Esempi di logging delle regole dei criteri firewall

Le regole delle policy del firewall generano voci di log quando si applicano al traffico. Mentre un flusso di pacchetti può generare più voci di log, la regola della policy del firewall genera al massimo una voce di log per connessione da un'istanza di macchina virtuale (VM).

Gli esempi seguenti mostrano come funziona il logging delle policy del firewall, inclusi i comportamenti diversi dalle regole firewall Virtual Private Cloud (VPC) legacy, come il logging ripetuto per le connessioni negate e il logging basato sulla sessione per l'ispezione avanzata.

Esempio di rifiuto in uscita

In questo esempio, il traffico scorre tra due istanze VM nella rete VPC example-net nel progetto example-proj.

  • VM1 nella zona us-west1-a con indirizzo IP 10.10.0.99 in west-subnet (regione us-west1).
  • VM2 nella zona us-east1-b con indirizzo IP 10.20.0.99 in east-subnet (regione us-east1).
  • Regola A: una regola firewall di negazione del traffico in uscita ha come target tutte le istanze della rete, come destinazione 10.20.0.99 (VM2) e si applica alla porta TCP 80. Il logging è abilitato per questa regola.
  • Regola B: una regola firewall di autorizzazione in entrata ha come target tutte le istanze della rete, come origine 10.10.0.99 (VM1) e si applica alla porta TCP 80. Il logging è abilitato anche per questa regola.

Per creare la regola della policy del firewall, consulta Attività della regola della policy del firewall.

In uno scenario in cui VM1 tenta di connettersi a VM2 sulla porta TCP 80, si verifica quanto segue:

  • Il firewall genera una voce di log per la regola A dal punto di vista di VM1 per il tentativo di connessione non riuscito.

  • Poiché la regola A è una regola DENY, il firewall registra ogni pacchetto corrispondente alla 5-tupla univoca come tentativo di connessione non riuscito. Se il firewall continua a ricevere pacchetti per questa connessione, ripete la stessa voce di log ogni 5 secondi.

  • Poiché la regola A blocca il traffico all'origine, il firewall non prende in considerazione la regola B. Pertanto, non genera alcuna voce di log per la regola B dal punto di vista della VM2.

VM1 segnala il seguente record del log firewall:

Campo Valori
connection src_ip=10.10.0.99
src_port=[EPHEMERAL_PORT]
dest_ip=10.20.0.99
dest_port=80
protocol=6
disposition RIFIUTATO
rule_details reference = "network:example-net/firewallPolicy:12345"
priority = 10
action = DENY
destination_range = 10.20.0.99/32
ip_port_info = tcp:80
direction = egress
instance project_id="example-proj"
instance_name=VM1
region=us-west1
zone=us-west1-a

Esempio di autorizzazione in uscita e in entrata

In questo esempio, il traffico scorre tra le istanze VM nella rete VPC example-net nel progetto example-proj.

  • VM1 nella zona us-west1-a con indirizzo IP 10.10.0.99 in west-subnet (regione us-west1).
  • VM2 nella zona us-east1-b con indirizzo IP 10.20.0.99 in east-subnet (regione us-east1).
  • Regola A: una regola di autorizzazione in uscita della policy del firewall di rete globale ha una destinazione di 10.20.0.99 (VM2) e si applica alla porta TCP 80. Il logging è abilitato per questa regola.
  • Regola B: una regola di autorizzazione in entrata della policy del firewall di rete globale ha un'origine 10.10.0.99 (VM1) e si applica alla porta TCP 80. Il logging è abilitato per questa regola.

Per creare la regola della policy del firewall, consulta Attività della regola della policy del firewall.

In uno scenario in cui VM1 tenta di connettersi a VM2 sulla porta TCP 80, si verifica quanto segue:

  • Il firewall genera una voce di log per la regola A dal punto di vista di VM1 mentre VM1 si connette a 10.20.0.99. Poiché si tratta di una regola ALLOW, la connessione viene registrata una sola volta e non viene ripetuta.
  • Il firewall genera una voce di log per la regola B dal punto di vista di VM2, mentre VM2 consente le connessioni in entrata da 10.10.0.99.

