O Firewall Insights ajuda a compreender os padrões de utilização das suas regras de firewall. Pode usar estas estatísticas para apoiar as decisões sobre a remoção ou a modificação das regras da firewall para simplificar e proteger a configuração da firewall.
Pode ver as seguintes estatísticas na página Google Cloud consola Estatísticas da firewall e em vários outros locais na Google Cloud consola:
- As regras de firewall sobrepostas ajudam a identificar regras de firewall que se sobrepõem às regras existentes.
- Regras excessivamente permissivas: ajudam a identificar
allowregras sem resultados, atributos não usados ou intervalos de portas ou endereços IP excessivamente permissivos. - Regras de recusa: fornecem detalhes sobre as regras
denyque tiveram ocorrências durante o período de observação configurado.
As estatísticas das regras excessivamente permissivas e das regras de recusa são geradas com base nos dados recolhidos durante o período em que o Registo de regras de firewall está ativado.
Na página Firewall Insights na Google Cloud consola, cada cartão que apresenta as estatísticas inclui uma lista de todas as regras no seu projeto que cumprem os critérios das estatísticas.
Se quiser limitar os resultados a uma rede VPC, use a barra de filtros na parte superior da página para selecionar uma rede.
Para mais informações, consulte o artigo Onde pode ver métricas e estatísticas.
As secções seguintes descrevem como ver cada estatística.
Funções e autorizações necessárias
Para receber a autorização de que precisa para ver as estatísticas, peça ao seu administrador para lhe conceder as seguintes funções da IAM no seu projeto:
-
Administrador do Firewall Recommender (
roles/recommender.firewallAdmin) -
Leitor do Firewall Recommender (
roles/recommender.firewallViewer)
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Esta função predefinida contém a autorização
recommender.computeFirewallInsights.list
, que é necessária para
ver estatísticas.
Também pode receber esta autorização com funções personalizadas ou outras funções predefinidas.
Veja regras de firewall sobrepostas
Para saber mais sobre esta estatística, consulte o artigo Regras ocultadas.
Consola
Na Google Cloud consola, aceda à página Estatísticas da firewall.
No cartão denominado Regras ocultadas, clique em Ver lista completa. A Google Cloud consola apresenta a página Regras ocultadas, que lista todas as redes VPC.
Para cada rede VPC no seu projeto, pode ver as estatísticas das políticas de firewall hierárquicas, das políticas de firewall de rede global e das regras de firewall da VPC, juntamente com a prioridade da regra. A coluna Insight de cada regra fornece um resumo do motivo pelo qual a regra foi identificada como uma regra oculta.
Opcional: use a filtragem para restringir os resultados na lista com base no nome da regra, na prioridade e no nome da política.
Para ver mais detalhes sobre a regra ocultada e as regras que a ocultam, clique na estatística.
gcloud e API
O Firewall Insights usa comandos do Recommender. O Recommender é um Google Cloud serviço que fornece recomendações de utilização para Google Cloud produtos e serviços.
Veja allow regras sem resultados
Para saber mais acerca desta estatística, consulte o artigo Permitir regras sem resultados.
Consola
Na Google Cloud consola, aceda à página Estatísticas da firewall.
No cartão denominado Permitir regras sem resultados, clique em Ver lista completa. A Google Cloud consola apresenta a página Permitir regras sem resultados. Esta página lista todas as redes de VPC que tinham regras sem resultados durante o período de observação.
A coluna Insight de cada regra mostra se a regra de firewall não teve ocorrências durante o período de observação. A coluna Previsão de ocorrências futuras mostra uma previsão da utilização futura com base nas regras de firewall na mesma organização.
Opcional: use a filtragem para restringir os resultados na lista com base no nome da regra, na prioridade e no nome da política.
Para qualquer regra na lista, faça o seguinte, conforme adequado:
- Para ver a página Detalhes da regra de firewall da regra, clique no nome da regra.
- Para ver o registo da regra, clique em Ver registo de auditoria.
- Para ver detalhes sobre a previsão, clique no link na coluna Insight. É apresentado o painel Detalhes da estatística. O painel descreve os principais atributos da regra. Também descreve outras regras no projeto que têm atributos semelhantes.
gcloud e API
O Firewall Insights usa comandos do Recommender. O Recommender é um Google Cloud serviço que fornece recomendações de utilização para Google Cloud produtos e serviços.
