
| 類別 | 說明 | 深入分析 |
|---|---|---|
| 以設定為準 | 系統會根據您設定防火牆規則的方式,產生洞察資訊。 | 遭覆蓋的規則 |
| 記錄式 | 系統會根據防火牆規則使用情形的記錄,以及您設定防火牆規則的方式,產生洞察資訊。 |
過於寬鬆的規則
有發揮作用的 |
每個洞察資料子類型都有嚴重性等級。舉例來說,對於隱藏規則深入分析資料,嚴重性等級為 medium。詳情請參閱建議工具說明文件中的「嚴重程度」。
洞察狀態
每項洞察資料都會屬於下列其中一種狀態,您可以根據下表說明進行變更。
| 狀態 | 說明 |
|---|---|
ACTIVE |
洞察已啟用。Google 會持續根據最新資訊更新 ACTIVE 洞察內容。 |
DISMISSED |
系統會關閉洞察,並不再向任何使用者顯示任何有效洞察清單。您可以在「已關閉的記錄」頁面中,將 詳情請參閱「將洞察資料標示為已略過」。 |
遭覆蓋的規則
遭覆蓋的規則會與優先順序較高或相同的其他規則共用屬性 (例如 IP 位址),這類規則稱為覆蓋規則。防火牆深入分析會分析您的虛擬私有雲防火牆規則和防火牆政策,以偵測這些遭覆蓋的規則。
- 針對指派給虛擬私有雲網路的防火牆政策,您可以查看同一個或任何其他政策中的 VPC 規則遮蔽政策規則的洞察資料。
- 階層式防火牆政策、全域網路防火牆政策和虛擬私有雲防火牆規則會根據政策和規則評估順序進行評估。舉例來說,在全球網路防火牆政策的情況下,您可以根據規則評估順序,深入瞭解哪些全球網路防火牆政策規則會遭到虛擬私有雲防火牆規則遮蔽。
- 如果全域網路防火牆政策中含有安全標記的防火牆規則,您可以查看這些規則在同一個全域防火牆政策中互相遮蔽的洞察資料。詳情請參閱「防火牆的標記」。
防火牆深入分析功能不會找出所有可能的遮蔽規則。具體來說,它不會指出其他防火牆規則中的多個代碼已遮蔽防火牆規則的代碼。
遭覆蓋的規則範例
在這個範例中,部分遮蔽和遮蔽規則的來源 IP 範圍篩選器重疊,而其他規則的優先順序則不同。
下表列出防火牆規則 A 到 E。如需瞭解不同遮蔽規則的情況,請參閱表格後方的各節。
| 防火牆 政策 |
類型 | 目標 | 篩選器 | 通訊協定 或通訊埠 |
動作 | 優先順序 | |
|---|---|---|---|---|---|---|---|
| 防火牆規則 A | X | Ingress | 全部套用 | 10.10.0.0/16 | tcp:80 | 允許 | 1000 |
| 防火牆規則 B | 是 | Ingress | 全部套用 | 10.10.0.0/24 | tcp:80 | 允許 | 1000 |
| 防火牆規則 C | - | Ingress | 網路 | 10.10.2.0/24 | tcp:80 tcp:443 | 允許 | 1000 |
| 防火牆規則 D | - | Ingress | 網路 | 10.10.2.0/24 | tcp:80 | 拒絕 | 900 |
| 防火牆規則 E | - | Ingress | 網路 | 10.10.2.0/24 | tcp:443 | 拒絕 | 900 |
範例 1:防火牆規則 B 遭到防火牆規則 A 覆蓋
在這個範例中,有兩個防火牆規則:A 和 B。除了來源 IP 位址範圍篩選器外,這些規則幾乎完全相同。舉例來說,A 的 IP 位址範圍是 10.10.0.0/16,而 B 的 IP 位址範圍是 10.10.0.0/24。因此,防火牆規則 B 會遭到防火牆規則 A 覆蓋。
shadowed firewall rules 洞察資料通常表示防火牆設定錯誤,例如 A 的 IP 位址篩選器設定太廣泛,或是 B 的篩選器設定過於嚴格且不必要。
範例 2:防火牆規則 C 遭到防火牆規則 D 和 E 覆蓋
在這個範例中,有三個防火牆規則:C、D 和 E。防火牆規則 C 允許 HTTP 通訊埠 80 和 HTTPS 通訊埠 443 的網路流量輸入,且具有 1000 的優先順序 (預設優先順序)。相反地,防火牆規則 D 和 E 分別拒絕 HTTP 和 HTTPS 網路流量的輸入,且兩者的優先順序皆為 900 (高優先順序)。因此,防火牆規則 C 會遭到防火牆規則 D 和 E 的組合覆蓋。
