Firewall Insights hilft Ihnen, die Nutzungsmuster Ihrer Firewallregeln zu verstehen. Anhand dieser Informationen können Sie Entscheidungen zum Entfernen oder Ändern von Firewallregeln treffen, um Ihre Firewallkonfiguration zu vereinfachen und zu schützen.
Sie können die folgenden Statistiken auf der Seite Firewall Insights in der Google Cloud Console und an mehreren anderen Stellen in der Google Cloud Console ansehen:
- Verdeckte Firewallregeln:Mit dieser Funktion können Sie Firewallregeln identifizieren, die sich mit vorhandenen Regeln überschneiden.
- Zu moderate Regeln:Mit dieser Funktion können Sie
allow-Regeln ohne Treffer, nicht verwendete Attribute oder zu moderate IP-Adress- oder Portbereiche ermitteln. - Ablehnungsregeln:Hier finden Sie Details zu
deny-Regeln, die während des konfigurierten Beobachtungszeitraums zur Anwendung kamen.
Statistiken für zu moderate Regeln und Ablehnungsregeln werden anhand von Daten generiert, die im Zeitraum mit aktiviertem Logging für Firewallregeln erfasst werden.
Auf der Seite „Firewall Insights“ in der Google Cloud Console enthält jede Karte mit den Statistiken eine Liste aller Regeln in Ihrem Projekt, die die Statistik-Kriterien erfüllen.
Wenn Sie die Ergebnisse auf ein VPC-Netzwerk beschränken möchten, wählen Sie über die Filterleiste oben auf der Seite ein Netzwerk aus.
Weitere Informationen finden Sie unter Hier können Sie Messwerte und Statistiken ansehen.
In den folgenden Abschnitten wird beschrieben, wie Sie die einzelnen Informationen aufrufen.
Erforderliche Rollen und Berechtigungen
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für das Projekt zuzuweisen, um die Berechtigung zum Aufrufen von Statistiken zu erhalten:
-
Firewall Recommender Admin (
roles/recommender.firewallAdmin) -
Firewall Recommender Viewer (
roles/recommender.firewallViewer)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Diese vordefinierte Rolle enthält die Berechtigung recommender.computeFirewallInsights.list, die zum Aufrufen von Statistiken erforderlich ist.
Sie können diese Berechtigung auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.
Verdeckte Firewallregeln ansehen
Weitere Informationen zu dieser Statistik finden Sie unter Verdeckte Regeln.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte Verdeckte Regeln auf Vollständige Liste anzeigen. In derGoogle Cloud -Konsole wird die Seite Verdeckte Regeln angezeigt, auf der alle VPC-Netzwerke aufgeführt sind.
Für jedes VPC-Netzwerk in Ihrem Projekt können Sie die Statistiken für hierarchische Firewallrichtlinien, globale Netzwerk-Firewallrichtlinien und VPC-Firewallregeln sowie die Priorität der Regel aufrufen. In der Spalte Insight für jede Regel finden Sie eine Zusammenfassung, warum die Regel als verdeckte Regel identifiziert wurde.
Optional: Verwenden Sie Filter, um die Ergebnisse in der Liste nach Regelname, Priorität und Richtlinienname einzugrenzen.
Klicken Sie auf die Statistik, um weitere Details zu der verdeckten Regel und den Regeln, die sie verdecken, aufzurufen.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud Dienst, der Nutzungsempfehlungen für Google Cloud Produkte und ‑Dienste bietet.
allow-Regeln ohne Treffer ansehen
Weitere Informationen zu dieser Statistik finden Sie unter Zulassungsregeln ohne Treffer.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte Regeln ohne Treffer zulassen auf Vollständige Liste ansehen. In der Google Cloud Console wird die Seite Zulassungsregeln ohne Treffer angezeigt. Auf dieser Seite werden alle VPC-Netzwerke aufgelistet, die während des Beobachtungszeitraums Regeln ohne Treffer hatten.
In der Spalte Insight für jede Regel wird angezeigt, ob die Firewallregel während des Beobachtungszeitraums keine Treffer hatte. In der Spalte Future-Treffervorhersage wird eine Vorhersage der zukünftigen Nutzung basierend auf Firewallregeln in derselben Organisation angezeigt.
Optional: Verwenden Sie Filter, um die Ergebnisse in der Liste nach Regelname, Priorität und Richtlinienname einzugrenzen.
Führen Sie für jede Regel in der Liste eine der folgenden Schritte aus:
- Klicken Sie auf den Namen der Regel, um die Seite Details zu Firewallregeln für die Regel aufzurufen.
- Klicken Sie auf Audit-Log ansehen, um das Logging für die Regel aufzurufen.
- Wenn Sie Details zur Vorhersage aufrufen möchten, klicken Sie auf den Link in der Spalte Insight. Der Bereich Statistikdetails wird angezeigt. In diesem Bereich werden die Hauptattribute der Regel beschrieben. Außerdem werden andere Regeln im Projekt mit ähnlichen Attributen beschrieben.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud Dienst, der Nutzungsempfehlungen für Google Cloud Produkte und ‑Dienste bietet.
allow-Regeln aufrufen, die basierend auf der adaptiven Analyse überholt sind
Sie können allow-Regeln ansehen, die basierend auf Nutzungsmustern und adaptiver Analyse weniger wahrscheinlich aktiv sind.
