Contoh logging aturan kebijakan firewall

Aturan kebijakan firewall menghasilkan entri log saat diterapkan ke traffic. Meskipun alur paket dapat menghasilkan beberapa entri log, aturan kebijakan firewall menghasilkan paling banyak satu entri log per koneksi dari instance virtual machine (VM).

Contoh berikut menunjukkan cara kerja logging aturan kebijakan firewall, termasuk perilaku yang berbeda dari aturan firewall Virtual Private Cloud (VPC) lama, seperti logging berulang untuk koneksi yang ditolak dan logging berbasis sesi untuk pemeriksaan lanjutan.

Contoh penolakan traffic keluar

Dalam contoh ini, traffic mengalir antara dua instance VM di jaringan VPC example-net dalam project example-proj.

  • VM1 di zona us-west1-a dengan alamat IP 10.10.0.99 di west-subnet (region us-west1).
  • VM2 di zona us-east1-b dengan alamat IP 10.20.0.99 di east-subnet (region us-east1).
  • Aturan A: Aturan firewall tolak traffic keluar memiliki target semua instance dalam jaringan, tujuan 10.20.0.99 (VM2), dan berlaku untuk port TCP 80. Logging diaktifkan untuk aturan ini.
  • Aturan B: Aturan firewall izinkan masuk memiliki target semua instance di jaringan, sumber 10.10.0.99 (VM1), dan berlaku untuk port TCP 80. Logging juga diaktifkan untuk aturan ini.

Untuk membuat aturan kebijakan firewall, lihat Tugas aturan kebijakan firewall.

Dalam skenario saat VM1 mencoba terhubung ke VM2 di port TCP 80, hal berikut terjadi:

  • Firewall membuat entri log untuk aturan A dari perspektif VM1 untuk upaya koneksi yang gagal.

  • Karena aturan A adalah aturan DENY, firewall mencatat setiap paket yang sesuai dengan 5-tuple unik sebagai upaya koneksi yang gagal. Jika firewall terus menerima paket untuk koneksi ini, firewall akan mengulangi entri log yang sama setiap 5 detik.

  • Karena aturan A memblokir traffic di sumber, firewall tidak mempertimbangkan aturan B. Oleh karena itu, tidak ada entri log yang dibuat untuk aturan B dari perspektif VM2.

VM1 melaporkan catatan log firewall berikut:

Kolom Nilai
connection src_ip=10.10.0.99
src_port=[EPHEMERAL_PORT]
dest_ip=10.20.0.99
dest_port=80
protocol=6
disposition DITOLAK
rule_details reference = "network:example-net/firewallPolicy:12345"
priority = 10
action = DENY
destination_range = 10.20.0.99/32
ip_port_info = tcp:80
direction = egress
instance project_id="example-proj"
instance_name=VM1
region=us-west1
zone=us-west1-a

Contoh izinkan traffic keluar, izinkan traffic masuk

Dalam contoh ini, traffic mengalir antara instance VM di jaringan VPC example-net dalam project example-proj.

  • VM1 di zona us-west1-a dengan alamat IP 10.10.0.99 di west-subnet (region us-west1).
  • VM2 di zona us-east1-b dengan alamat IP 10.20.0.99 di east-subnet (region us-east1).
  • Aturan A: Aturan izinkan keluar kebijakan firewall jaringan global memiliki tujuan 10.20.0.99 (VM2), dan berlaku untuk port TCP 80. Logging diaktifkan untuk aturan ini.
  • Aturan B: Aturan izinkan masuk kebijakan firewall jaringan global memiliki sumber 10.10.0.99 (VM1), dan berlaku untuk port TCP 80. Logging diaktifkan untuk aturan ini.

Untuk membuat aturan kebijakan firewall, lihat Tugas aturan kebijakan firewall.

Dalam skenario saat VM1 mencoba terhubung ke VM2 di port TCP 80, hal berikut terjadi:

  • Firewall membuat entri log untuk aturan A dari perspektif VM1 saat VM1 terhubung ke 10.20.0.99. Karena merupakan aturan ALLOW, koneksi dicatat hanya sekali dan tidak diulang.
  • Firewall membuat entri log untuk aturan B dari perspektif VM2, sementara VM2 mengizinkan koneksi masuk dari 10.10.0.99.