範例 3:防火牆政策 Y 中的防火牆規則 B 遭到政策 X 中的防火牆規則 A 覆蓋
在這個範例中,有兩個防火牆規則:A 和 B。防火牆規則 A 位於與資料夾 1 相關聯的政策 X 中,而防火牆規則 B 位於與資料夾 2 相關聯的政策 Y 中。Folder1 和 Folder2 都位於同一個機構節點下,且 Folder2 是 Folder1 的子項。除了來源 IP 位址範圍外,這兩個規則完全相同。這項洞察資料指出,政策 Y 中的防火牆規則 B 已無須使用,因為政策 X 中的防火牆規則 A 已涵蓋這項規則。因此,政策 Y 中的防火牆規則 B 會遭到政策 X 中的防火牆規則 A 覆蓋。
範例 4:全域網路防火牆政策 Y 中的防火牆規則 B 遭到防火牆規則 A 覆蓋
在這個範例中,有兩個防火牆規則:A 和 B。防火牆規則 A 和 B 都位於 Network1,但防火牆規則 B 位於全域網路防火牆政策 Y 中。政策 Y 的防火牆政策執行順序為 AFTER_CLASSIC_FIREWALLS。除了來源 IP 位址範圍,這兩個規則幾乎完全相同。這項洞察資料指出,政策 Y 中的規則 B 已無須使用,因為規則 A 已涵蓋該規則。因此,防火牆規則 A 會覆蓋政策 Y 中的防火牆規則 B。
發揮作用的拒絕規則
這項洞察會提供詳細資訊,說明在觀察期間有觸發的 deny 規則。
這些洞察資料可提供防火牆封包捨棄信號。接著,您可以檢查封包遭到捨棄的原因,是因為安全防護措施,還是網路設定錯誤。
過於寬鬆的規則
防火牆深入分析會提供全面分析,判斷防火牆規則是否過於寬鬆。這項分析包含下列洞察資料:
這些洞察資料來自防火牆規則記錄。因此,只有在您為整個觀察期間啟用防火牆規則記錄功能時,這項資料才會準確。否則,每個洞察類別中的規則數量可能會高於所示數量。
過於寬鬆的規則深入分析會評估 TCP 和 UDP 流量。系統不會分析其他類型的流量。詳情請參閱各項洞察資料的說明。
每個洞察資料子類型都有嚴重性等級。舉例來說,過於寬鬆的規則深入分析嚴重性等級為 high。詳情請參閱建議工具說明文件中的「嚴重程度」。
未命中的允許規則
這項洞察資訊會找出在觀察期間內未命中的 allow 規則。
針對每項規則,您可以查看機器學習預測,瞭解規則或屬性日後是否可能觸發。這項預測結果是透過機器學習分析產生,該分析會考量此規則和相同機構中類似規則的歷來流量模式。
為協助您瞭解預測結果,這項洞察會找出同一專案中與洞察所識別規則相似的規則。洞察資料會列出這些規則的命中次數,並摘要列出相關設定詳細資料。這些詳細資料包括每項規則的優先順序和屬性,例如 IP 位址和通訊埠範圍。
Allow rules with no hits 會評估針對 TCP 和 UDP 流量強制執行的防火牆規則。如果防火牆規則允許任何其他類型的流量,則不會納入這項分析。
根據適應性分析允許已淘汰的規則
這項洞察會根據使用模式和適應性分析,找出較不可能啟用的 allow 規則。這項洞察資訊是透過機器學習分析產生,系統會考量過去六週的平均命中次數和近期命中次數自適應分析。不過,如果自點擊次數追蹤功能啟用以來,規則從未啟用,則在規則再次啟用前,這項規則也可能會納入洞察資料中。
舉例來說,假設防火牆規則在觀察期間的最後幾週內經常觸發,但在幾天後就停止觸發。在這種情況下,您可能會看到該規則的這項洞察資料,表示使用模式有所變更。不過,系統會分析防火牆規則,找出不常觸發但仍處於有效狀態的規則;這些有效規則不會顯示在這項洞察資料中。
對於每項規則,如果機器學習分析系統判定規則為無效,您就能在觀察期結束前,更快地查看以自適應分析為基礎的洞察資料。舉例來說,即使觀察期為 12 個月,您還是可以在觀察期的第一週開始取得以自適應分析為基礎的洞察資料。
觀察期結束後,您可以查看根據整個觀察期內透過防火牆規則記錄功能收集到的資料所產生的洞察資料。