VM1 segnala il seguente record del log firewall:

Campo Valori
connection src_ip=10.10.0.99
src_port=[EPHEMERAL_PORT]
dest_ip=10.20.0.99
dest_port=80
protocol=6
disposition ALLOWED
rule_details reference = "network:example-net/firewallPolicy:12345"
priority = 10
action = ALLOW
destination_range = 10.20.0.99/32
ip_port_info = tcp:80
direction = egress

VM2 segnala il seguente record del log firewall:

Campo Valori
connection src_ip=10.10.0.99
src_port=[EPHEMERAL_PORT]
dest_ip=10.20.0.99
dest_port=80
protocol=6
disposition ALLOWED
rule_details reference = "network:example-net/firewallPolicy:67890"
priority = 10
action = ALLOW
source_range = 10.10.0.99/32
ip_port_info = tcp:80
direction = ingress

Esempio di traffico in entrata da internet

In questo esempio, il traffico scorre da una risorsa esterna a un'istanza VM all'interno della rete VPC example-net. La rete si trova nel progetto example-proj.

  • Il sistema su internet ha l'indirizzo IP 203.0.113.114.
  • La VM1 nella zona us-west1-a ha l'indirizzo IP 10.10.0.99 in west-subnet (regione us-west1).
  • Regola C: una regola di policy del firewall di autorizzazione in entrata ha un'origine di qualsiasi indirizzo IP (0.0.0.0/0) e si applica alla porta TCP 80. Il logging è abilitato per questa regola.
  • Regola D: una regola del criterio del firewall in uscita di tipo "Nega" ha come destinazione qualsiasi indirizzo IP (0.0.0.0/0) e si applica a tutti i protocolli. Il logging è abilitato per questa regola.

Per creare la regola della policy del firewall, consulta Attività della regola della policy del firewall.

In uno scenario in cui il sistema con indirizzo IP 203.0.113.114 tenta di connettersi a VM1 sulla porta TCP 80, si verifica quanto segue:

  • VM1 genera una voce di log per la regola C perché accetta il traffico da 203.0.113.114.
  • Le regole delle policy di Cloud Next Generation Firewall sono stateful, il che significa che se una regola firewall in entrata (ingress) consente il traffico a un'istanza VM, il traffico di ritorno in uscita (egress) viene autorizzato automaticamente. In questo caso, la regola C consente il traffico in entrata, quindi VM1 può inviare traffico di risposta a 203.0.113.114 nonostante la regola D.
  • Il monitoraggio delle connessioni consente il traffico di risposta e non causa alcun logging, indipendentemente dalle regole firewall per il traffico in uscita. Pertanto, il firewall non considera la regola D e non genera alcuna voce di log di uscita.

VM1 segnala il seguente record del log firewall:

Campo Valori
connection src_ip=203.0.113.114
src_port=[EPHEMERAL_PORT]
dest_ip=10.10.0.99
dest_port=80
protocol=6
disposition ALLOWED
rule_details reference = "network:example-net/firewallPolicy:12345"
priority = 10
action = ALLOW
source_range = 0.0.0.0/0
ip_port_info = tcp:80
direction = ingress
remote_location continente
paese
regione
città

Esempio di ispezione avanzata

In questo esempio, il criterio del firewall Cloud NGFW utilizza l'azione apply_security_profile_group per intercettare il traffico per l'ispezione approfondita dei pacchetti.

  • Il sistema su internet ha l'indirizzo IP 203.0.113.114.
  • VM1 nella zona us-west1-a con indirizzo IP 10.10.0.99 in west-subnet (regione us-west1).
  • Regola E: una regola del criterio firewall in uscita con l'azione impostata su apply_security_profile_group. Il logging è abilitato per questa regola.

Per creare la regola della policy del firewall per l'ispezione avanzata, consulta la Panoramica del profilo di sicurezza.

Supponiamo che VM1 invii traffico corrispondente alla regola E. Si verifica quanto segue:

  • L'azione apply_security_profile_group utilizza la registrazione basata sulla sessione, che differisce dai log basati sulla connessione prodotti dalle regole allow o deny standard.

  • Cloud NGFW genera una singola voce di log della regola firewall per la sessione iniziale che corrisponde alla regola, confermando che il traffico è stato intercettato e reindirizzato correttamente all'endpoint firewall. Cloud NGFW genera questo log di alto livello anche se più connessioni vengono identificate come parte della stessa sessione.

VM1 segnala il seguente record del log firewall:

Campo Valori
connection src_ip=10.10.0.99
src_port=[EPHEMERAL_PORT]
dest_ip=203.0.113.114
dest_port=80
protocol=6
disposition INTERCETTATO
rule_details reference = "network:example-net/firewallPolicy:12345"
priority = 10
action = APPLY_SECURITY_PROFILE_GROUP
apply_security_profile_fallback_action = UNSPECIFIED
destination_range = 0.0.0.0/0
direction = egress

Passaggi successivi