本頁面說明如何啟用 Firewall Insights 所需的 API 和功能。
使用 Firewall Insights 前,請選取專案,確認您具備必要的角色和權限,然後完成必要的設定工作。如要進一步瞭解前兩個步驟,請參閱「角色和權限」。
設定工作會因您要使用的指標和洞察而有所不同。詳情請參閱下表。
| 工作 | 所有指標 | 覆蓋規則深入分析資訊 | 過於寬鬆的規則深入分析 | 發揮作用的拒絕規則 |
|---|---|---|---|---|
| 啟用 Firewall Insights API | ✔ | ✔ | ✔ | ✔ |
| 啟用防火牆規則記錄 | ✔ | ✔ | ✔ | |
| 啟用 Recommender API | ✔ | ✔ | ||
| 啟用這類洞察資料 | ✔ | ✔ | ||
| 設定觀察期間 | ✔ | ✔ | ||
| 設定自訂重新整理週期 | ✔ |
以下各節將說明如何啟用 API 和功能。
啟用 Firewall Insights API
您必須先啟用 Firewall Insights API,才能使用 Firewall Insights 執行任何工作。
如要啟用 API,您可以使用下列步驟或 Google Cloud 控制台 API 程式庫,詳情請參閱 Cloud API 說明文件中的「啟用 API」一節。
主控台
在 Google Cloud 控制台中,前往「Firewall Insights」頁面。
在「Firewall Insights API」頁面中,按一下「啟用」。
gcloud
使用下列指令:
gcloud services enable firewallinsights.googleapis.com
啟用防火牆規則記錄
如要查看下列任何項目,您必須啟用防火牆規則記錄:
- 防火牆規則指標
- 過於寬鬆的規則或
deny規則的深入分析資訊;這些洞察資訊統稱為「以記錄為依據的洞察資訊」
防火牆深入分析功能只會針對已啟用記錄功能的規則產生指標和以記錄為基礎的洞察資料。詳情請參閱「防火牆規則記錄總覽」。
啟用 Recommender API
啟用 Recommender API 可執行下列操作:
- 使用覆蓋規則深入分析
- 使用過於寬鬆規則的深入分析
透過 API 呼叫或使用 Google Cloud CLI 擷取任何資料
主控台
前往 Google Cloud 控制台的「Enable access to API」頁面。
確認已選取正確的專案,然後按一下「下一步」。
按一下「啟用」。
gcloud
使用下列指令:
gcloud services enable recommender.googleapis.com
啟用遭到覆蓋的規則或過於寬鬆規則的深入分析
除非您在「防火牆深入分析」頁面上主動啟用這些功能,否則「防火牆深入分析」不會產生遭覆蓋或過於寬鬆的規則深入分析。
啟用這兩項功能後,您可能需要等待最多 48 小時,才能查看產生的洞察資料。
建立或更新防火牆規則後,您可能需要等待最多十天,才能查看機器學習預測結果,瞭解過度寬鬆的規則洞察。在此期間,您可以查看根據防火牆規則記錄功能收集到的資料產生的洞察資料。
主控台
在 Google Cloud 控制台中,前往「Firewall Insights」頁面。
按一下「設定」。
按一下「啟用」。
視情況將滑桿移至「已啟用」或「已停用」,以便針對下列其中一項或兩者進行設定:
覆蓋規則深入分析資訊
過於寬鬆的規則深入分析
API
您可以使用 Recommender API 啟用或停用覆蓋規則深入分析和過於寬鬆規則的深入分析。您也可以使用 API 設定過於寬鬆規則的深入分析觀測期間,並擷取設定詳細資料。
如要啟用覆蓋規則深入分析和過於寬鬆規則的深入分析,請使用 updateConfig 方法。
如要使用 updateConfig 方法,您必須為其所有參數設定值。啟用或停用洞察時,您也必須設定過於寬鬆洞察的觀測期間。
如要進行這類更新,請使用下列要求。
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
"enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
"enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
}
},
"etag": "\"ETAG\"",
}
替換下列值:
- PROJECT_ID:專案 ID
- OBSERVATION_PERIOD_OVERLY_PERMISSIVE:過於寬鬆規則深入分析的觀察期間,以秒為單位
- ENABLEMENT_SHADOWED:布林值,表示是否已啟用遭覆蓋規則的深入分析
- ENABLEMENT_OVERLY_PERMISSIVE:布林值,表示是否已啟用過於寬鬆規則的洞察資料
- ETAG:IAM 政策 etag 值;如要擷取 etag 值,請使用
getConfig方法,如以下章節所述
範例
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "604800s",
"enable_shadowed_rule_insights": true,
"enable_overly_permissive_rule_insights": true
}
},
"etag": "\"ETAG\"",
}
擷取設定詳細資料
如要擷取防火牆洞察的設定詳細資料,請使用 getConfig 方法,如以下範例所示。
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
設定觀察期
針對部分洞察資料,您可以設定觀察期,也就是洞察資料涵蓋的時間間隔。詳情請參閱「設定觀察期和重新整理週期」一文中的「設定觀察期」。
排定自訂重新整理週期
您可以設定重新整理週期,為專案產生遭覆蓋規則深入分析。詳情請參閱「設定觀察期間和重新整理週期」一文中的「排定自訂重新整理週期」。