有未發揮作用之屬性的允許規則
這項洞察資訊會找出在觀察期間未觸及 IP 位址和通訊埠範圍等屬性的 allow 規則。
針對每項識別的規則,這項洞察資料也會回報未來觸發規則的機率。這項預測結果是根據機器學習預測而得,系統會考量這個規則和同一機構中類似規則的歷來流量模式。
為協助您瞭解預測結果,這項洞察會匯總同一專案中具有類似屬性的其他防火牆規則。這份摘要包含資料,說明這些規則的屬性是否已觸及。
Allow rules with unused attributes 只會評估為 TCP 和 UDP 流量定義的屬性。如果規則允許 TCP 和 UDP 以外的其他類型流量,則可將該規則納入這項分析。不過,系統不會分析其他類型流量的屬性。
舉例來說,假設規則允許 TCP 和 ICMP 流量。如果允許的 IP 位址範圍似乎未使用,系統不會將其視為未使用,因為您可能會將其用於 ICMP 流量。不過,如果同一個規則含有未使用的 TCP 通訊埠範圍,系統會將該規則標示為過於寬鬆。
有過於寬鬆 IP 位址或埠範圍的允許規則
這項洞察會找出可能設有過於寬鬆 IP 位址或通訊埠範圍的 allow 規則。
防火牆規則的建立範圍通常比必要的範圍更廣泛。範圍過廣可能會導致安全性風險。
這項洞察會分析防火牆規則的 IP 位址和連接埠範圍實際用途,協助您解決這個問題。對於範圍過廣的規則,也會建議其他 IP 位址和通訊埠範圍組合。有了這項資訊,您就可以根據觀察期間的流量模式移除不必要的連接埠範圍。
Allow rules with overly permissive IP address or port ranges 只會評估為 TCP 和 UDP 流量定義的屬性。如果規則允許 TCP 和 UDP 以外的其他類型流量,則可將該規則納入這項分析。不過,系統不會分析其他類型流量的屬性。
舉例來說,假設規則允許 TCP 和 ICMP 流量。如果允許的 IP 位址範圍似乎只使用了部分範圍,洞察資料就不會將 IP 位址範圍標示為過於廣泛,因為 IP 位址範圍可能會用於 ICMP 流量。不過,如果同一個規則的 TCP 通訊埠範圍只使用部分通訊埠,就會被標示為過於寬鬆。
請注意,您的專案可能有防火牆規則,允許來自特定 IP 位址區塊的存取權,用於負載平衡器健康狀態檢查或其他Google Cloud 功能。這些 IP 位址可能不會受到影響,但不應從防火牆規則中移除。如要進一步瞭解這些範圍,請參閱 Compute Engine 說明文件。
機器學習預測
如前面幾節所述,兩項洞察資料 (allow 規則沒有命中和 allow 規則有未發揮作用的屬性) 都會使用機器學習預測功能。
為了產生預測結果,Firewall Insights 會使用同一機構的防火牆規則訓練機器學習模型。如此一來,防火牆深入分析就能學習常見的模式。舉例來說,防火牆深入分析會瞭解哪些屬性組合容易遭到攻擊。這些屬性可包括 IP 位址範圍、通訊埠範圍和 IP 通訊協定。
如果防火牆規則包含常見模式,顯示規則可能會觸發,防火牆深入分析功能就會更有信心判斷規則日後可能會觸發。反之亦然。
對於每項使用預測功能的洞察資訊,防火牆洞察會顯示與洞察資訊所識別規則相似的規則詳細資料。舉例來說,您可以在「洞察詳細資料」面板中,查看與預測主題最相似的三個規則詳細資料。兩個規則的屬性重疊越多,系統就會認為兩者越相似。
對於未命中的 allow 規則,請參考以下範例:
假設規則 A 具有下列屬性:
Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80
假設規則 B 具有下列屬性:
Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80
這兩個規則共用相同的目標代碼、通訊協定和通訊埠屬性。兩者唯一的差異在於來源屬性。因此,系統會將兩者視為相似。
對於有未發揮作用之屬性的 allow 規則,系統會以相同方式判斷相似性。針對這項洞察資料,防火牆深入分析會將設定包含相同屬性的規則視為相似。