查看並瞭解防火牆洞察

防火牆深入分析可協助您瞭解防火牆規則的使用模式。您可以根據這些深入分析資訊,決定是否要移除或修改防火牆規則,簡化防火牆設定並確保安全。

您可以在 Google Cloud 控制台的「防火牆洞察」頁面,以及 Google Cloud 控制台的其他幾個位置,查看下列洞察資訊:

  • 遭覆蓋的防火牆規則:協助您找出與現有規則重疊的防火牆規則。
  • 過於寬鬆的規則:協助您找出沒有命中、未發揮作用的屬性,或 IP 位址/通訊埠範圍過於寬鬆的 allow 規則。
  • 拒絕規則:提供在設定的觀察期間內,deny規則遭到觸發的詳細資料。

系統會根據防火牆規則記錄功能啟用期間收集到的資料,產生過於寬鬆規則和拒絕規則的深入分析資訊。

在 Google Cloud 控制台的「防火牆洞察」頁面中,顯示洞察資料的每張資訊卡都會列出專案中符合洞察條件的所有規則。

如要將結果限制在一個 VPC 網路,請使用頁面頂端的篩選列選取網路。

詳情請參閱「查看指標和洞察資料的位置」。

以下各節說明如何查看每項洞察資料。

必要角色和權限

如要取得查看洞察資訊所需的權限,請要求管理員授予您專案的下列 IAM 角色:

如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

這個預先定義的角色具備 recommender.computeFirewallInsights.list 權限,這是查看洞察資料的必要權限。

您或許還可透過自訂角色或其他預先定義的角色取得這項權限。

查看遭到覆蓋的防火牆規則

如要瞭解這項深入分析資料,請參閱「遭遮蔽的規則」。

主控台

  1. 前往 Google Cloud 控制台的「Firewall Insights」頁面。

    前往「防火牆深入分析」

  2. 在名為「Shadowed rules」的資訊卡上,按一下「View full list」。Google Cloud 控制台會顯示「Shadowed rules」(遭遮蔽的規則) 頁面,列出所有虛擬私有雲網路。

    您可以查看專案中每個虛擬私有雲網路的階層式防火牆政策、全域網路防火牆政策和虛擬私有雲防火牆規則洞察資料,以及規則的優先順序。每項規則的「深入分析」Insight欄會提供摘要,說明規則為何遭覆蓋。

  3. 選用:使用篩選功能,根據規則名稱、優先順序和政策名稱,縮小清單中的結果範圍。

  4. 如要查看遭到遮蔽的規則和遮蔽規則的詳細資料,請按一下洞察資料。

gcloud 和 API

防火牆深入分析會使用 Recommender 指令。建議工具是一項 Google Cloud 服務,可針對 Google Cloud 產品和服務提供使用建議。

查看未命中的 allow 規則

如要瞭解這項洞察資料,請參閱「未發揮任何作用的允許規則」。

主控台

  1. 前往 Google Cloud 控制台的「Firewall Insights」頁面。

    前往「防火牆深入分析」

  2. 在「本身發揮作用、但無屬性發揮作用的允許規則」資訊卡上,按一下「查看完整清單」。 控制台會顯示「發揮部分作用的允許規則」頁面。 Google Cloud 這個頁面會列出所有虛擬私有雲網路,這些網路的規則在觀察期間內未發揮任何作用。

    每項規則的「洞察」Insight欄會顯示防火牆規則在觀察期間內是否未發揮任何作用。「未來命中率預測」欄會根據同一機構的防火牆規則,預測未來用量。

  3. 選用步驟:使用篩選器,依規則名稱、優先順序和政策名稱縮小清單中的結果範圍。

  4. 針對清單中的任何規則,視需要執行下列任一操作:

    • 如要查看規則的「防火牆規則詳細資料」頁面,請按一下規則名稱。
    • 如要查看規則的記錄,請按一下「查看稽核記錄」
    • 如要查看預測詳細資料,請按一下「洞察」Insight欄中的連結。系統隨即會顯示「洞察資料詳細資料」窗格。 窗格會說明規則的主要屬性。並說明專案中具有類似屬性的其他規則。

gcloud 和 API

防火牆深入分析會使用 Recommender 指令。建議工具是一項 Google Cloud 服務,可針對 Google Cloud 產品和服務提供使用建議。

查看根據適應性分析結果判斷為過時的 allow 規則

您可以根據使用模式和適應性分析,查看較不可能啟用的 allow 規則。

如要瞭解這項深入分析資訊,請參閱 根據適應性分析結果允許過時規則

主控台

  1. 前往 Google Cloud 控制台的「Firewall Insights」頁面。

    前往「防火牆深入分析」

  2. 在名為「未命中的允許規則 (適應性分析)」的資訊卡上, 按一下「查看完整清單」。 系統會開啟「未命中的允許規則 (適應性分析)」頁面。這個頁面會列出所有可能不再使用的規則所屬的 VPC 網路。

    每項規則的「洞察」Insight欄會根據規則命中次數記錄的適應性分析結果,顯示防火牆規則是否已失效。

  3. 選用步驟:使用篩選器,依規則名稱、優先順序和政策名稱縮小清單中的結果範圍。

  4. 針對清單中的任何規則,視需要執行下列任一操作:

    • 如要查看規則的「防火牆規則詳細資料」頁面,請按一下規則名稱。
    • 如要查看規則的記錄,請按一下「查看稽核記錄」
    • 如要查看預測詳細資料,請按一下「洞察」Insight欄中的連結。

    「洞察資料詳細資料」頁面會說明規則的主要屬性。 在「適應性分析」部分,您可以查看規則上次命中的日期,以及規則失效前每天的平均命中次數。

  5. 如要關閉「洞察資料詳細資料」頁面,請按一下「取消」

gcloud 和 API

防火牆深入分析會使用 Recommender 指令。建議工具是一項 Google Cloud 服務,可針對 Google Cloud 產品和服務提供使用建議。

查看有未發揮作用之屬性的 allow 規則

如要瞭解這項深入分析,請參閱「有未發揮作用之屬性的允許規則」。

主控台

  1. 前往 Google Cloud 控制台的「Firewall Insights」頁面。

    前往「防火牆深入分析」

  2. 在「允許規則含有未發揮作用的屬性」資訊卡上,按一下「查看完整清單」。回應中,控制台會顯示「有未發揮作用之屬性的允許規則」 Google Cloud 頁面。這個頁面會列出所有虛擬私有雲網路,這些網路的規則在觀察期間有未使用的屬性。

    每項規則的「洞察」Insight欄會顯示觀測期間未使用的屬性數量。

  3. 選用步驟:使用篩選器,依規則名稱、優先順序和政策名稱縮小清單中的結果範圍。

  4. 針對清單中的任何虛擬私有雲網路,視需要執行下列任一操作:

    • 如要查看規則的「防火牆規則詳細資料」頁面,請按一下規則名稱。
    • 如要查看規則的記錄,請按一下「查看稽核記錄」
    • 如要查看預測的詳細資料,請按一下預測連結。 系統隨即會顯示「洞察資料詳細資料」窗格。窗格會說明規則的主要屬性。並說明專案中具有類似屬性的其他規則。

gcloud 和 API

防火牆深入分析會使用 Recommender 指令。建議工具是一項 Google Cloud 服務,可針對 Google Cloud 產品和服務提供使用建議。

查看 IP 位址或通訊埠範圍過於寬鬆的 allow 規則

如要瞭解這項洞察資訊,請參閱「允許規則設有過於寬鬆的 IP 位址或通訊埠範圍」。

請注意,您的專案可能設有防火牆規則,允許特定 IP 位址區塊存取負載平衡器健康狀態檢查或其他Google Cloud 功能。這些 IP 位址可能不會受到影響,但請勿從防火牆規則中移除。如要進一步瞭解這些範圍,請參閱 Compute Engine 說明文件

主控台

  1. 前往 Google Cloud 控制台的「Firewall Insights」頁面。

    前往「防火牆深入分析」

  2. 在名為「允許規則設有過於寬鬆的 IP 位址或通訊埠範圍」的資訊卡上,按一下「查看完整清單」。Google Cloud 主控台會顯示觀察期間內範圍過於寬鬆的所有規則。

  3. 針對清單中的任何規則,視需要執行下列任一操作:

