Logging von Firewallrichtlinien-Regeln – Übersicht

Durch das Logging von Firewallrichtlinienregeln können Sie die Auswirkungen Ihrer Firewallrichtlinienregeln im Blick behalten, prüfen und analysieren. Beispielsweise lässt sich so feststellen, ob eine Firewallrichtlinienregel zum Ablehnen von Traffic wie vorgesehen funktioniert. Das Logging von Firewallrichtlinienregeln ist auch nützlich, wenn Sie ermitteln müssen, wie viele Verbindungen von einer bestimmten Firewallrichtlinienregel betroffen sind.

Sie aktivieren das Logging von Firewallrichtlinienregeln für jede Firewallrichtlinienregel, deren Verbindungen Sie protokollieren möchten. Das Logging von Firewallrichtlinienregeln kann für jede Firewallrichtlinienregel unabhängig von der Aktion (allow oder deny) oder der Richtung (ingress oder egress) genutzt werden.

Das Logging von Firewallrichtlinienregeln protokolliert den Traffic von und zu VM-Instanzen von Compute Engine. Dazu gehören Google Cloud Produkte, die auf Compute Engine VMs aufsetzen, z. B. GKE-Cluster (Google Kubernetes Engine) und Instanzen der flexiblen GKE-Umgebung (Google Kubernetes Engine).

Wenn Sie das Logging für eine Firewallrichtlinienregel aktivieren, Google Cloud erstellt jedes Mal, wenn die Regel Traffic zulässt oder ablehnt, einen als Verbindungsdatensatz bezeichneten Eintrag. Sie können sich diese Einträge in Cloud Logging, ansehen und Logs an ein beliebiges Ziel exportieren, das vom Cloud Logging-Export unterstützt wird.

Jeder Verbindungsdatensatz enthält die folgenden Angaben: IP-Adressen der Quelle und des Ziels, Protokoll, Ports, Datum und Uhrzeit sowie einen Verweis auf die für den Traffic gültige Firewallrichtlinienregel.

Das Logging von Firewallrichtlinienregeln ist sowohl für hierarchische als auch für Netzwerk-Firewallrichtlinienregeln verfügbar. Informationen zum Anzeigen von Logs finden Sie unter Logging von Firewallrichtlinienregeln verwalten.

Spezifikationen

Für das Logging von Firewallrichtlinienregeln gelten die folgenden Spezifikationen:

• Unterstützte Bereitstellungen: Sie können das Logging von Firewallrichtlinienregeln für Firewallrichtlinienregeln in hierarchischen, globalen Netzwerk-, regionalen Netzwerk- und regionalen System-Firewallrichtlinien aktivieren, die mit einem regulären VPC-Netzwerk verknüpft sind, sowie für regionale Netzwerk-Firewallrichtlinien, die mit einem RoCE-VPC-Netzwerk verknüpft sind.

• Nicht unterstützte Regeln: Das Logging von Firewallrichtlinienregeln wird nicht für Regeln in Legacy-Netzwerken, implizierte Regeln zum Ablehnen von eingehendem Traffic und implizierte Regeln zum Zulassen von ausgehendem Traffic in einem regulären VPC-Netzwerk oder implizierte Regeln zum Zulassen von eingehendem und ausgehendem Traffic eines RoCE-VPC-Netzwerks unterstützt.

• Protokollunterstützung: Das Logging von Firewallrichtlinienregeln erfasst nur TCP und UDP Verbindungen. Wenn Sie andere Protokolle überwachen möchten, können Sie die Out-of-Band-Integration verwenden.

• Verbindungsbasiertes Logging: Das Logging von Firewallrichtlinienregeln wird erstellt, wenn eine Verbindung hergestellt wird, nicht für jedes einzelne Paket. Eine Verbindung bleibt aktiv, solange mindestens alle 10 Minuten Pakete ausgetauscht werden. Jedes neue Paket setzt den Leerlauf-Timer zurück. Daher wird für einen kontinuierlichen Trafficstream nur ein Logeintrag für die gesamte Dauer erstellt. Wenn Sie kontinuierliche Einblicke in aktive, langlebige Streams ohne Leerlaufzeiten benötigen, verwenden Sie VPC-Flusslogs.

