查看並瞭解防火牆洞察

防火牆洞察可協助您瞭解防火牆規則的使用模式。您可以運用這些洞察資料,決定是否要移除或修改防火牆規則,以簡化防火牆設定並確保安全性。

您可以在 Google Cloud 控制台的「防火牆深入分析」頁面和 Google Cloud 控制台的其他幾個位置查看下列深入分析資料:

系統會根據防火牆規則記錄功能啟用期間收集到的資料,產生過於寬鬆規則和拒絕規則的深入分析資訊。

在 Google Cloud 控制台的「防火牆深入分析」頁面中,每張顯示洞察資料的資訊卡都會列出專案中符合洞察資料條件的所有規則。

如要將結果限制在一個 VPC 網路,請使用頁面頂端的篩選列選取網路。

詳情請參閱「查看指標和洞察資料的位置」。

以下各節說明如何查看每項洞察資料。

必要角色和權限

如要取得查看洞察所需的權限,請要求管理員為您授予專案的下列 IAM 角色:

如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和機構的存取權」。

這個預先定義的角色包含 recommender.computeFirewallInsights.list 權限,這是查看洞察資料所需的權限。

您或許還可透過自訂角色或其他預先定義的角色取得此權限。

查看遭到覆蓋的防火牆規則

如要瞭解這項洞察資料,請參閱「遮蔽的規則」。

主控台

  1. 在 Google Cloud 控制台中,前往「Firewall Insights」頁面。

    前往「防火牆深入分析」

  2. 在「已遮蔽的規則」資訊卡中,按一下「查看完整清單」。Google Cloud 控制台會顯示「Shadowed rules」頁面,列出所有虛擬私有雲網路。

    針對專案中的每個虛擬私有雲網路,您可以查看階層式防火牆政策、全域網路防火牆政策和虛擬私有雲防火牆規則的洞察資料,以及規則的優先順序。每個規則的「深入分析」欄會提供該規則被視為遭覆蓋規則的原因摘要。

  3. 選用:使用篩選功能,根據規則名稱、優先順序和政策名稱縮小清單中的結果。

  4. 如要進一步瞭解遮蔽規則和遮蔽規則,請按一下洞察資料。

gcloud 和 API

防火牆深入分析使用Recommender 指令。建議工具是 Google Cloud 服務,可針對 Google Cloud 產品和服務提供使用建議。

查看未命中的 allow 規則

如要瞭解這項洞察資料,請參閱「未命中的允許規則」。

主控台

  1. 在 Google Cloud 控制台中,前往「Firewall Insights」頁面。

    前往「防火牆深入分析」

  2. 在「本身發揮作用、但無屬性發揮作用的允許規則」資訊卡中,按一下「查看完整清單」。 Google Cloud 控制台會顯示「發揮部分作用的允許規則」頁面。這個頁面會列出觀察期間內沒有任何命中規則的所有虛擬私有雲網路。

    每項規則的「洞察」欄會顯示防火牆規則在觀察期間內是否未發揮任何作用。「未來命中預測」欄會根據同一機構的防火牆規則,顯示未來用量的預測結果。

  3. 選用步驟:使用篩選器,依據規則名稱、優先順序和政策名稱縮小清單中的結果。

  4. 針對清單中的任何規則,視情況執行下列任一操作:

    • 如要查看防火牆規則的詳細資料頁面,請按一下規則名稱。
    • 如要查看規則的稽核記錄,請按一下「查看稽核記錄」
    • 如要查看預測結果的詳細資料,請按一下「Insight」欄中的連結。系統會顯示「洞察詳細資料」窗格。這個窗格會說明規則的主要屬性。並說明專案中其他具有類似屬性的規則。

gcloud 和 API

防火牆深入分析使用 Recommender 指令。建議工具是 Google Cloud 服務,可提供 Google Cloud 產品和服務的使用建議。

查看根據適應性分析判定為已淘汰的 allow 規則

您可以根據使用模式和適應性分析,查看較不可能啟用的 allow 規則。

如要瞭解這項洞察資訊,請參閱「 根據適應性分析結果,允許已淘汰的規則」。

主控台

  1. 在 Google Cloud 控制台中,前往「Firewall Insights」頁面。

    前往「防火牆深入分析」

  2. 在「未命中的允許規則 (適應性分析)」資訊卡中,點選「查看完整清單」。系統隨即會開啟「未命中的允許規則 (適應性分析)」頁面。這個頁面會列出所有可能不再使用的規則所屬的 VPC 網路。