VM1 melaporkan catatan log firewall berikut:

Kolom Nilai
connection src_ip=10.10.0.99
src_port=[EPHEMERAL_PORT]
dest_ip=10.20.0.99
dest_port=80
protocol=6
disposition DIIZINKAN
rule_details reference = "network:example-net/firewallPolicy:12345"
priority = 10
action = ALLOW
destination_range = 10.20.0.99/32
ip_port_info = tcp:80
direction = egress

VM2 melaporkan catatan log firewall berikut:

Kolom Nilai
connection src_ip=10.10.0.99
src_port=[EPHEMERAL_PORT]
dest_ip=10.20.0.99
dest_port=80
protocol=6
disposition DIIZINKAN
rule_details reference = "network:example-net/firewallPolicy:67890"
priority = 10
action = ALLOW
source_range = 10.10.0.99/32
ip_port_info = tcp:80
direction = ingress

Contoh traffic masuk internet

Dalam contoh ini, traffic mengalir dari resource eksternal ke instance VM dalam jaringan VPC example-net. Jaringan berada di project example-proj.

  • Sistem di internet memiliki alamat IP 203.0.113.114.
  • VM1 di zona us-west1-a memiliki alamat IP 10.10.0.99 di west-subnet (region us-west1).
  • Aturan C: Aturan kebijakan firewall izinkan masuk memiliki sumber alamat IP apa pun (0.0.0.0/0), dan berlaku untuk port TCP 80. Logging diaktifkan untuk aturan ini.
  • Aturan D: Aturan kebijakan firewall penolakan keluar memiliki tujuan berupa alamat IP apa pun (0.0.0.0/0), dan berlaku untuk semua protokol. Logging diaktifkan untuk aturan ini.

Untuk membuat aturan kebijakan firewall, lihat Tugas aturan kebijakan firewall.

Dalam skenario saat sistem dengan alamat IP 203.0.113.114 mencoba terhubung ke VM1 di port TCP 80, hal berikut akan terjadi:

  • VM1 membuat entri log untuk aturan C karena menerima traffic dari 203.0.113.114.
  • Aturan kebijakan Firewall Generasi Berikutnya Cloud bersifat stateful, yang berarti bahwa jika aturan firewall masuk (ingress) mengizinkan traffic ke instance VM, traffic keluar (egress) yang kembali akan otomatis diizinkan. Dalam hal ini, aturan C mengizinkan traffic ingress, sehingga VM1 dapat mengirim traffic balasan ke 203.0.113.114 meskipun ada aturan D.
  • Pelacakan koneksi mengizinkan traffic balasan dan tidak menyebabkan logging apa pun, terlepas dari aturan firewall traffic keluar. Oleh karena itu, firewall tidak mempertimbangkan aturan D dan tidak menghasilkan entri log keluar.

VM1 melaporkan catatan log firewall berikut:

Kolom Nilai
connection src_ip=203.0.113.114
src_port=[EPHEMERAL_PORT]
dest_ip=10.10.0.99
dest_port=80
protocol=6
disposition DIIZINKAN
rule_details reference = "network:example-net/firewallPolicy:12345"
priority = 10
action = ALLOW
source_range = 0.0.0.0/0
ip_port_info = tcp:80
direction = ingress
remote_location benua
negara
wilayah
kota

Contoh pemeriksaan lanjutan

Dalam contoh ini, kebijakan firewall Cloud NGFW menggunakan tindakan apply_security_profile_group untuk mencegat traffic untuk pemeriksaan paket mendalam.

  • Sistem di internet memiliki alamat IP 203.0.113.114.
  • VM1 di zona us-west1-a dengan alamat IP 10.10.0.99 di west-subnet (region us-west1).
  • Aturan E: Aturan kebijakan firewall keluar dengan tindakan yang ditetapkan ke apply_security_profile_group. Logging diaktifkan untuk aturan ini.

Untuk membuat aturan kebijakan firewall untuk inspeksi lanjutan, lihat Ringkasan profil keamanan.

Misalkan VM1 mengirim traffic yang cocok dengan aturan E. Hal berikut akan terjadi:

  • Tindakan apply_security_profile_group menggunakan logging berbasis sesi, yang berbeda dengan log berbasis koneksi yang dihasilkan oleh aturan allow atau deny standar.

  • Cloud NGFW membuat satu entri log aturan firewall untuk sesi awal yang cocok dengan aturan, yang mengonfirmasi bahwa traffic berhasil dicegat dan dialihkan ke endpoint firewall. Cloud NGFW menghasilkan log tingkat tinggi ini meskipun beberapa koneksi diidentifikasi sebagai bagian dari sesi yang sama.

VM1 melaporkan catatan log firewall berikut:

Kolom Nilai
connection src_ip=10.10.0.99
src_port=[EPHEMERAL_PORT]
dest_ip=203.0.113.114
dest_port=80
protocol=6
disposition INTERCEPTED
rule_details reference = "network:example-net/firewallPolicy:12345"
priority = 10
action = APPLY_SECURITY_PROFILE_GROUP
apply_security_profile_fallback_action = UNSPECIFIED
destination_range = 0.0.0.0/0
direction = egress

Langkah berikutnya