Las reglas de la política de firewall generan entradas de registro cuando se aplican al tráfico. Si bien un flujo de paquetes puede generar varias entradas de registro, la regla de política de firewall genera, como máximo, una entrada de registro por conexión desde una instancia de máquina virtual (VM).
En los siguientes ejemplos, se muestra cómo funciona el registro de reglas de políticas de firewall, incluidos los comportamientos que difieren de las reglas de firewall heredadas de la nube privada virtual (VPC), como el registro repetido de conexiones rechazadas y el registro basado en sesiones para la inspección avanzada.
Ejemplo de denegación de salida
En este ejemplo, el tráfico fluye entre dos instancias de VM en la red de VPC example-net del proyecto example-proj.
- La VM1 en la zona
us-west1-acon la dirección IP10.10.0.99enwest-subnet(regiónus-west1) - La VM2 en la zona
us-east1-bcon la dirección IP10.20.0.99eneast-subnet(regiónus-east1) - Regla A: Una regla de firewall de denegación de salida tiene como destino todas las instancias de la red, un destino de
10.20.0.99(VM2) y se aplica al puerto TCP80. El registro está habilitado para esta regla. - Regla B: Una regla de firewall de permiso de entrada está orientada a todas las instancias de la red, se aplica al puerto TCP
80y su fuente es10.10.0.99(VM1). El registro también está habilitado para esta regla.
Para crear la regla de política de firewall, consulta Tareas de reglas de políticas de firewall.
En una situación en la que la VM1 intenta conectarse a la VM2 en el puerto TCP 80, sucede lo siguiente:
El firewall genera una entrada de registro para la regla A desde la perspectiva de la VM1 para el intento de conexión fallido.
Debido a que la regla A es una regla de
DENY, el firewall registra cada paquete correspondiente a la tupla única de 5 como un intento de conexión con errores. Si el firewall sigue recibiendo paquetes para esta conexión, repite la misma entrada de registro cada 5 segundos.Debido a que la regla A bloquea el tráfico en la fuente, el firewall no tiene en cuenta la regla B. Por lo tanto, no genera ninguna entrada de registro para la regla B desde la perspectiva de la VM2.
La VM1 informa el siguiente registro de firewall:
| Campo | Valores |
|---|---|
connection |
src_ip=10.10.0.99 src_port=[EPHEMERAL_PORT] dest_ip=10.20.0.99 dest_port=80 protocol=6 |
disposition |
DENIED |
rule_details |
reference = "network:example-net/firewallPolicy:12345" priority = 10 action = DENY destination_range = 10.20.0.99/32 ip_port_info = tcp:80 direction = egress |
instance |
project_id="example-proj" instance_name=VM1 region=us-west1 zone=us-west1-a |
Ejemplo de reglas de permiso de salida y permiso de entrada
En este ejemplo, el tráfico fluye entre las instancias de VM en la red de VPC example-net del proyecto example-proj.
- La VM1 en la zona
us-west1-acon la dirección IP10.10.0.99enwest-subnet(regiónus-west1) - La VM2 en la zona
us-east1-bcon la dirección IP10.20.0.99eneast-subnet(regiónus-east1) - Regla A: Una regla de permiso de salida de la política de firewall de red global tiene un destino de
10.20.0.99(VM2) y se aplica al puerto TCP80. El registro está habilitado para esta regla. - Regla B: Una regla de permiso de entrada de política de firewall de red global tiene una fuente de
10.10.0.99(VM1) y se aplica al puerto TCP80. El registro está habilitado para esta regla.
Para crear la regla de política de firewall, consulta Tareas de reglas de políticas de firewall.
En una situación en la que la VM1 intenta conectarse a la VM2 en el puerto TCP 80, sucede lo siguiente:
- El firewall genera una entrada de registro para la regla A desde la perspectiva de VM1 mientras VM1 se conecta a
10.20.0.99. Debido a que es una regla deALLOW, la conexión se registra solo una vez y no se repite. - El firewall genera una entrada de registro para la regla B desde la perspectiva de la VM2 mientras esta permite las conexiones entrantes desde
10.10.0.99.
