Beispiele für das Logging von Firewallrichtlinien-Regeln

Firewallrichtlinienregeln generieren Logeinträge, wenn sie auf Traffic angewendet werden. Ein Paketfluss kann zwar mehrere Logeinträge generieren, aber eine Firewallrichtlinienregel generiert höchstens einen Logeintrag pro Verbindung von einer VM-Instanz.

Die folgenden Beispiele zeigen, wie das Logging von Firewallrichtlinienregeln funktioniert, einschließlich Verhaltensweisen, die sich von den Legacy-Firewallregeln für Virtual Private Cloud (VPC) unterscheiden, z. B. wiederholtes Logging für abgelehnte Verbindungen und sitzungsbasiertes Logging für die erweiterte Prüfung.

Beispiel "Ausgehenden Traffic ablehnen"

In diesem Beispiel fließt Traffic zwischen zwei VM-Instanzen im VPC-Netzwerk example-net im Projekt example-proj.

  • VM1 in der Zone us-west1-a mit der IP-Adresse 10.10.0.99 in der west-subnet (Region us-west1).
  • VM2 in der Zone us-east1-b mit der IP-Adresse 10.20.0.99 im east-subnet (Region us-east1).
  • Regel A: Eine Firewallregel "ausgehenden Traffic ablehnen" bezieht sich auf alle Instanzen im Netzwerk, das Ziel 10.20.0.99 (VM2) und den TCP-Port 80. Logging ist für die Regel aktiviert.
  • Regel B: Eine Firewallregel "eingehenden Traffic zulassen" bezieht sich auf alle Instanzen im Netzwerk, die Quelle 10.10.0.99 (VM1) und den TCP-Port 80. Logging ist für die Regel ebenfalls aktiviert.

Informationen zum Erstellen der Firewallrichtlinienregel finden Sie unter Aufgaben für Firewallrichtlinienregeln.

In einem Szenario, in dem VM1 versucht, am TCP-Port 80 eine Verbindung zu VM2 herzustellen, geschieht Folgendes:

  • Die Firewall generiert einen Logeintrag für Regel A aus der Perspektive von VM1 für den fehlgeschlagenen Verbindungsversuch.

  • Da Regel A eine DENY-Regel ist, protokolliert die Firewall jedes Paket, das dem eindeutigen 5-Tupel entspricht, als fehlgeschlagenen Verbindungsversuch. Wenn die Firewall weiterhin Pakete für diese Verbindung empfängt, wiederholt sie denselben Logeintrag alle 5 Sekunden.

  • Da Regel A den Traffic an der Quelle blockiert, berücksichtigt die Firewall Regel B nicht. Daher wird aus der Perspektive von VM2 kein Logeintrag für Regel B generiert.

VM1 meldet den folgenden Firewall-Logeintrag:

Feld Werte
connection src_ip=10.10.0.99
src_port=[EPHEMERAL_PORT]
dest_ip=10.20.0.99
dest_port=80
protocol=6
disposition DENIED
rule_details reference = "network:example-net/firewallPolicy:12345"
priority = 10
action = DENY
destination_range = 10.20.0.99/32
ip_port_info = tcp:80
direction = egress
instance project_id="example-proj"
instance_name=VM1
region=us-west1
zone=us-west1-a

Beispiel "ausgehenden Traffic zulassen, eingehenden Traffic zulassen"

In diesem Beispiel fließt Traffic zwischen VM-Instanzen im VPC-Netzwerk example-net im Projekt example-proj.

  • VM1 in der Zone us-west1-a mit der IP-Adresse 10.10.0.99 in der west-subnet (Region us-west1).
  • VM2 in der Zone us-east1-b mit der IP-Adresse 10.20.0.99 im east-subnet (Region us-east1).
  • Regel A: Eine globale Netzwerk-Firewallrichtlinienregel "ausgehenden Traffic zulassen" hat ein Ziel 10.20.0.99 (VM2) und gilt für den TCP-Port 80. Logging ist für die Regel aktiviert.
  • Regel B: Eine globale Netzwerk-Firewallrichtlinienregel "eingehenden Traffic zulassen" hat die Quelle 10.10.0.99 (VM1) und gilt für den TCP-Port 80. Logging ist für die Regel aktiviert.

Informationen zum Erstellen der Firewallrichtlinienregel finden Sie unter Aufgaben für Firewallrichtlinienregeln.

In einem Szenario, in dem VM1 versucht, am TCP-Port 80 eine Verbindung zu VM2 herzustellen, geschieht Folgendes:

  • Die Firewall generiert einen Logeintrag für Regel A aus der Perspektive von VM1, während VM1 eine Verbindung zu 10.20.0.99 herstellt. Da es sich um eine ALLOW-Regel handelt, wird die Verbindung nur einmal protokolliert und nicht wiederholt.
  • Die Firewall generiert einen Logeintrag für Regel B aus der Perspektive von VM2, während VM2 eingehende Verbindungen von 10.10.0.99 zulässt.