Weitere Informationen zu dieser Statistik finden Sie unter Zulassungsregeln, die auf adaptiver Analyse basieren und veraltet sind.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte Zulassungsregeln ohne Treffer (adaptive Analyse) auf Vollständige Liste ansehen. Die Seite Zulassungsregeln ohne Treffer (adaptive Analyse) wird geöffnet. Auf der Seite werden alle VPC-Netzwerke aufgeführt, für die Regeln vorhanden sind, die wahrscheinlich nicht mehr verwendet werden.
In der Spalte Insight für jede Regel wird angezeigt, ob die Firewallregel basierend auf der adaptiven Analyse des Verlaufs der Trefferanzahl der Regel nicht mehr aktiv ist.
Optional: Verwenden Sie Filter, um die Ergebnisse in der Liste nach Regelname, Priorität und Richtlinienname einzugrenzen.
Führen Sie für jede Regel in der Liste eine der folgenden Schritte aus:
- Klicken Sie auf den Namen der Regel, um die Seite Details zu Firewallregeln für die Regel aufzurufen.
- Klicken Sie auf Audit-Log ansehen, um das Logging für die Regel aufzurufen.
- Wenn Sie Details zur Vorhersage aufrufen möchten, klicken Sie auf den Link in der Spalte Insight.
Auf der Seite Details zur Statistik werden die Hauptattribute der Regel beschrieben. Im Abschnitt Adaptive Analyse sehen Sie das Datum des letzten Treffers der Regel und die durchschnittliche tägliche Anzahl von Treffern, bevor die Regel nicht mehr aktiv war.
Klicken Sie auf Abbrechen, um die Seite Details zur Statistik zu schließen.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud Dienst, der Nutzungsempfehlungen für Google Cloud Produkte und ‑Dienste bietet.
allow-Regeln mit nicht verwendeten Attributen aufrufen
Weitere Informationen zu dieser Statistik finden Sie unter Zulassungsregeln mit nicht verwendeten Attributen.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte Zulassungsregeln mit nicht verwendeten Attributen auf Vollständige Liste ansehen. Als Antwort wird in der Google Cloud Console die Seite Zulassungsregeln mit nicht verwendeten Attributen angezeigt. Auf dieser Seite werden alle VPC-Netzwerke mit Regeln aufgelistet, deren Attribute während des Beobachtungszeitraums nicht verwendet wurden.
In der Spalte Insight für jede Regel wird die Anzahl der nicht verwendeten Attribute während des Beobachtungszeitraums angezeigt.
Optional: Verwenden Sie Filter, um die Ergebnisse in der Liste nach Regelname, Priorität und Richtlinienname einzugrenzen.
Führen Sie für jedes VPC-Netzwerk in der Liste einen der folgenden Schritte aus:
- Klicken Sie auf den Namen der Regel, um die Seite Details zu Firewallregeln für die Regel aufzurufen.
- Klicken Sie auf Audit-Log ansehen, um das Logging für die Regel aufzurufen.
- Klicken Sie auf den Link für die Vorhersage, um Details zur Vorhersage aufzurufen. Der Bereich Statistikdetails wird angezeigt. In diesem Bereich werden die Hauptattribute der Regel beschrieben. Außerdem werden andere Regeln im Projekt mit ähnlichen Attributen beschrieben.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud Dienst, der Nutzungsempfehlungen für Google Cloud Produkte und ‑Dienste bietet.
allow-Regeln mit zu moderaten IP-Adress- oder Portbereichen aufrufen
Weitere Informationen zu dieser Statistik finden Sie unter Zulassungsregeln mit zu moderaten IP-Adress- oder Portbereichen.
Beachten Sie, dass Ihr Projekt Firewallregeln enthalten kann, die den Zugriff von bestimmten IP-Adressblöcken für Load-Balancer-Systemdiagnosen oder für andereGoogle Cloud -Funktionen zulassen. Diese IP-Adressen sind zwar nicht betroffen, sollten aber nicht aus Ihren Firewall-Regeln entfernt werden. Weitere Informationen zu diesen Bereichen finden Sie in der Compute Engine-Dokumentation.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte mit dem Namen Zulassungsregeln mit zu moderaten IP-Adressen oder Portbereichen auf Vollständige Liste anzeigen. In derGoogle Cloud -Konsole wird eine Liste aller Regeln angezeigt, die während des Beobachtungszeitraums zu moderate Bereiche hatten.
Führen Sie für jede Regel in der Liste eine der folgenden Schritte aus:
- Klicken Sie auf den Namen der Regel, um die Seite Details zu Firewallregeln für eine Regel aufzurufen.
- Klicken Sie auf Audit-Log ansehen, um das Logging für die Regel aufzurufen.