Veja allow regras que estão obsoletas com base na análise adaptativa
Pode ver allowregras que têm menor probabilidade de estarem ativas com base nos padrões de utilização e na análise adaptativa.
Para saber mais sobre esta estatística, consulte o artigo Permita regras obsoletas com base na análise adaptativa.
Consola
Na Google Cloud consola, aceda à página Estatísticas da firewall.
No cartão denominado Permitir regras sem resultados (análise adaptativa), clique em Ver lista completa. É apresentada a página Permitir regras sem resultados (análise adaptativa). A página lista todas as redes VPC que tinham regras que provavelmente já não são usadas.
A coluna Insight de cada regra mostra se a regra de firewall já não está ativa com base na análise adaptativa do histórico de contagens de acertos de regras.
Opcional: use a filtragem para restringir os resultados na lista com base no nome da regra, na prioridade e no nome da política.
Para qualquer regra na lista, faça o seguinte, conforme adequado:
- Para ver a página Detalhes da regra de firewall da regra, clique no nome da regra.
- Para ver o registo da regra, clique em Ver registo de auditoria.
- Para ver detalhes sobre a previsão, clique no link na coluna Insight.
A página Detalhes das estatísticas descreve os principais atributos da regra. Na secção Análise adaptativa, pode ver a data do último resultado da regra e as contagens de resultados diárias médias antes de a regra deixar de estar ativa.
Para fechar a página Detalhes das estatísticas, clique em Cancelar.
gcloud e API
O Firewall Insights usa comandos do Recommender. O Recommender é um Google Cloud serviço que fornece recomendações de utilização para Google Cloud produtos e serviços.
Veja allow regras com atributos não usados
Para saber mais acerca desta estatística, consulte o artigo Permitir regras com atributos não utilizados.
Consola
Na Google Cloud consola, aceda à página Estatísticas da firewall.
No cartão denominado Permitir regras com atributos não usados, clique em Ver lista completa. Em resposta, a Google Cloud consola apresenta a páginaPermitir regras com atributos não usados. Esta página indica todas as redes de VPC que têm regras com atributos não usados durante o período de observação.
A coluna Insight de cada regra mostra o número de atributos não usados durante o período de observação.
Opcional: use a filtragem para restringir os resultados na lista com base no nome da regra, na prioridade e no nome da política.
Para qualquer rede de VPC na lista, faça o seguinte, conforme adequado:
- Para ver a página Detalhes da regra de firewall da regra, clique no nome da regra.
- Para ver o registo da regra, clique em Ver registo de auditoria.
- Para ver detalhes sobre a previsão, clique no link da previsão. É apresentado o painel Detalhes da estatística. O painel descreve os principais atributos da regra. Também descreve outras regras no projeto que têm atributos semelhantes.
gcloud e API
O Firewall Insights usa comandos do Recommender. O Recommender é um Google Cloud serviço que fornece recomendações de utilização para Google Cloud produtos e serviços.
Veja allowregras com intervalos de portas ou endereços IP excessivamente permissivos
Para saber mais acerca desta estatística, consulte o artigo Permitir regras com intervalos de portas ou endereços IP excessivamente permissivos.
Tenha em atenção que o seu projeto pode ter regras de firewall que permitem o acesso a determinados blocos de endereços IP para verificações de funcionamento do balanceador de carga ou para outraGoogle Cloud funcionalidade. Estes endereços IP podem não ser atingidos, mas não devem ser removidos das regras da firewall. Para mais informações sobre estes intervalos, consulte a documentação do Compute Engine.
Consola
Na Google Cloud consola, aceda à página Estatísticas da firewall.
No cartão denominado Permitir regras com intervalos de portas ou endereços IP excessivamente permissivos, clique em Ver lista completa. A consola apresenta uma lista de todas as regras que tinham intervalos excessivamente permissivos durante o período de observação.Google Cloud
Para qualquer regra na lista, faça o seguinte, conforme adequado:
- Para ver a página Detalhes da regra de firewall de qualquer regra, clique no nome da regra.