VM1 meldet den folgenden Firewall-Logeintrag:

Feld Werte
connection src_ip=10.10.0.99
src_port=[EPHEMERAL_PORT]
dest_ip=10.20.0.99
dest_port=80
protocol=6
disposition ALLOWED
rule_details reference = "network:example-net/firewallPolicy:12345"
priority = 10
action = ALLOW
destination_range = 10.20.0.99/32
ip_port_info = tcp:80
direction = egress

VM2 meldet den folgenden Firewall-Logeintrag:

Feld Werte
connection src_ip=10.10.0.99
src_port=[EPHEMERAL_PORT]
dest_ip=10.20.0.99
dest_port=80
protocol=6
disposition ALLOWED
rule_details reference = "network:example-net/firewallPolicy:67890"
priority = 10
action = ALLOW
source_range = 10.10.0.99/32
ip_port_info = tcp:80
direction = ingress

Beispiel "eingehender Traffic aus dem Internet"

In diesem Beispiel fließt Traffic von einer externen Ressource zu einer VM-Instanz im VPC-Netzwerk example-net. Das Netzwerk befindet sich im Projekt example-proj.

  • Das System im Internet hat die IP-Adresse 203.0.113.114.
  • VM1 in der Zone us-west1-a hat die IP-Adresse 10.10.0.99 im west-subnet (Region us-west1).
  • Regel C: Eine Firewallrichtlinienregel "eingehenden Traffic zulassen" hat eine Quelle mit einer beliebigen IP-Adresse (0.0.0.0/0) und gilt für den TCP-Port 80. Logging ist für die Regel aktiviert.
  • Regel D: Eine Firewallrichtlinienregel "ausgehenden Traffic ablehnen" hat ein Ziel mit einer beliebigen IP-Adresse (0.0.0.0/0) und gilt für alle Protokolle. Logging ist für die Regel aktiviert.

Informationen zum Erstellen der Firewallrichtlinienregel finden Sie unter Aufgaben für Firewallrichtlinienregeln.

In einem Szenario, in dem das System mit der IP-Adresse 203.0.113.114 versucht, eine Verbindung zu VM1 am TCP-Port 80 herzustellen, geschieht Folgendes:

  • VM1 generiert einen Logeintrag für Regel C, da Traffic von 203.0.113.114 akzeptiert wird.
  • Cloud NGFW-Firewallrichtlinienregeln sind zustandsorientiert. Wenn eine Regel für eingehenden Traffic Traffic zu einer VM-Instanz zulässt, wird der ausgehende Rücktraffic automatisch zugelassen. In diesem Fall lässt Regel C eingehenden Traffic zu, sodass VM1 trotz Regel D Antworttraffic an 203.0.113.114 senden kann.
  • Die Verbindungsverfolgung lässt Antworttraffic zu und verursacht unabhängig von den Firewallregeln für ausgehenden Traffic kein Logging. Daher berücksichtigt die Firewall Regel D nicht und generiert keinen Logeintrag für ausgehenden Traffic.

VM1 meldet den folgenden Firewall-Logeintrag:

Feld Werte
connection src_ip=203.0.113.114
src_port=[EPHEMERAL_PORT]
dest_ip=10.10.0.99
dest_port=80
protocol=6
disposition ALLOWED
rule_details reference = "network:example-net/firewallPolicy:12345"
priority = 10
action = ALLOW
source_range = 0.0.0.0/0
ip_port_info = tcp:80
direction = ingress
remote_location continent
country
region
city

Beispiel für eine erweiterte Prüfung

In diesem Beispiel verwendet die Cloud NGFW-Firewallrichtlinie die Aktion apply_security_profile_group, um Traffic für die Deep Packet Inspection abzufangen.

  • Das System im Internet hat die IP-Adresse 203.0.113.114.
  • VM1 in der Zone us-west1-a mit der IP-Adresse 10.10.0.99 in der west-subnet (Region us-west1).
  • Regel E: Eine Firewallrichtlinienregel für ausgehenden Traffic, bei der die Aktion auf apply_security_profile_group festgelegt ist. Logging ist für die Regel aktiviert.

Informationen zum Erstellen der Firewallrichtlinienregel für die erweiterte Prüfung finden Sie unter Sicherheitsprofile – Übersicht.

Angenommen, VM1 sendet Traffic, der mit Regel E übereinstimmt. Folgendes geschieht:

  • Die Aktion apply_security_profile_group verwendet sitzungsbasiertes Logging, das sich von den verbindungsbasierten Logs unterscheidet, die von Standardregeln vom Typ allow oder deny erstellt werden.

  • Cloud NGFW generiert einen einzelnen Logeintrag für die Firewallregel für die erste Sitzung, die mit der Regel übereinstimmt. Dieser bestätigt, dass der Traffic erfolgreich abgefangen und an den Firewall-Endpunkt weitergeleitet wurde. Cloud NGFW generiert diesen allgemeinen Logeintrag auch dann, wenn mehrere Verbindungen als Teil derselben Sitzung identifiziert werden.

VM1 meldet den folgenden Firewall-Logeintrag:

Feld Werte
connection src_ip=10.10.0.99
src_port=[EPHEMERAL_PORT]
dest_ip=203.0.113.114
dest_port=80
protocol=6
disposition INTERCEPTED
rule_details reference = "network:example-net/firewallPolicy:12345"
priority = 10
action = APPLY_SECURITY_PROFILE_GROUP
apply_security_profile_fallback_action = UNSPECIFIED
destination_range = 0.0.0.0/0
direction = egress

Nächste Schritte