Logging von Firewallrichtlinien-Regeln – Übersicht

Durch das Logging der Firewallrichtlinienregeln können Sie die Auswirkungen Ihrer Firewallrichtlinienregeln im Blick behalten, prüfen und analysieren. Sie können beispielsweise feststellen, ob eine Firewallrichtlinienregel, die Traffic abweisen soll, wie vorgesehen funktioniert. Das Logging von Firewallrichtlinienregeln ist auch nützlich, wenn Sie ermitteln müssen, wie viele Verbindungen von einer bestimmten Firewallrichtlinienregel betroffen sind.

Sie aktivieren das Logging von Firewallrichtlinienregeln für jede Firewallrichtlinienregel, deren Verbindungen Sie protokollieren möchten. Das Logging von Firewallrichtlinienregeln ist für jede Firewallrichtlinienregel unabhängig von der Aktion (allow oder deny) oder Richtung (ingress oder egress) der Regel möglich.

Das Logging von Firewallrichtlinienregeln protokolliert den Traffic von und zu VM-Instanzen von Compute Engine. Dazu gehören Google Cloud -Produkte, die auf Compute Engine-VMs basieren, z. B. GKE-Cluster (Google Kubernetes Engine) und Instanzen der flexiblen App Engine-Umgebung.

Wenn Sie das Logging für eine Firewallrichtlinienregel aktivieren, erstellt Google Cloud jedes Mal, wenn die Regel Traffic zulässt oder ablehnt, einen als Verbindungsdatensatz bezeichneten Eintrag. Sie können sich diese Einträge in Cloud Logging ansehen und Logs an ein beliebiges Ziel exportieren, das vom Cloud Logging-Export unterstützt wird.

Jeder Verbindungseintrag enthält die folgenden Angaben: IP-Adressen der Quelle und des Ziels, Protokoll, Ports, Datum und Uhrzeit sowie einen Verweis auf die für den Traffic gültige Firewallrichtlinienregel.

Informationen zum Anzeigen von Logs finden Sie unter Logging von Firewallrichtlinienregeln verwalten.

Spezifikationen

Für das Logging von Firewallrichtlinienregeln gelten die folgenden Spezifikationen:

• Unterstützte Bereitstellungen: Sie können das Logging von Firewallrichtlinienregeln für Firewallrichtlinienregeln in hierarchischen, globalen Netzwerk-, regionalen Netzwerk- und regionalen System-Firewallrichtlinien aktivieren, die mit einem regulären VPC-Netzwerk verknüpft sind, sowie für regionale Netzwerk-Firewallrichtlinien, die mit einem RoCE-VPC-Netzwerk verknüpft sind.

• Nicht unterstützte Regeln: Die Protokollierung von Firewallrichtlinienregeln wird nicht für Regeln in Legacy-Netzwerken, implizierte Regeln zum Ablehnen von eingehendem Traffic und zum Zulassen von ausgehendem Traffic in einem regulären VPC-Netzwerk oder implizierte Regeln zum Zulassen von eingehendem und ausgehendem Traffic eines RoCE-VPC-Netzwerks unterstützt.

• Unterstützung von Protokollen: Beim Logging von Firewallrichtlinienregeln werden nur TCP- und UDP-Verbindungen erfasst. Wenn Sie andere Protokolle überwachen möchten, sollten Sie die Out-of-Band-Integration verwenden.

• Verbindungsbasiertes Logging: Das Logging von Firewall-Richtlinienregeln wird erstellt, wenn eine Verbindung hergestellt wird, nicht für jedes einzelne Paket. Eine Verbindung bleibt aktiv, solange mindestens alle 10 Minuten Pakete ausgetauscht werden. Jedes neue Paket setzt den Leerlauftimer zurück. Daher wird für einen kontinuierlichen Traffic-Stream nur ein Logeintrag für die gesamte Dauer generiert. Wenn Sie kontinuierlichen Einblick in aktive, langlebige Streams ohne Leerlaufzeiten benötigen, verwenden Sie VPC-Flusslogs.

• Vorhandene Verbindungen: Wenn Sie das Logging für eine Regel aktivieren, die einer bereits aktiven TCP- oder UDP-Verbindung entspricht, wird kein neuer Logeintrag generiert. Die Firewallrichtlinienregel protokolliert die Verbindung nur, wenn sie mindestens 10 Minuten lang inaktiv bleibt und anschließend ein neues Paket gesendet wird.