- Para ver o registo da regra, clique em Ver registo de auditoria.
- Para ver sugestões sobre como restringir o intervalo, clique no link na coluna Insight. É apresentado o painel Detalhes da estatística. O painel descreve os principais atributos da regra. Sugere intervalos de portas ou endereços IP definidos de forma mais restrita que pode usar.
gcloud e API
O Firewall Insights usa comandos do Recommender. O Recommender é um Google Cloud serviço que fornece recomendações de utilização para Google Cloud produtos e serviços.
Veja deny regras com resultados
Para saber mais acerca desta estatística, consulte o artigo Regras de recusa com resultados.
Consola
Na Google Cloud consola, aceda à página Estatísticas da firewall.
No cartão denominado Regras de recusa com resultados, clique em Ver lista completa. Em resposta, a Google Cloud consola apresenta a página Regras de recusa com resultados. Esta página lista todas as redes de VPC que têm
denyregras que tiveram resultados durante o período de observação.Para rever os pacotes rejeitados por uma firewall, clique em Número de ocorrências.
gcloud e API
O Firewall Insights usa comandos do Recommender. O Recommender é um Google Cloud serviço que fornece recomendações de utilização para Google Cloud produtos e serviços.
Veja estatísticas na página de detalhes da interface de rede da VM
Veja a utilização da firewall na página Detalhes da interface de rede de uma VM.
Para mais informações, consulte o artigo Liste as regras de firewall para uma interface de rede de uma instância de VM.
Veja regras com ocorrências nos últimos 24 meses
Consola
Na Google Cloud consola, aceda à página Instâncias de VM do Compute Engine.
Nos resultados da pesquisa de uma interface de VM, selecione uma VM e clique no menu mais ações.
No menu, selecione Ver detalhes da rede.
Na página Detalhes da firewall e das rotas, clique no separador Regras da firewall.
Na coluna Número de acessos, veja o número de acessos para o tráfego
allowedenynos últimos 24 meses para todas as regras de firewall associadas a uma interface de rede específica.
gcloud e API
O Firewall Insights usa comandos do Recommender. O Recommender é um Google Cloud serviço que fornece recomendações de utilização para Google Cloud produtos e serviços.
Veja estatísticas na página Firewall
Para mais informações sobre a página Firewall, consulte o artigo Liste as regras de firewall da VPC para uma rede da VPC.
Apresenta estatísticas de um projeto.
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
Para cada regra de firewall, veja o nome das estatísticas disponíveis na coluna Estatísticas.
Pode clicar no nome de uma estatística para ver os respetivos detalhes.
As secções seguintes descrevem como ver e interpretar os detalhes de cada tipo de estatística.
Veja allow regras sem resultados nos últimos 24 meses
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
Na coluna Último acesso, reveja a última vez que uma determinada regra de firewall foi usada nos últimos 24 meses.
gcloud e API
O Firewall Insights usa comandos do Recommender. O Recommender é um Google Cloud serviço que fornece recomendações de utilização para Google Cloud produtos e serviços.
Veja o gráfico do histórico de utilização de uma regra
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
Clique no nome de uma regra de firewall.
Na secção Monitorização da contagem de resultados da página, veja o gráfico resultante que mostra a contagem de resultados da firewall para um determinado período. Pode selecionar um intervalo de tempo para o gráfico de monitorização da contagem de resultados.
gcloud e API
O Firewall Insights usa comandos do Recommender. O Recommender é um Google Cloud serviço que fornece recomendações de utilização para Google Cloud produtos e serviços.
Veja as regras de deny com resultados para um período de observação
Consola
Na Google Cloud consola, aceda à página Políticas de firewall.
Na coluna Contagem de resultados, veja o número de ligações únicas usadas para uma determinada regra de firewall nos últimos 24 meses (predefinição).
gcloud e API
O Firewall Insights usa comandos do Recommender. O Recommender é um Google Cloud serviço que fornece recomendações de utilização para Google Cloud produtos e serviços.
O que se segue?
- Faça a gestão e exporte estatísticas
- Reveja e otimize as regras da firewall
- Veja estatísticas no painel de controlo do centro de recomendações