Mit Firewall Insights können Sie die Nutzungsmuster Ihrer Firewallregeln besser nachvollziehen. Anhand dieser Informationen können Sie Entscheidungen zum Entfernen oder Ändern von Firewallregeln treffen, um Ihre Firewallkonfiguration zu vereinfachen und zu sichern.
Sie können sich die folgenden Statistiken auf der Seite Firewall Insights in der Google Cloud Console sowie an mehreren anderen Stellen in der Google Cloud Console ansehen:
- Verdeckte Firewallregeln:Mit dieser Funktion können Sie Firewallregeln identifizieren, die sich mit vorhandenen Regeln überschneiden.
- Zu moderate Regeln:Sie können
allow-Regeln ohne Treffer, nicht verwendete Attribute oder zu moderate IP-Adress- oder Portbereiche ermitteln. - Ablehnungsregeln:Hier finden Sie Details zu
denyRegeln, die während des konfigurierten Beobachtungszeitraums zur Anwendung kamen.
Statistiken für zu moderate Regeln und Regeln vom Typ „Abgelehnt“ werden anhand der Daten generiert, die im Zeitraum mit aktiviertem Logging für Firewallregeln erfasst wurden.
Auf der Seite „Firewall Insights“ in der Google Cloud Console enthält jede Karte mit den Statistiken eine Liste aller Regeln in Ihrem Projekt, die die Kriterien der Statistik erfüllen.
Wenn Sie die Ergebnisse auf ein VPC-Netzwerk beschränken möchten, wählen Sie über die Filterleiste oben auf der Seite ein Netzwerk aus.
Weitere Informationen finden Sie unter Hier können Sie Messwerte und Statistiken aufrufen.
In den folgenden Abschnitten wird beschrieben, wie Sie die einzelnen Informationen aufrufen.
Erforderliche Rollen und Berechtigungen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Aufrufen von Statistiken benötigen:
-
Firewall Recommender Admin (
roles/recommender.firewallAdmin) -
Firewall Recommender-Betrachter (
roles/recommender.firewallViewer)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierte Rolle enthält die Berechtigung recommender.computeFirewallInsights.list, die zum Aufrufen von Statistiken erforderlich ist.
Sie können diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Verdeckte Firewallregeln ansehen
Weitere Informationen zu dieser Statistik finden Sie unter Verdeckte Regeln.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte Verdeckte Regeln auf Vollständige Liste anzeigen. In der Google Cloud Console wird die Seite Verdeckte Regeln angezeigt, auf der alle VPC-Netzwerke aufgeführt sind.
Für jedes VPC-Netzwerk in Ihrem Projekt sehen Sie die Statistiken für hierarchische Firewallrichtlinien, globale Netzwerk-Firewallrichtlinien und VPC-Firewallregeln sowie die Priorität der Regel. In der Spalte Statistik für jede Regel finden Sie eine Zusammenfassung, warum die Regel als verdeckte Regel identifiziert wurde.
Optional: Sie können die Ergebnisse in der Liste anhand des Regelnamens, der Priorität und des Richtliniennamens eingrenzen.
Klicken Sie auf die Statistik, um weitere Details zu der verdeckten Regel und den Regeln, die sie verdecken, aufzurufen.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst mit Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste.
allow-Regeln ohne Treffer ansehen
Weitere Informationen zu dieser Statistik finden Sie unter Zulassungsregeln ohne Treffer.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte Regeln ohne Treffer zulassen auf Vollständige Liste ansehen. In der Google Cloud Console wird die Seite Zulassungsregeln ohne Treffer angezeigt. Auf dieser Seite werden alle VPC-Netzwerke aufgeführt, die während des Beobachtungszeitraums Regeln ohne Treffer hatten.
In der Spalte Statistik für jede Regel wird angezeigt, ob die Firewallregel während des Beobachtungszeitraums keine Treffer hatte. In der Spalte Future-Treffervorhersage wird eine Vorhersage der zukünftigen Nutzung basierend auf Firewallregeln in derselben Organisation angezeigt.
Optional: Sie können die Ergebnisse in der Liste anhand des Regelnamens, der Priorität und des Richtliniennamens eingrenzen.
Führen Sie für jede Regel in der Liste eine der folgenden Schritte aus:
- Klicken Sie auf den Namen der Regel, um die Seite Details zu Firewallregeln für die Regel aufzurufen.
- Klicken Sie auf Audit-Log ansehen, um das Logging für die Regel aufzurufen.
