防火牆深入分析能讓您瞭解並最佳化防火牆規則。這項功能可提供防火牆規則使用情形的洞察資訊、建議和指標。防火牆洞察也運用機器學習技術,預測未來的防火牆規則用量。
防火牆深入分析可讓您在最佳化防火牆規則時做出更明智的決策。舉例來說,防火牆深入分析功能會找出歸類為過於寬鬆的規則。您可以利用這些資訊,讓防火牆設定更加嚴格。
針對防火牆政策,您可以深入瞭解與防火牆政策相關聯的防火牆規則。
深入分析
您可以使用洞察資料分析防火牆規則設定,並簡化防火牆規則。深入分析功能可協助您找出與現有規則重疊的防火牆規則、未命中的規則,以及未使用的防火牆規則屬性 (例如 IP 位址和通訊埠範圍)。您可以取得下列洞察資料:
- 遭覆蓋的防火牆規則深入分析,這是根據您設定防火牆規則的方式所產生的資料。遭覆蓋的規則會與優先順序較高或相同的其他規則共用屬性,例如 IP 位址範圍。
- 過於寬鬆的規則深入分析,包括下列各項:
- 未命中的
Allow規則 Allow規則已過時 (根據適應性分析)- 有未發揮作用之屬性的
Allow規則 Allow規則的 IP 位址或通訊埠範圍過於寬鬆
- 未命中的
Deny規則深入分析資訊,在觀察期間內未發揮任何作用。
您可以利用這些洞察資料執行下列工作:
- 找出含有 IPv4 或 IPv6 位址範圍的防火牆規則,並修正防火牆設定錯誤。
- 找出過度寬鬆的
allow規則,並查看未來使用情況的預測結果,藉此最佳化防火牆規則並加強安全性界限。
防火牆洞察會使用 Recommender。詳情請參閱「深入分析」。
指標
防火牆深入分析可讓您分析防火牆規則的使用方式。您可以同時使用 Cloud Monitoring 和 Google Cloud 控制台來查看這些指標。
指標來自防火牆規則記錄,這項功能僅適用於已啟用防火牆規則記錄功能的防火牆規則。此外,只有符合防火牆規則記錄規格的流量,才會產生防火牆指標。舉例來說,系統只會針對 TCP 和 UDP 流量記錄資料並產生指標。如需完整的條件清單,請參閱「防火牆規則記錄」總覽中的「規格」。
您可以使用防火牆深入分析指標執行下列工作:
- 確認防火牆規則是否按照預期方式使用。
- 在指定期間內,確認防火牆規則是否允許或封鎖預期的連線。
- 針對防火牆規則不慎捨棄的連線,執行即時偵錯。
- 透過防火牆規則命中次數的重大變化快訊,發現惡意存取網路的企圖。
指標是由 Cloud Monitoring 產生。詳情請參閱「指標、時間序列和資源」一文。
查看指標和洞察資料的位置
您可以在下列 Google Cloud 控制台位置查看防火牆洞察指標和洞察資料:
Google Cloud 控制台的 Firewall Insights 到達頁面會提供所有洞察資訊的資訊卡。您也可以使用 Recommender API 或 Google Cloud CLI 查看洞察資料。您可以使用 Cloud Monitoring 和Google Cloud 主控台查看 Firewall Insights 指標。
後續步驟
- 如要開始使用防火牆深入分析,請參閱「角色和權限」。