La VM1 informa el siguiente registro de firewall:
| Campo | Valores |
|---|---|
connection |
src_ip=10.10.0.99 src_port=[EPHEMERAL_PORT] dest_ip=10.20.0.99 dest_port=80 protocol=6 |
disposition |
PERMITIDA |
rule_details |
reference = "network:example-net/firewallPolicy:12345" priority = 10 action = ALLOW destination_range = 10.20.0.99/32 ip_port_info = tcp:80 direction = egress |
La VM2 informa el siguiente registro de firewall:
| Campo | Valores |
|---|---|
connection |
src_ip=10.10.0.99 src_port=[EPHEMERAL_PORT] dest_ip=10.20.0.99 dest_port=80 protocol=6 |
disposition |
PERMITIDA |
rule_details |
reference = "network:example-net/firewallPolicy:67890" priority = 10 action = ALLOW source_range = 10.10.0.99/32 ip_port_info = tcp:80 direction = ingress |
Ejemplo de tráfico de entrada de Internet
En este ejemplo, el tráfico fluye desde un recurso externo a una instancia de VM dentro de la red de VPC example-net. La red está en el proyecto example-proj.
- El sistema en Internet tiene la dirección IP
203.0.113.114. - La VM1 de la zona
us-west1-atiene la dirección IP10.10.0.99enwest-subnet(regiónus-west1). - Regla C: Una regla de política de firewall de permiso de entrada tiene cualquier dirección IP (
0.0.0.0/0) como origen y se aplica al puerto TCP80. El registro está habilitado para esta regla. - Regla D: Una regla de política de firewall de denegación de salida puede tener cualquier dirección IP (
0.0.0.0/0) como destino y se aplica a todos los protocolos. El registro está habilitado para esta regla.
Para crear la regla de política de firewall, consulta Tareas de reglas de políticas de firewall.
En una situación en la que el sistema con la dirección IP 203.0.113.114 intenta conectarse a la VM1 en el puerto TCP 80, sucede lo siguiente:
- La VM1 genera una entrada de registro para la regla C cuando acepta el tráfico proveniente de
203.0.113.114. - Las reglas de políticas del firewall de próxima generación de Cloud tienen estado, lo que significa que, si una regla de firewall entrante (de entrada) permite el tráfico a una instancia de VM, el tráfico de retorno saliente (de salida) se permite automáticamente.
En este caso, la regla C permite el tráfico de entrada, por lo que la VM1 puede enviar tráfico de respuesta a
203.0.113.114a pesar de la regla D. - El seguimiento de conexiones permite el tráfico de respuesta y no genera ningún registro, independientemente de las reglas de firewall de salida. Por lo tanto, el firewall no tiene en cuenta la regla D y no genera ninguna entrada de registro de salida.
La VM1 informa el siguiente registro de firewall:
| Campo | Valores |
|---|---|
connection |
src_ip=203.0.113.114 src_port=[EPHEMERAL_PORT] dest_ip=10.10.0.99 dest_port=80 protocol=6 |
disposition |
PERMITIDA |
rule_details |
reference = "network:example-net/firewallPolicy:12345" priority = 10 action = ALLOW source_range = 0.0.0.0/0 ip_port_info = tcp:80 direction = ingress |
remote_location |
continent country region city |
Ejemplo de inspección avanzada
En este ejemplo, la política de firewall de Cloud NGFW usa la acción apply_security_profile_group para interceptar el tráfico y realizar una inspección profunda de paquetes.
- El sistema en Internet tiene la dirección IP
203.0.113.114. - La VM1 en la zona
us-west1-acon la dirección IP10.10.0.99enwest-subnet(regiónus-west1) - Regla E: Es una regla de política de firewall de salida con la acción establecida en
apply_security_profile_group. El registro está habilitado para esta regla.
Para crear la regla de política de firewall para la inspección avanzada, consulta Descripción general de las políticas de seguridad.
Supongamos que la VM1 envía tráfico que coincide con la regla E. Sucede lo que se indica a continuación:
La acción
apply_security_profile_groupusa el registro basado en sesiones, que difiere de los registros basados en conexiones que producen las reglas estándarallowodeny.Cloud NGFW genera una sola entrada de registro de regla de firewall para la sesión inicial que coincide con la regla, lo que confirma que el tráfico se interceptó y redireccionó correctamente al extremo de firewall. Cloud NGFW genera este registro de alto nivel incluso si se identifican varias conexiones como parte de la misma sesión.
La VM1 informa el siguiente registro de firewall:
| Campo | Valores |
|---|---|
connection |
src_ip=10.10.0.99 src_port=[EPHEMERAL_PORT] dest_ip=203.0.113.114 dest_port=80 protocol=6 |
disposition |
INTERCEPTED |
rule_details |
reference = "network:example-net/firewallPolicy:12345" priority = 10 action = APPLY_SECURITY_PROFILE_GROUP apply_security_profile_fallback_action = UNSPECIFIED destination_range = 0.0.0.0/0 direction = egress |
¿Qué sigue?
- Usa el registro de reglas de políticas de firewall
- Estadísticas de firewall
- Descripción general de Logging
- Enruta registros a destinos compatibles.