- Klicken Sie auf den Link in der Spalte Statistik, um Details zur Vorhersage aufzurufen. Der Bereich Statistikdetails wird angezeigt. Im Bereich werden die Hauptmerkmale der Regel beschrieben. Außerdem werden andere Regeln im Projekt mit ähnlichen Attributen beschrieben.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst mit Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste.
allow Regeln aufrufen, die aufgrund einer adaptiven Analyse veraltet sind
Sie können sich allow Regeln ansehen, die aufgrund von Nutzungsmustern und adaptiver Analyse mit geringerer Wahrscheinlichkeit aktiv sind.
Weitere Informationen zu dieser Statistik finden Sie unter Zulassungsregeln, die aufgrund einer adaptiven Analyse veraltet sind.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte Zulassungsregeln ohne Treffer (adaptive Analyse) auf Vollständige Liste ansehen. Die Seite Zulassungsregeln ohne Treffer (adaptive Analyse) wird geöffnet. Auf der Seite werden alle VPC-Netzwerke aufgeführt, für die Regeln festgelegt wurden, die wahrscheinlich nicht mehr verwendet werden.
In der Spalte Statistik für jede Regel wird basierend auf einer adaptiven Analyse der bisherigen Trefferanzahl der Regel angezeigt, ob die Firewallregel nicht mehr aktiv ist.
Optional: Sie können die Ergebnisse in der Liste anhand des Regelnamens, der Priorität und des Richtliniennamens eingrenzen.
Führen Sie für jede Regel in der Liste eine der folgenden Schritte aus:
- Klicken Sie auf den Namen der Regel, um die Seite Details zu Firewallregeln für die Regel aufzurufen.
- Klicken Sie auf Audit-Log ansehen, um das Logging für die Regel aufzurufen.
- Klicken Sie auf den Link in der Spalte Statistik, um Details zur Vorhersage aufzurufen.
Auf der Seite Statistikdetails werden die Hauptmerkmale der Regel beschrieben. Im Bereich Adaptive Analyse sehen Sie das Datum des letzten Treffers der Regel und die durchschnittliche Anzahl der täglichen Treffer, bevor die Regel inaktiv wurde.
Klicken Sie auf Abbrechen, um die Seite Details zur Statistik zu schließen.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst mit Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste.
allow-Regeln mit nicht verwendeten Attributen aufrufen
Weitere Informationen zu dieser Statistik finden Sie unter Zulassungsregeln mit nicht verwendeten Attributen.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte Zulassungsregeln mit nicht verwendeten Attributen auf Vollständige Liste ansehen. Als Antwort wird in der Google Cloud Console die Seite Zulassungsregeln mit nicht verwendeten Attributen angezeigt. Auf dieser Seite werden alle VPC-Netzwerke mit Regeln aufgelistet, deren Attribute während des Beobachtungszeitraums nicht verwendet wurden.
Die Spalte Statistik für jede Regel zeigt die Anzahl der Attribute, die während des Beobachtungszeitraums nicht verwendet wurden.
Optional: Sie können die Ergebnisse in der Liste anhand des Regelnamens, der Priorität und des Richtliniennamens eingrenzen.
Führen Sie für jedes VPC-Netzwerk in der Liste eine der folgenden Aktionen aus:
- Klicken Sie auf den Namen der Regel, um die Seite Details zu Firewallregeln für die Regel aufzurufen.
- Klicken Sie auf Audit-Log ansehen, um das Logging für die Regel aufzurufen.
- Klicken Sie auf den Link für die Vorhersage, um Details zur Vorhersage aufzurufen. Der Bereich Statistikdetails wird angezeigt. Im Bereich werden die Hauptmerkmale der Regel beschrieben. Außerdem werden andere Regeln im Projekt mit ähnlichen Attributen beschrieben.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst mit Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste.
allow-Regeln mit zu moderaten IP-Adress- oder Portbereichen aufrufen
Weitere Informationen zu dieser Statistik finden Sie unter Zulassungsregeln mit zu moderaten IP-Adressen oder Portbereichen.
Beachten Sie, dass Ihr Projekt Firewallregeln enthalten kann, die den Zugriff von bestimmten IP-Adressblöcken für Load-Balancer-Systemdiagnosen oder für andere Google Cloud-Funktionen zulassen. Diese IP-Adressen sind zwar nicht betroffen, sollten aber nicht aus Ihren Firewall-Regeln entfernt werden. Weitere Informationen zu diesen Bereichen finden Sie in der Compute Engine-Dokumentation.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte mit dem Namen Zulassungsregeln mit zu moderaten IP-Adressen oder Portbereichen auf Vollständige Liste anzeigen. In der Google Cloud Console wird eine Liste aller Regeln angezeigt, die während des Beobachtungszeitraums zu moderate Bereiche hatten.