    • 如要查看任何規則的「防火牆規則詳細資料」頁面,請按一下規則名稱。
    • 如要查看規則的記錄,請按一下「查看稽核記錄」
    • 如要查看如何縮小範圍的建議,請按一下「洞察」Insight欄中的連結。系統隨即會顯示「洞察詳細資料」窗格。窗格會說明規則的主要屬性。並建議您使用更精確的 IP 位址或通訊埠範圍。

gcloud 和 API

防火牆深入分析會使用 Recommender 指令。建議工具是一項 Google Cloud 服務,可針對 Google Cloud 產品和服務提供使用建議。

查看發揮作用的 deny 規則

如要瞭解這項洞察資料,請參閱「發揮作用的拒絕規則」。

主控台

  1. 前往 Google Cloud 控制台的「Firewall Insights」頁面。

    前往「防火牆深入分析」

  2. 在「發揮作用的拒絕規則」資訊卡上,按一下「查看完整清單」。 Google Cloud 控制台隨即會顯示「拒絕含命中清單的規則」頁面。這個頁面會列出所有虛擬私有雲網路,這些網路的deny規則在觀察期間內有命中記錄。

  3. 如要查看防火牆捨棄的封包,請按一下「命中次數」

gcloud 和 API

防火牆深入分析會使用 Recommender 指令。建議工具是一項 Google Cloud 服務,可針對 Google Cloud 產品和服務提供使用建議。

在 VM 網路介面詳細資料頁面查看洞察資訊

在 VM 的「Network interface details」(網路介面詳細資料) 頁面上,查看防火牆用量。

詳情請參閱列出 VM 執行個體網路介面的防火牆規則

查看過去 24 個月內發揮作用的規則

主控台

  1. 在 Google Cloud 控制台中,前往「Compute Engine VM instances」(Compute Engine VM 執行個體) 頁面。

    前往 Compute Engine VM 執行個體

  2. 在 VM 介面的搜尋結果中,選取 VM 並點選「更多動作」選單。

  3. 在選單中選取「查看網路詳細資料」

  4. 在「防火牆和路徑詳細資料」頁面中,按一下「防火牆規則」分頁標籤。

  5. 在「命中次數」欄中,查看與特定網路介面相關聯的所有防火牆規則,在過去 24 個月內 allowdeny 流量的命中次數。

gcloud 和 API

防火牆深入分析會使用 Recommender 指令。建議工具是一項 Google Cloud 服務,可針對 Google Cloud 產品和服務提供使用建議。

在「防火牆」頁面查看洞察

如要進一步瞭解「防火牆」頁面,請參閱列出虛擬私有雲網路的虛擬私有雲防火牆規則

列出專案的洞察資料

主控台

  1. 在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。

    前往「防火牆政策」頁面

  2. 在「洞察」欄中,查看各項防火牆規則的可用洞察名稱。

  3. 按一下洞察資料的名稱即可查看詳細資料。

下列各節說明如何查看及解讀各類洞察資料的詳細資訊。

查看過去 24 個月內未發揮任何作用的 allow 規則

主控台

  1. 在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。

    前往「防火牆政策」頁面

  2. 在「上次命中」欄中,查看特定防火牆規則在過去 24 個月內最後一次使用的時間。

gcloud 和 API

防火牆深入分析會使用 Recommender 指令。建議工具是一項 Google Cloud 服務,可針對 Google Cloud 產品和服務提供使用建議。

查看規則的使用記錄圖表

主控台

  1. 在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。

    前往「防火牆政策」頁面

  2. 按一下防火牆規則名稱。

  3. 在頁面的「命中次數監控」部分,查看結果圖表,瞭解特定時間範圍內的防火牆命中次數。您可以為命中次數監控圖表選取時間間隔。

gcloud 和 API

防火牆深入分析會使用 Recommender 指令。建議工具是一項 Google Cloud 服務,可針對 Google Cloud 產品和服務提供使用建議。

查看觀察期間內發揮作用的 deny 規則

主控台

  1. 在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。

    前往「防火牆政策」頁面

  2. 在「命中次數」欄中,查看過去 24 個月 (預設) 內特定防火牆規則使用的不重複連線次數。

gcloud 和 API

防火牆深入分析會使用 Recommender 指令。建議工具是一項 Google Cloud 服務,可針對 Google Cloud 產品和服務提供使用建議。

後續步驟