- Um Vorschläge zum Eingrenzen des Bereichs anzuzeigen, klicken Sie auf den Link in der Spalte Insight. Der Bereich Statistikdetails wird angezeigt. In diesem Bereich werden die Hauptattribute der Regel beschrieben. Es werden enger definierte IP-Adressen oder Portbereiche vorgeschlagen, die Sie verwenden können.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud Dienst, der Nutzungsempfehlungen für Google Cloud Produkte und ‑Dienste bietet.
deny-Regeln mit Treffern aufrufen
Weitere Informationen zu dieser Statistik finden Sie unter Deny-Regeln mit Treffern.
Console
Rufen Sie in der Google Cloud Console die Seite Firewall Insights auf.
Klicken Sie auf der Karte mit dem Namen Deny-Regeln mit Treffern auf Vollständige Liste ansehen. Als Antwort wird in der Google Cloud Console die Seite Deny-Regeln mit Treffern angezeigt. Auf dieser Seite werden alle VPC-Netzwerke mit
deny-Regeln aufgelistet, die während des Beobachtungszeitraums Treffer hatten.Um die von einer Firewall verworfenen Pakete zu prüfen, klicken Sie auf Trefferanzahl.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud Dienst, der Nutzungsempfehlungen für Google Cloud Produkte und ‑Dienste bietet.
Statistiken auf der Detailseite zur VM-Netzwerkschnittstelle ansehen
Rufen Sie auf der Seite Details zur Netzwerkschnittstelle die Firewallnutzung für eine VM auf.
Weitere Informationen finden Sie unter Firewallregeln für eine Netzwerkschnittstelle einer VM-Instanz auflisten.
Regeln mit Treffern in den letzten 24 Stunden ansehen
Console
Rufen Sie in der Google Cloud Console die Seite Compute Engine-VM-Instanzen auf.
Wählen Sie in den Suchergebnissen für eine VM-Schnittstelle eine VM aus und klicken Sie auf das Menü Weitere Aktionen.
Wählen Sie im Menü Netzwerkdetails anzeigen aus.
Klicken Sie auf der Seite Firewall- und Routendetails auf den Tab Firewallregeln.
In der Spalte Trefferzahl wird die Trefferzahl für
allow- unddeny-Traffic in den letzten 24 Monaten für alle Firewallregeln angezeigt, die einer bestimmten Netzwerkschnittstelle zugeordnet sind.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud Dienst, der Nutzungsempfehlungen für Google Cloud Produkte und ‑Dienste bietet.
Informationen auf der Seite „Firewall“ ansehen
Weitere Informationen zur Seite Firewall finden Sie unter VPC-Firewallregeln für ein VPC-Netzwerk auflisten.
Informationen zu einem Projekt auflisten
Console
Rufen Sie in der Google Cloud Console die Seite Firewall-Richtlinien auf.
Sehen Sie sich für jede Firewallregel den Namen der verfügbaren Statistiken in der Spalte Statistiken an.
Sie können auf den Namen einer Statistik klicken, um die Details aufzurufen.
In den folgenden Abschnitten wird beschrieben, wie Sie die Details für jede Art von Statistik aufrufen und deuten.
allow-Regeln ohne Treffer in den letzten 24 Monaten ansehen
Console
Rufen Sie in der Google Cloud Console die Seite Firewall-Richtlinien auf.
Sehen Sie in der Spalte Letzter Treffer nach, wann eine bestimmte Firewallregel in den letzten 24 Monaten das letzte Mal verwendet wurde.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud Dienst, der Nutzungsempfehlungen für Google Cloud Produkte und ‑Dienste bietet.
Diagramm zum Nutzungsverlauf einer Regel aufrufen
Console
Rufen Sie in der Google Cloud Console die Seite Firewall-Richtlinien auf.
Klicken Sie auf den Namen einer Firewallregel.
Rufen Sie im Abschnitt Trefferzahl-Überwachung der Seite das resultierende Diagramm mit der Anzahl der Firewall-Treffer für einen bestimmten Zeitraum auf. Sie können ein Zeitintervall für das Diagramm zur Überwachung der Trefferanzahl auswählen.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud Dienst, der Nutzungsempfehlungen für Google Cloud Produkte und ‑Dienste bietet.
deny-Regeln mit Treffern für einen Beobachtungszeitraum aufrufen
Console
Rufen Sie in der Google Cloud Console die Seite Firewall-Richtlinien auf.
In der Spalte Trefferzahl sehen Sie die Anzahl der einzelnen Verbindungen, die in den letzten 24 Monaten (Standardeinstellung) für eine bestimmte Firewallregel verwendet wurden.
gcloud und API
Firewall Insights verwendet Recommender-Befehle. Recommender ist ein Google Cloud Dienst, der Nutzungsempfehlungen für Google Cloud Produkte und ‑Dienste bietet.
Nächste Schritte
- Statistiken verwalten und exportieren
- Firewallregeln prüfen und optimieren
- Statistiken im Dashboard des Recommendation Hub ansehen