Führen Sie für jede Regel in der Liste eine der folgenden Schritte aus:
- Klicken Sie auf den Namen der Regel, um die Seite Details zu Firewallregeln für eine Regel aufzurufen.
- Klicken Sie auf Audit-Log ansehen, um das Logging für die Regel aufzurufen.
- Um Vorschläge zum Eingrenzen des Bereichs anzuzeigen, klicken Sie auf den Link in der Spalte Statistik. Der Bereich Statistikdetails wird angezeigt. Im Bereich werden die Hauptmerkmale der Regel beschrieben. Es werden enger definierte IP-Adressen oder Portbereiche vorgeschlagen, die Sie verwenden können.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst mit Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste.
deny-Regeln mit Treffern aufrufen
Weitere Informationen zu dieser Statistik finden Sie unter Deny-Regeln mit Treffern.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte mit dem Namen Deny-Regeln mit Treffern auf Vollständige Liste ansehen. Als Antwort wird in der Google Cloud Console die Seite Deny-Regeln mit Treffern angezeigt. Auf dieser Seite werden alle VPC-Netzwerke mit
deny-Regeln aufgelistet, die während des Beobachtungszeitraums Treffer hatten.Um die von einer Firewall verworfenen Pakete zu prüfen, klicken Sie auf Trefferanzahl.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst mit Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste.
Statistiken auf der Detailseite der VM-Netzwerkschnittstelle aufrufen
Rufen Sie auf der Seite Details zur Netzwerkschnittstelle die Firewallnutzung für eine VM auf.
Weitere Informationen finden Sie unter Firewallregeln für eine Netzwerkschnittstelle einer VM-Instanz auflisten.
Regeln mit Treffern in den letzten 24 Stunden ansehen
Console
Öffnen Sie in der Google Cloud Console die Seite Compute Engine-VM-Instanzen:
Wählen Sie in den Suchergebnissen für eine VM-Schnittstelle eine VM aus und klicken Sie auf das Menü Weitere Aktionen.
Wählen Sie im Menü Netzwerkdetails anzeigen aus.
Klicken Sie auf der Seite Firewall- und Routendetails auf den Tab Firewallregeln.
In der Spalte Trefferzahl wird die Trefferzahl für
allow- unddeny-Traffic in den letzten 24 Monaten für alle Firewallregeln angezeigt, die einer bestimmten Netzwerkschnittstelle zugeordnet sind.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst mit Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste.
Informationen auf der Seite „Firewall“ aufrufen
Weitere Informationen zur Seite Firewall finden Sie unter VPC-Firewallregeln für ein VPC-Netzwerk auflisten.
Informationen zu einem Projekt auflisten
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Sehen Sie sich für jede Firewallregel den Namen der verfügbaren Statistiken in der Spalte Statistiken an.
Sie können auf den Namen einer Statistik klicken, um die Details aufzurufen.
In den folgenden Abschnitten wird beschrieben, wie Sie die Details für jede Art von Statistik aufrufen und deuten.
allow-Regeln ohne Treffer in den letzten 24 Monaten ansehen
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Sehen Sie in der Spalte Letzter Treffer nach, wann eine bestimmte Firewallregel in den letzten 24 Monaten das letzte Mal verwendet wurde.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst mit Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste.
Diagramm zum Nutzungsverlauf einer Regel aufrufen
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
Klicken Sie auf den Namen einer Firewallregel.
Rufen Sie im Abschnitt Trefferzahl-Überwachung der Seite das resultierende Diagramm mit der Anzahl der Firewall-Treffer für einen bestimmten Zeitraum auf. Sie können ein Zeitintervall für das Diagramm zur Überwachung der Trefferanzahl auswählen.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst mit Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste.
deny-Regeln mit Treffern für einen Beobachtungszeitraum aufrufen
Console
Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.
In der Spalte Trefferzahl sehen Sie die Anzahl der einzelnen Verbindungen, die in den letzten 24 Monaten (Standardeinstellung) für eine bestimmte Firewallregel verwendet wurden.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud-Dienst mit Nutzungsempfehlungen für Google Cloud-Produkte und -Dienste.
Nächste Schritte
- Statistiken verwalten und exportieren
- Firewallregeln prüfen und optimieren
- Statistiken im Dashboard des Empfehlungs-Hubs ansehen