• Verhalten bei „Zulassen“ und „Ablehnen“:

  • Zulassen + Protokollierung: Eine zulässige Verbindung wird nur einmal protokolliert. Der Eintrag wird nicht wiederholt, auch wenn die Verbindung bestehen bleibt, da Firewallregeln zustandsbehaftet sind. Antworttraffic ist automatisch zulässig und wird nicht protokolliert.

  • Verweigern + Protokollierung: Jedes verworfene Paket, das einem eindeutigen 5‑Tupel entspricht, wird als fehlgeschlagener Versuch protokolliert. Der Logeintrag wird alle 5 Sekunden wiederholt, solange Pakete für die abgelehnte Verbindung erkannt werden.

• Perspektive der Loggenerierung: Logeinträge werden nur erstellt, wenn Logging für eine Firewallrichtlinienregel aktiviert ist und wenn die Regel für Traffic gilt, der an die VM oder von der VM gesendet wird. Einträge werden entsprechend den für Verbindungs-Logging gültigen Beschränkungen erstellt.

• Ratenbeschränkungen: Die Anzahl der Verbindungen, die pro Zeiteinheit protokolliert werden, wird durch den Maschinentyp der VM für reguläre VPC-Netzwerke oder durch die Überwachungs- oder Protokollierungsaktion der Regel für RoCE-VPC-Netzwerke bestimmt. Weitere Informationen finden Sie unter Limits für die Verbindungsaufzeichnung und Monitoring und Logging.

• Sitzungsbasierte Logik für die erweiterte Prüfung: Wenn in einer Firewallrichtlinie die erweiterte apply_security_profile_group-Aktion verwendet wird, ändert sich das Logging-Verhalten von verbindungsbasierter zu sitzungsbasierter Logik.

  Cloud NGFW generiert einen einzelnen Logeintrag auf hoher Ebene für die erste Sitzung, die der Regel entspricht und erfolgreich für die gründliche Paketprüfung abgefangen wird, auch wenn mehrere zugrunde liegende Verbindungen zu derselben Sitzung gehören. Dieses Firewall-Log auf hoher Ebene unterscheidet sich von den detaillierten Layer 7-Logs, z. B. URL-Filterungs- oder Bedrohungslogs, die für jede geprüfte Verbindung generiert werden.

• Eindeutige Aktionen und Dispositionen: In Cloud NGFW-Richtlinienlogs können nur die Disposition INTERCEPTED und die Aktion APPLY_SECURITY_PROFILE_GROUP aufgezeichnet werden. Wenn diese Aktion verwendet wird, protokolliert das System ein zusätzliches Feld (apply_security_profile_fallback_action).

• Audit-Logs: Sie können Konfigurationsänderungen an der Firewallrichtlinienregel in den Cloud NGFW-Audit-Logs ansehen. Weitere Informationen finden Sie unter Cloud NGFW-Audit-Logging.

Beschränkungen

• Wenn Sie die Aktion apply_security_profile_group mit aktiviertem Logging verwenden, erfasst Cloud NGFW nicht Logs aller Sitzungen. Diese Einschränkung hat keine Auswirkungen auf die Überprüfung oder das Abfangen von Traffic.

• Wenn Sie das Logging für eine Firewallrichtlinienregel aktivieren, die mit vorhandenen TCP- oder UDP-Verbindungen übereinstimmt, werden keine Logeinträge für diese aktiven Verbindungen generiert. Die Protokollierung für diese Verbindungen beginnt erst, nachdem sie mindestens 10 Minuten lang inaktiv waren.

• Wenn Sie das IP-Protokoll (IpPortInfo.ip_protocol) angeben, kann der Wert für Firewallregeln nicht auf ALL festgelegt werden.

• Firewallrichtlinienregeln unterstützen kein Logging für Legacy-Metadatenfelder, insbesondere source_tag, target_tag, source_service_account und target_service_accounts.

Nächste Schritte

• Logging von Firewallrichtlinienregeln verwalten
• Beispiele für das Logging von Firewallrichtlinien-Regeln
• Cloud Logging – Übersicht
• Probleme mit Firewallrichtlinien-Regellogs beheben