    每個規則的「洞察」欄會顯示,根據規則命中次數記錄的適應性分析結果,防火牆規則是否已失效。

  3. 選用步驟:使用篩選器,依據規則名稱、優先順序和政策名稱縮小清單中的結果。

  4. 針對清單中的任何規則,視情況執行下列任一操作:

    • 如要查看防火牆規則的詳細資料頁面,請按一下規則名稱。
    • 如要查看規則的稽核記錄,請按一下「查看稽核記錄」
    • 如要查看預測結果的詳細資料,請按一下「Insight」欄中的連結。

    「洞察詳細資料」頁面會說明規則的主要屬性。在「適應性分析」部分,您可以查看規則上次命中的日期,以及規則失效前每天的平均命中次數。

  5. 如要關閉「洞察詳細資料」頁面,請按一下「取消」

gcloud 和 API

防火牆深入分析使用Recommender 指令。建議工具是 Google Cloud 服務,可針對 Google Cloud 產品和服務提供使用建議。

查看有未發揮作用之屬性的 allow 規則

如要瞭解這項洞察資訊,請參閱「有未發揮作用之屬性的允許規則」。

主控台

  1. 在 Google Cloud 控制台中,前往「Firewall Insights」頁面。

    前往「防火牆深入分析」

  2. 在「有未發揮作用之屬性的允許規則」資訊卡中,按一下「查看完整清單」。 Google Cloud 主控台會顯示「有未發揮作用之屬性的允許規則」頁面。這個頁面會列出在觀察期間有未使用的屬性規則的所有 VPC 網路。

    每個規則的「Insight」欄會顯示觀測期間未使用的屬性數量。

  3. 選用步驟:使用篩選器,依據規則名稱、優先順序和政策名稱縮小清單中的結果。

  4. 針對清單中的任何虛擬私有雲網路,視情況執行下列任一操作:

    • 如要查看防火牆規則的詳細資料頁面,請按一下規則名稱。
    • 如要查看規則的稽核記錄,請按一下「查看稽核記錄」
    • 如要查看預測結果的詳細資料,請按一下預測連結。系統會顯示「洞察詳細資料」窗格。這個窗格會說明規則的主要屬性。並說明專案中其他具有類似屬性的規則。

gcloud 和 API

防火牆深入分析使用Recommender 指令。建議工具是 Google Cloud 服務,可針對 Google Cloud 產品和服務提供使用建議。

查看設有過於寬鬆 IP 位址或通訊埠範圍的 allow 規則

如要瞭解這項洞察資料,請參閱「允許規則設有過於寬鬆的 IP 位址或通訊埠範圍」。

請注意,您的專案可能有防火牆規則,允許來自特定 IP 位址區塊的存取權,用於負載平衡器健康狀態檢查或其他Google Cloud 功能。這些 IP 位址可能不會受到影響,但不應從防火牆規則中移除。如要進一步瞭解這些範圍,請參閱 Compute Engine 說明文件

主控台

  1. 在 Google Cloud 控制台中,前往「Firewall Insights」頁面。

    前往「防火牆深入分析」

  2. 在「允許規則設有過於寬鬆的 IP 位址或通訊埠範圍」資訊卡中,按一下「查看完整清單」。Google Cloud 主控台會列出觀察期間內所有過度寬鬆的規則。

  3. 針對清單中的任何規則,視情況執行下列任一操作:

    • 如要查看任何規則的「防火牆規則詳細資料」頁面,請按一下規則名稱。
    • 如要查看規則的稽核記錄,請按一下「查看稽核記錄」
    • 如要查看如何縮小範圍的建議,請點選「Insight」欄中的連結。系統會顯示「洞察詳細資料」窗格。這個窗格會說明規則的主要屬性。建議您使用更精確的 IP 位址或通訊埠範圍。

gcloud 和 API

防火牆深入分析使用Recommender 指令。建議工具是 Google Cloud 服務,可針對 Google Cloud 產品和服務提供使用建議。

查看有發揮作用的 deny 規則

如要瞭解這項洞察資料,請參閱「發揮作用的拒絕規則」。

主控台

  1. 在 Google Cloud 控制台中,前往「Firewall Insights」頁面。

    前往「防火牆深入分析」

  2. 在「發揮作用的拒絕規則」資訊卡中,按一下「查看完整清單」。 Google Cloud 主控台會在回應中顯示「拒絕含命中清單的規則」頁面。此頁面會列出所有在觀察期間有 deny 規則命中的 VPC 網路。

  3. 如要查看防火牆中斷的封包,請按一下「命中次數」

gcloud 和 API

防火牆深入分析使用Recommender 指令。建議工具是 Google Cloud 服務,可針對 Google Cloud 產品和服務提供使用建議。

在 VM 網路介面詳細資料頁面查看洞察資料

在 VM 的「Network interface details」(網路介面詳細資料)頁面上查看防火牆用量。

詳情請參閱「列出 VM 執行個體網路介面的防火牆規則」。

查看過去 24 個月內發揮作用的規則

主控台

  1. 在 Google Cloud 控制台中,前往「Compute Engine VM instances」(VM 執行個體) 頁面。

    前往 Compute Engine VM 執行個體

  2. 在 VM 介面的搜尋結果中選取 VM,然後按一下「更多動作」選單。

  3. 在選單中選取「查看網路詳細資料」

  4. 在「防火牆和路徑詳細資料」頁面上,按一下「防火牆規則」分頁標籤。

  5. 在「命中次數」欄中,查看與特定網路介面相關聯的所有防火牆規則,過去 24 個月內 allowdeny 流量的命中次數。

gcloud 和 API

防火牆深入分析使用Recommender 指令。建議工具是 Google Cloud 服務,可針對 Google Cloud 產品和服務提供使用建議。

在「防火牆」頁面查看洞察資料

如要進一步瞭解「防火牆」頁面,請參閱「列出虛擬私有雲防火牆規則」。

列出專案的洞察資料

主控台

  1. 在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。

    前往「防火牆政策」

  2. 針對每項防火牆規則,請在「Insights」欄中查看可用的洞察資料名稱。

  3. 您可以按一下洞察名稱查看詳細資料。

以下各節將說明如何查看及解讀各類洞察的詳細資料。

查看過去 24 個月內未發揮任何作用的 allow 規則

主控台

  1. 在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。

    前往「防火牆政策」

  2. 在「上次命中」欄中,查看特定防火牆規則在過去 24 個月內上次發揮作用的時間。

gcloud 和 API

防火牆深入分析使用 Recommender 指令。建議工具是 Google Cloud 服務,可針對 Google Cloud 產品和服務提供使用建議。

查看規則的用量記錄圖表

主控台

  1. 在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。

    前往「防火牆政策」

  2. 點選防火牆規則名稱。

  3. 在頁面的「命中次數監控」部分,查看顯示防火牆在特定時間範圍內命中次數的結果圖表。您可以為流量監控圖表選取時間間隔。

gcloud 和 API

防火牆深入分析使用 Recommender 指令。建議工具是 Google Cloud 服務,可針對 Google Cloud 產品和服務提供使用建議。

查看觀察期間內有命中的 deny 規則

主控台

  1. 在 Google Cloud 控制台中,前往「Firewall policies」(防火牆政策) 頁面。

    前往「防火牆政策」

  2. 在「命中次數」欄中,查看特定防火牆規則在過去 24 個月內 (預設) 使用的不重複連線數量。

gcloud 和 API

防火牆深入分析使用Recommender 指令。建議工具是 Google Cloud 服務,可針對 Google Cloud 產品和服務提供使用建議。

後續步驟