• Vorhandene Verbindungen: Wenn Sie das Logging für eine Regel aktivieren, die mit einer bereits aktiven TCP oder UDP Verbindung übereinstimmt, wird kein neuer Logeintrag generiert. Die Firewallrichtlinienregel protokolliert die Verbindung nur, wenn sie mindestens 10 Minuten lang im Leerlauf ist und anschließend ein neues Paket gesendet wird.

• Verhalten bei Zulassen und Ablehnen:

  • Zulassen + Logging: Eine zulässige Verbindung wird nur einmal protokolliert. Der Eintrag wird nicht wiederholt, auch wenn die Verbindung bestehen bleibt. Da Firewall regeln zustandsbehaftet sind, wird Antworttraffic automatisch zugelassen und nicht protokolliert.

  • Ablehnen + Logging: Jedes verworfene Paket, das einem eindeutigen 5-Tupel entspricht, wird als fehlgeschlagener Versuch protokolliert. Der Logeintrag wird alle 5 Sekunden wiederholt, solange Pakete für die abgelehnte Verbindung erkannt werden.

• Perspektive der Loggenerierung: Logeinträge werden nur erstellt, wenn das Logging für eine Firewallrichtlinienregel aktiviert ist und wenn die Regel für Traffic gilt, der an die VM oder von der VM gesendet wird. Einträge werden gemäß den Beschränkungen für das Logging von Verbindungen erstellt.

• Ratenlimits: Die Anzahl der protokollierten Verbindungen pro Zeiteinheit wird für reguläre VPC-Netzwerke durch den Maschinentyp der VM und für RoCE-VPC-Netzwerke durch die Überwachungs- oder Loggingaktion der Regel bestimmt. Weitere Informationen finden Sie unter Beschränkungen beim Logging von Verbindungen und Überwachung und Logging

• Sitzungsbasierte Logik für die erweiterte Prüfung: Wenn in einer Firewallrichtlinie die erweiterte Aktion apply_security_profile_group verwendet wird, ändert sich das Loggingverhalten von verbindungsbasiert zu sitzungsbasiert.

  Cloud NGFW generiert einen einzelnen Logeintrag auf hoher Ebene für die erste Sitzung, die der Regel entspricht und erfolgreich für die detaillierte Paketprüfung abgefangen wird, auch wenn mehrere zugrunde liegende Verbindungen zu derselben Sitzung gehören. Dieses Firewalllog auf hoher Ebene unterscheidet sich von den detaillierten Layer-7-Logs, z. B. URL-Filterungs- oder Bedrohungslogs, die für jede geprüfte Verbindung generiert werden.

• Eindeutige Aktionen und Dispositionen: Cloud NGFW-Richtlinienlogs sind die einzigen Logs, in denen die Disposition INTERCEPTED und die APPLY_SECURITY_PROFILE_GROUP Aktion aufgezeichnet werden können. Wenn diese Aktion verwendet wird, protokolliert das System ein zusätzliches Feld (apply_security_profile_fallback_action).

• Audit-Logs: Sie können Konfigurationsänderungen an der Firewallrichtlinienregel in Cloud NGFW Audit-Logs ansehen. Weitere Informationen finden Sie unter Cloud NGFW-Audit-Logging.

Beschränkungen

• Wenn Sie die Aktion apply_security_profile_group mit aktiviertem Logging verwenden, erfasst Cloud NGFW nicht die Logs aller Sitzungen. Diese Einschränkung hat keine Auswirkungen auf die Trafficprüfung oder das Abfangen von Traffic.

• Wenn Sie das Logging für eine Firewallrichtlinienregel aktivieren, die mit vorhandenen TCP- oder UDP-Verbindungen übereinstimmt, werden für diese aktiven Verbindungen keine Logeinträge generiert. Das Logging für diese Verbindungen beginnt erst, nachdem sie mindestens 10 Minuten lang im Leerlauf waren.

• Beim Angeben des IP-Protokolls (IpPortInfo.ip_protocol) kann der Wert für Firewallrichtlinienregeln nicht auf ALL gesetzt werden.

• Firewallrichtlinienregeln unterstützen kein Logging für Legacy-Metadatenfelder, insbesondere source_tag, target_tag, source_service_account und target_service_accounts.

Nächste Schritte

• Logging von Firewallrichtlinienregeln verwalten.
• Beispiele für das Logging von Firewallrichtlinienregeln.
• Cloud Logging – Übersicht
• Probleme mit Logs von Firewallrichtlinienregeln beheben.